Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

файлы зашифрованы с расширением *.paycrypt / *.keybtc@gmail_com, bat encoder / GnuPG
судя по дате создания файлов это было давно бат.энкодером. (13.10.2014 г)
gpg: зашифровано ключом RSA c ID CE0EC7DF
расшифровка в данном случае невозможна, нет секретного ключа.

сам секретный ключ зашифрован публик ключом злоумышленников
gpg: зашифровано ключомì RSA с ID A3CE7DBE
расшифровка так же невозможна, данный ключ только у злоумышленников.
-------------------------
Изменено: santy - 17.04.2017 07:17:00
зашифровано с расширением id-*_paycrypt@inbox.com, Filecoder.DG
добавьте образ автозапуска
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
по времени я не всегда бываю на форуме. хотя через 15 минут уже выйду из сети. напишите по Москве, в какое время будете в сети?
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
1. выполните скрипт очистки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ONE\APPDATA\ROAMING\SSLEAS.EXE
addsgn A7679B19919A7FB282915E09D8515105CDAD530A76C9DF2DED6758FF50B2­8E7C479EE3DA6BA525482B80847766D9B505F69A18C8ED47F32CC51432D3­38733A19 8 Win32/CoinMiner.SX [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\ZONA\ZONAUPDATER.EXE
addsgn 9252773A166AC1CC0BA4524E3341F788B9AE7C3776052EB8D5FA19C9AB90­371F4BE645503E021E8A2FD3EC66B91549ACFE1CEC21051DB32F2D75A4BF­5753B224 14 a variant of Win32/Kryptik.AADO [NOD32]

zoo %SystemDrive%\USERS\ONE\APPDATA\ROAMING\ZONA\PLUGINS\ZUPDATE­R\ZONAUPDATER.EXE
zoo D:\PAINKILLER HELL AND DAMNATION\RUNME.EXE
addsgn 9252770A156AC1CC0B54514E33231995AF8CBA7E8EBD1EA3F0C44EA2D338­8D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4­D985CC8F 14 Trojan.DownLoad2.31775 [DrWeb]

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER
deldir %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER
deldirex %SystemDrive%\USERS\ONE\APPDATA\LOCAL\MEDIAGET2
deldirex %SystemDrive%\USERS\ONE\APPDATA\ROAMING\ZONA
delall %SystemDrive%\USERS\ONE\APPDATA\ROAMING\ZONA\RESTART.BAT
;------------------------autoscript---------------------------

chklst
delvir

delref {EE932B49-D5C0-4D19-A3DA-CE0849258DE6}\[CLSID]

delref HTTP:\\PLARIUM.COM\PLAY\RU\PIRATES\TOP\?ADCAMPAIGN=31908&CLICKID=ZYYE0D0B0CZY0BYCZY0EZZTCYEYE0B0E&PU­BLISHERID=0

deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.

2. по зашифрованным файлам: скиньте в почту [URL=mailto:safety@chklst.ru]safety@chklst.ru[/URL] id и пароль от Тимвьювера, проверю возможность восстановления данных по одному из методов.
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
добавьте образ автозапуска, надо посмотреть нет ли шифратора в памяти
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

желательно все это сделать быстрее, иначе вероятность восстановить данные уменьшится.
Изменено: santy - 30.06.2017 05:53:02
зашифровано в CTBlocker
google - такого дешифратора нет :).
на ctb lock - нет, на bat.encoder - нет (при том, что распространяются с середины 2014 г), на xtbl - тоже нет. на Cryakl/encoder.567 нет.
на 741 есть по заявлению некоторых специалистов с положительной вероятностью.
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
к сожалению, в вашем случае восстановление по данному методу невозможно. со всех дисков.
зашифровано в CTBlocker
на какие,например, есть дешифраторы?
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
загрузите тимвьювер, и напишите в почту [URL=mailto:safety@chklst.ru]safety@chklst.ru[/URL] id и пароль
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
ок, сейчас посмотрим что можно сделать. система какая?
Изменено: santy - 30.06.2017 05:53:01