Перейти к содержанию

Зашифрованы данные, расширение *.xtbl


Рекомендуемые сообщения

Пользователь открыл прикрепленный к письму архив с исполняемым файлом. В результате все документы зашифрованы, имена закодированы, расширение XTBL
В файле readme.txt сообщение:
 
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
AAF521A37442D99B3A13|0
на электронный адрес files100001@gmail.com или files100002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

 
 
 

CollectionLog-2015.11.10-10.51.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('z:\temp\mcse32_00.dll','');
DelCLSID('{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}');
QuarantineFile('C:\Users\hud\AppData\Roaming\Browsers\exe.emorhc_nur.bat','');
QuarantineFile('C:\Users\hud\AppData\Local\Ewmstion\1BB0C802.exe','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
SetServiceStart('bd0001', 4);
SetServiceStart('BDArKit', 4);
SetServiceStart('bd0003', 4);
DeleteService('bd0003');
DeleteService('BDArKit');
DeleteService('bd0001');
DeleteService('bd0002');
DeleteService('BDFileDefend');
DeleteService('BdSandBox');
DeleteService('QMUdisk');
DeleteService('TS888x64');
DeleteService('BDKVRTP');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDFileDefend.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BdSandBox.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TS888x64.sys','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Apkworks','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BDShellExt.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidusdTray','command');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
DeleteFile('C:\Users\hud\AppData\Local\Ewmstion\1BB0C802.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ewmstion','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
DeleteFile('C:\Users\hud\AppData\Roaming\Browsers\exe.emorhc_nur.bat','32');
DeleteFile('z:\temp\mcse32_00.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на сообщение
Поделиться на другие сайты

Выкладываю. Только не понял, что такое номер KLAN?


И почему то не работал метод с перетаскиванием значка. Сработало только после вставления содержмого Check_Browsers_LNK.log в окно программы ClearLNK 

ClearLNK-10.11.2015_12-27.log

Изменено пользователем mike 1
Карантин в теме.
Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты

Лицензия на антивирус от Лаборатории Касперского действующая?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} =>  No File
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} =>  No File
ShellIconOverlayIdentifiers-x32: [  MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} =>  No File
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=94807550_hao_pg
FF Extension: Quick Searcher - C:\Users\hud\AppData\Roaming\Mozilla\Firefox\Profiles\qh50rxvz.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2015-06-08] [not signed]
OPR Extension: (Quick Searcher) - C:\Users\hud\AppData\Roaming\Opera Software\Opera Stable\Extensions\kigmoblgooahdmdibodmcnffgnejlndh [2015-06-08]
S1 bd0001; system32\DRIVERS\bd0001.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
R1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [56136 2015-06-02] (Baidu)
2015-11-09 09:01 - 2015-11-09 09:01 - 06220854 _____ C:\Users\hud\AppData\Roaming\0DF56F320DF56F32.bmp
2015-11-09 09:01 - 2015-11-09 09:01 - 00000899 _____ C:\Users\Public\Desktop\README9.txt
2015-11-09 09:01 - 2015-11-09 09:01 - 00000899 _____ C:\Users\Public\Desktop\README8.txt
2015-11-09 09:01 - 2015-11-09 09:01 - 00000899 _____ C:\Users\Public\Desktop\README7.txt
2015-11-09 09:01 - 2015-11-09 09:01 - 00000899 _____ C:\Users\Public\Desktop\README6.txt
2015-11-09 09:01 - 2015-11-09 09:01 - 00000899 _____ C:\Users\Public\Desktop\README5.txt
2015-11-09 09:01 - 2015-11-09 09:01 - 00000899 _____ C:\Users\Public\Desktop\README4.txt
2015-11-09 09:01 - 2015-11-09 09:01 - 00000899 _____ C:\Users\Public\Desktop\README3.txt
2015-11-09 09:01 - 2015-11-09 09:01 - 00000899 _____ C:\Users\Public\Desktop\README2.txt
2015-11-09 09:01 - 2015-11-09 09:01 - 00000899 _____ C:\Users\Public\Desktop\README10.txt
2015-11-06 13:43 - 2015-11-10 12:02 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-11-06 13:43 - 2015-11-10 12:02 - 00000000 __SHD C:\ProgramData\Windows
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • tized-NSK
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • AlexDreyk
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • dsever
      От dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
    • vyz-project
      От vyz-project
      На рабочем компьютере 19.11.23 начиная примерно в 22:30 (судя по дате изменения) были зашифрованы все файлы. Теперь они все с расширением .id[705C9723-3351].[blankqq@tuta.io].elpy
      На данный момент зараженный компьютер изолирован. Но он был в локальной сети до этого момента.
      Логи и файлы приложил.
      pdf_files.7z Addition.txt FRST.txt
×
×
  • Создать...