Размещено 29.03.2015 18:31:00
теневые копии остались чистые?
а какие файлы зашифровались там?
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Приглашаем вас присоединиться к новому форуму PRO32.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
Размещено 29.03.2015 15:08:23
1. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
2. по расшифровке документов - не поможем. нет расшифровки для xtbl
3. по восстановлению данных - смотрите архивные или теневые копии документов.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
| Код |
|---|
;uVS v3.85.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------
hide %SystemDrive%\USERS\ADMIN\DESKTOP\ESETFILECODERQCLEANER.EXE
chklst
delvir
delref HTTP://HI.RU/?4
delref HTTP:\\LYLL.NET
delref HTTP://KEMANOSH.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=0792193BBCDF5967BA9A02D4617A5917
REGT 27
REGT 28
REGT 29
; OpenAL
exec C:\Program Files (x86)\OpenAL\oalinst.exe" /U
; Sopcast Ask Toolbar
exec MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet
deltmp
delnfr
;-------------------------------------------------------------
restart
|
перезагрузка, пишем о старых и новых проблемах.
------------
2. по расшифровке документов - не поможем. нет расшифровки для xtbl
3. по восстановлению данных - смотрите архивные или теневые копии документов.
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
Размещено 29.03.2015 11:22:33
1.да, в данном случае восстановление возможно либо из теневых копий, если они сохранились,
для этого проверьте наличие теневых копий с помощью shadowExplorer
2. либо из архивных копий. если они есть.
3. более сложен вариант восстановления будет, если под теневые копии было зарезервировано дисковое пространство
и копии файлов были в этом пространстве,
но VAULT отключает теневые копии.
что происходит с данными в этот момент времени непонятно.
возможно сами данные остаются на диске до тех пор пока это пространство не будет заполнено другими данными.
и их возможно каким то образом вытащить и спасти.
но для этого необходимо использовать специализированные утилиты поиска и восстановления.
(я не готов на эту тему говорить. может быть и есть спецы, которые могут вытащить данные таким образом.)
для этого проверьте наличие теневых копий с помощью shadowExplorer
2. либо из архивных копий. если они есть.
3. более сложен вариант восстановления будет, если под теневые копии было зарезервировано дисковое пространство
и копии файлов были в этом пространстве,
но VAULT отключает теневые копии.
что происходит с данными в этот момент времени непонятно.
возможно сами данные остаются на диске до тех пор пока это пространство не будет заполнено другими данными.
и их возможно каким то образом вытащить и спасти.
но для этого необходимо использовать специализированные утилиты поиска и восстановления.
(я не готов на эту тему говорить. может быть и есть спецы, которые могут вытащить данные таким образом.)
Изменено: santy - 04.06.2016 17:55:21
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
Размещено 29.03.2015 10:19:48
1. образ чистый
2. побороть шифровальщик VAULT уже поздно, раз все документы зашифрованы.
3. поищите в папках %TEMP% юзера файл secring.gpg (или vaultkey.vlt), если найдете этот файл ненулевого размера,
тогда возможна будет дешифровка.
если файл будет нулевой (0байт), в этом случае дешифровка невозможна.
в этом случае восстановление документов возможно только из архивных копий.
2. побороть шифровальщик VAULT уже поздно, раз все документы зашифрованы.
3. поищите в папках %TEMP% юзера файл secring.gpg (или vaultkey.vlt), если найдете этот файл ненулевого размера,
тогда возможна будет дешифровка.
если файл будет нулевой (0байт), в этом случае дешифровка невозможна.
в этом случае восстановление документов возможно только из архивных копий.
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
Размещено 27.03.2015 18:39:28
если файл secring.gpg ненулевой, т.е. примерно около 1Кб, то вышлите в почту этот ключ и несколько небольших зашифрованных файлов для проверки возможности расшифровки.
Изменено: santy - 04.06.2016 17:30:10
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
[ Закрыто] Win32/Corkow.BG прощу помощи в удалении
Размещено 27.03.2015 13:42:54
это файл Corkow, видимо был прибит при создании образа автозапуска, или при проверке в AVZ
сейчас осталась только ссылка в реестре.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
+
java все таки надо обновить, возможно через него и пробивает корк
| Цитата |
|---|
| C:\DOCUMENTS AND SETTINGS\FILIMONTSEVSA\APPLICATION DATA\DAODL\SKDTAPI.RRO |
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.85.11 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\FILIMONTSEVSA\APPLICATION DATA\DAODL\SKDTAPI.RRO deltmp delnfr restart |
перезагрузка, пишем о старых и новых проблемах.
+
java все таки надо обновить, возможно через него и пробивает корк
| Цитата |
|---|
| ; Java™ 6 Update 32 |
[ Закрыто] Win32/Corkow.BG прощу помощи в удалении