Перейти к содержанию

Ваши файлы были зашифрованы. decode0987@gmail.com или decode098@gmail.com

userkompa
 Поделиться

Рекомендуемые сообщения

userkompa

userkompa

Опубликовано
Опубликовано (изменено)

Здравствуйте!

Знакомые поймали вирус. Соответственно, теперь почти все файлы с данными зашифрованы и имеют расширение .xtbl , на рабочем столе с десяток файлов ридми.тхт с содержимым:

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
3419D46888A0DDCD9F05|107|2|2
на электронный адрес decode0987@gmail.com или decode098@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

по инструкции отсюда http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] сделал

1) проверку Kaspersky Virus Removal Tool 2015; ,

2) скачал и запустил автологгер.

 

Можно ли расшифровать данные?

Буду рад помощи.

CollectionLog-2015.06.04-14.56.zip

Изменено пользователем userkompa
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

userkompa

userkompa

Опубликовано
  • Автор
Опубликовано (изменено)

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

     

     

  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

     

    B92LqRQ.png

     

  • Нажмите кнопку Scan.

     

     

  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

     

     

  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

Сделано.

Addition.txt

FRST.txt

Изменено пользователем userkompa
thyrex

thyrex

Опубликовано
Опубликовано

Амиго сами устанавливали?

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
2015-06-04 07:36 - 2015-06-04 07:36 - 03148854 _____ C:\Users\Наталья\AppData\Roaming\5A488E795A488E79.bmp
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README9.txt
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README8.txt
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README7.txt
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README6.txt
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README5.txt
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README4.txt
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README3.txt
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README2.txt
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README10.txt
2015-04-07 14:37 - 2015-06-04 13:19 - 00000000 ____D C:\Users\Наталья\AppData\Roaming\Browsers
 
 
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

userkompa

userkompa

Опубликовано
  • Автор
Опубликовано

Амиго сами устанавливали?

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
2015-06-04 07:36 - 2015-06-04 07:36 - 03148854 _____ C:\Users\Наталья\AppData\Roaming\5A488E795A488E79.bmp
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README9.txt
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README8.txt
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README7.txt
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README6.txt
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README5.txt
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README4.txt
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README3.txt
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README2.txt
2015-06-04 07:36 - 2015-06-04 07:36 - 00000905 _____ C:\Users\Наталья\Desktop\README10.txt
2015-04-07 14:37 - 2015-06-04 13:19 - 00000000 ____D C:\Users\Наталья\AppData\Roaming\Browsers
 
 
Reboot:
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

     

     

  • Обратите внимание, что компьютер будет перезагружен.

     

     

 

 

Fixlog.txt прикрепил. Насчет Амиго - сказать сложно, тот кто пользуется ноутом не может вспомнить, откуда он взялся.

Fixlog.txt

thyrex

thyrex

Опубликовано
Опубликовано

 

 


Насчет Амиго - сказать сложно, тот кто пользуется ноутом не может вспомнить, откуда он взялся.
Тогда удалите через Установку программ

 

С расшифровкой не поможем

 

Как вариант, http://virusinfo.info/showthread.php?t=156188 (тему на Вирусинфо создавать не нужно)

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DmitriyDy
      Зашифрованы файлы *.goodluck.k ; mattersjack768@gmail.com ; Trojan.Encoder.37506
      Автор DmitriyDy
      ПК на Windows11, Windows 10, Windows 7
      Примерная дата шифрования с 17.01.2025
      На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
      На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
      На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
      На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)
       
      Ответ поддержки Dr.Web: 
      В данном случае файл зашифрован Trojan.Encoder.37506.
      Расшифровка нашими силами невозможна
       
      Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan
      Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt
    • sanka
      Ваши документы, базы данных и другие файлы были зашифрованы.
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • Run
      Все файлы переименованы и зашифрованы вида *.goodluck.k ; *.goodluck почта mattersjack768@gmail.com
      Автор Run
      Доброго времени суток, компьютер словил вирус шифровальщик все важные файлы переименованы и зашифрованы вида *.goodluck.k ;  *.goodluck почта mattersjack768@gmail.com в корне диска папка Keylock с файлом ky.DAT кто может помочь как можно вернуть все назад. Восстановление не помогает, файлы также не открываются.
      Логи собраны на лайф диске. Основная ОС Windows Server 2008 R2 по времени зашифрованы 25 февраля 2025 в 4:46
      FRST.txtфайлы зашифрованные.zipKeylock.zip
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
×
×
  • Создать...