файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 46 47 48 49 50 ... 61 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 25.01.2016 11:38:09

да, значит и дальнейшего и повторного шифрования не будет, если вы восстановите копии документов

Изменено: santy - 28.05.2016 04:10:37

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 25.01.2016

Размещено 25.01.2016 12:22:47

Файлы на компьютере зашифрованы. Расширение - breaking_bad.
Образ автозапуска системы - http://rghost.ru/8SZls7JgK

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 25.01.2016 12:29:35

сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian zoo %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\ORJ-ST-SPE\SOURCE\PROGRAM FILES\VNT\VNTLDR.EXE addsgn 1A3C249A5583C58CF42B627DA804DEC9E901A8D28571535C814617C839E5B1C66733CBD3FE208BC8D100849F46644779406FDA3055DAC429C444F02FC751A98A 8 Toolbar.Ask ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\[email protected] del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

zoo %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\ORJ-ST-SPE\SOURCE\PROGRAM FILES\VNT\VNTLDR.EXE
addsgn 1A3C249A5583C58CF42B627DA804DEC9E901A8D28571535C814617C839E5B1C66733CBD3FE208BC8D100849F46644779406FDA3055DAC429C444F02FC751A98A 8 Toolbar.Ask

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\[email protected]

del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 25.01.2016

Размещено 25.01.2016 13:33:06

Цитата

santy написал:
Александр Мас,

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код

 
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
KTOP\RECTORDECRYPTOR.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPD ATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAAAAADGEPJKDFFHJBKFJGNNFFNFCFFBG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAADGEPJKDFFHJBKFJGNNFFNFCFFBG\104.7_0\SEARCH APP BY ASK

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.11.0_0\СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESE T

Выдает ошибку при выполнении скрипта, что делать?

Прикрепленные файлы

Безымянный.jpg (212.77 КБ)

Сообщений: 5

Баллов: 2

Регистрация: 25.01.2016

Размещено 25.01.2016 13:40:21

проверил с помощью malwarebyte. Вот лог - http://rghost.ru/8qdlMcx5l вирусы не удалял.
Дальше запустил скрипт, компьютер перезагрузился.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 25.01.2016 13:43:01

Александр Мас,
поправил скрипт, пробуйте еще раз его выполнить

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 25.01.2016

Размещено 25.01.2016 13:56:46

Цитата
santy написал: Александр Мас, поправил скрипт, пробуйте еще раз его выполнить

не работает(, такая же ошибка...

Сообщений: 7

Баллов: 3

Регистрация: 25.01.2016

Размещено 25.01.2016 13:58:21

Александр Мас, Может по новой сделать лог системы?

Сообщений: 2

Баллов: 1

Регистрация: 25.01.2016

Размещено 25.01.2016 14:01:28

на почту, как обычно, пришло письмо с якобы неоплаченными счетами.
вирус в архивах .gz открылся только у бухгалтера

вообщем зашифровал всё, а файл redme не создал.
при этом стоял антивирус esetnod32.
помогите кто чем может

Сообщений: 2

Баллов: 1

Регистрация: 25.01.2016

Размещено 25.01.2016 14:02:03

у файлов расширение .breaking_bad

Пред. 1 ... 46 47 48 49 50 ... 61 След.