santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением *.paycrypt / *.keybtc@gmail_com, bat encoder / GnuPG

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.02.2015 06:17:19

судя по дате создания файлов это было давно бат.энкодером. (13.10.2014 г)
gpg: зашифровано ключом RSA c ID CE0EC7DF
расшифровка в данном случае невозможна, нет секретного ключа.

сам секретный ключ зашифрован публик ключом злоумышленников
gpg: зашифровано ключомì RSA с ID A3CE7DBE
расшифровка так же невозможна, данный ключ только у злоумышленников.
-------------------------

Изменено: santy - 17.04.2017 07:17:00

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением id-*[email protected], Filecoder.DG

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.02.2015 17:22:00

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.02.2015 14:13:30

по времени я не всегда бываю на форуме. хотя через 15 минут уже выйду из сети. напишите по Москве, в какое время будете в сети?

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.02.2015 14:05:42

1. выполните скрипт очистки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\ONE\APPDATA\ROAMING\SSLEAS.EXE addsgn A7679B19919A7FB282915E09D8515105CDAD530A76C9DF2DED6758FF50B28E7C479EE3DA6BA525482B80847766D9B505F69A18C8ED47F32CC51432D338733A19 8 Win32/CoinMiner.SX [ESET-NOD32] zoo %SystemDrive%\PROGRAM FILES (X86)\ZONA\ZONAUPDATER.EXE addsgn 9252773A166AC1CC0BA4524E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BE645503E021E8A2FD3EC66B91549ACFE1CEC21051DB32F2D75A4BF5753B224 14 a variant of Win32/Kryptik.AADO [NOD32] zoo %SystemDrive%\USERS\ONE\APPDATA\ROAMING\ZONA\PLUGINS\ZUPDATER\ZONAUPDATER.EXE zoo D:\PAINKILLER HELL AND DAMNATION\RUNME.EXE addsgn 9252770A156AC1CC0B54514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 14 Trojan.DownLoad2.31775 [DrWeb] deldirex %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER deldir %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER deldirex %SystemDrive%\USERS\ONE\APPDATA\LOCAL\MEDIAGET2 deldirex %SystemDrive%\USERS\ONE\APPDATA\ROAMING\ZONA delall %SystemDrive%\USERS\ONE\APPDATA\ROAMING\ZONA\RESTART.BAT ;------------------------autoscript--------------------------- chklst delvir delref {EE932B49-D5C0-4D19-A3DA-CE0849258DE6}\[CLSID] delref HTTP:\\PLARIUM.COM\PLAY\RU\PIRATES\TOP\?ADCAMPAIGN=31908&CLICKID=ZYYE0D0B0CZY0BYCZY0EZZTCYEYE0B0E&PUBLISHERID=0 deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ONE\APPDATA\ROAMING\SSLEAS.EXE
addsgn A7679B19919A7FB282915E09D8515105CDAD530A76C9DF2DED6758FF50B28E7C479EE3DA6BA525482B80847766D9B505F69A18C8ED47F32CC51432D338733A19 8 Win32/CoinMiner.SX [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\ZONA\ZONAUPDATER.EXE
addsgn 9252773A166AC1CC0BA4524E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BE645503E021E8A2FD3EC66B91549ACFE1CEC21051DB32F2D75A4BF5753B224 14 a variant of Win32/Kryptik.AADO [NOD32]

zoo %SystemDrive%\USERS\ONE\APPDATA\ROAMING\ZONA\PLUGINS\ZUPDATER\ZONAUPDATER.EXE
zoo D:\PAINKILLER HELL AND DAMNATION\RUNME.EXE
addsgn 9252770A156AC1CC0B54514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 14 Trojan.DownLoad2.31775 [DrWeb]

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER
deldir %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER
deldirex %SystemDrive%\USERS\ONE\APPDATA\LOCAL\MEDIAGET2
deldirex %SystemDrive%\USERS\ONE\APPDATA\ROAMING\ZONA
delall %SystemDrive%\USERS\ONE\APPDATA\ROAMING\ZONA\RESTART.BAT
;------------------------autoscript---------------------------

chklst
delvir

delref {EE932B49-D5C0-4D19-A3DA-CE0849258DE6}\[CLSID]

delref HTTP:\\PLARIUM.COM\PLAY\RU\PIRATES\TOP\?ADCAMPAIGN=31908&CLICKID=ZYYE0D0B0CZY0BYCZY0EZZTCYEYE0B0E&PUBLISHERID=0

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

2. по зашифрованным файлам: скиньте в почту [email protected] id и пароль от Тимвьювера, проверю возможность восстановления данных по одному из методов.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.02.2015 13:01:15

добавьте образ автозапуска, надо посмотреть нет ли шифратора в памяти
http://forum.esetnod32.ru/forum9/topic2687/

желательно все это сделать быстрее, иначе вероятность восстановить данные уменьшится.

Изменено: santy - 30.06.2017 05:53:02

[ Как создать образ автозапуска? ]

Перейти

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.02.2015 11:53:19

google - такого дешифратора нет

.
на ctb lock - нет, на bat.encoder - нет (при том, что распространяются с середины 2014 г), на xtbl - тоже нет. на Cryakl/encoder.567 нет.
на 741 есть по заявлению некоторых специалистов с положительной вероятностью.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.02.2015 11:48:40

к сожалению, в вашем случае восстановление по данному методу невозможно. со всех дисков.

[ Как создать образ автозапуска? ]

Перейти

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.02.2015 10:59:31

на какие,например, есть дешифраторы?

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.02.2015 10:58:36

загрузите тимвьювер, и напишите в почту [email protected] id и пароль

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.02.2015 10:56:46

ок, сейчас посмотрим что можно сделать. система какая?

Изменено: santy - 30.06.2017 05:53:01

[ Как создать образ автозапуска? ]

Перейти