Перейти к содержанию

Почти все файлы зашифрованы файлы в формате .XTBL


Рекомендуемые сообщения

Dсе файлы зашифровались в белиберду с расширением.xtbl


Например: IbP-aWFDVSZQR4uyP12e57gGI6IIrM69xhtngQdsfZk=


 


В текстовиках созданных вирусом на диске D пишется вот это:


Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

BA4DEDAD52A1B5B4505B|0

на электронный адрес decoder1112@gmail.com или deshifrovka@india.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

BA4DEDAD52A1B5B4505B|0

to e-mail address decoder1112@gmail.com or deshifrovka@india.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

Прикрепил файлы Addition и FRST, которую выдал программа Farbar Recovery Scan Tool.

 

 

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\storegidfilter.sys','');
QuarantineFile('C:\Windows\cuda.exe','');
QuarantineFile('C:\Windows\cpu.exe','');
QuarantineFile('C:\Users\Ислам\AppData\Local\Microsoft\Extensions\extsetup.exe','');
QuarantineFile('C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe','');
DelBHO('{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478}');
DelBHO('{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}');
QuarantineFile('C:\Users\Ислам\AppData\Roaming\glister\nvm.dll','');
QuarantineFile('C:\Users\Ислам\AppData\Roaming\eTranslator\eTranslator.exe','');
QuarantineFile('C:\Users\Ислам\AppData\Local\storegid\storegidup.exe','');
QuarantineFile('C:\Users\Ислам\AppData\Local\Temp\utt4751.tmp.exe','');
QuarantineFile('C:\Users\Ислам\AppData\Local\Kometa\kometaup.exe','');
QuarantineFile('C:\Users\Ислам\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Users\Ислам Биналиев\AppData\Roaming\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Users\Ислам Биналиев\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Ислам Биналиев\AppData\Roaming\B20EC984\bin.exe','');
QuarantineFile('C:\Users\Ислам Биналиев\AppData\Roaming\Browsers\exe.emorhc.bat','');
QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
QuarantineFile('C:\ProgramData\Program status\scheck.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
DeleteFile('C:\Program Files (x86)\Babylon\Babylon-Pro\Babylon.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Babylon Client','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RedSurf','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EADM','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Omiga Plus','command');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
DeleteFile('C:\ProgramData\Program status\scheck.exe','32');
DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sCloudStatusCheck','command');
DeleteFile('C:\Users\Ислам Биналиев\AppData\Local\Amigo\Application\amigo.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
DeleteFile('C:\Users\Ислам Биналиев\AppData\Local\Amigo\Application\vk.exe','32');
DeleteFile('C:\Users\Ислам Биналиев\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\Ислам Биналиев\AppData\Roaming\B20EC984\bin.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','B20EC984');
DeleteFile('C:\Users\Ислам Биналиев\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Ислам Биналиев\AppData\Roaming\Browsers\exe.resworb.bat','32');
DeleteFile('C:\Users\Ислам\AppData\Local\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Users\Ислам\AppData\Local\Kometa\kometaup.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_7A59FCB06FD13593137ABCEEC1796A9C','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
DeleteFile('C:\Users\Ислам\AppData\Local\Temp\utt4751.tmp.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uTorrent','command');
DeleteFile('C:\Users\Ислам\AppData\Local\storegid\storegidup.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegidUpdater','command');
DeleteFile('C:\Users\Ислам\AppData\Roaming\eTranslator\eTranslator.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eTranslator Update','command');
DeleteFile('C:\Users\Ислам\AppData\Roaming\glister\nvm.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\reg_svr','command');
DeleteFile('C:\Program Files (x86)\Ticno\Tabs\TicnoTabsBho120618.dll','32');
DeleteFile('res:\C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm','32');
DeleteFile('C:\Users\583C~1\AppData\Local\Temp\11634289FdOh','32');
DeleteFile('C:\Users\583C~1\AppData\Local\Temp\4410101FdOh','32');
DeleteFile('C:\Windows\Tasks\At2.job','64');
DeleteFile('C:\Windows\Tasks\At1.job','64');
DeleteFile('C:\Windows\Tasks\At3.job','64');
DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job','64');
DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job','64');
DeleteFile('C:\Windows\Tasks\SpeedUpMyPC.job','64');
DeleteFile('C:\Program Files (x86)\Uniblue\SpeedUpMyPC\sump.exe','32');
DeleteFile('C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe','32');
DeleteFile('C:\Users\583C~1\AppData\Local\Temp\15142330aq','32');
DeleteFile('C:\Program Files (x86)\Uniblue\SpeedUpMyPC\spmonitor.exe','32');
DeleteFile('C:\Windows\Tasks\spmonitor.job','64');
DeleteFile('C:\Windows\system32\Tasks\At1','64');
DeleteFile('C:\Windows\system32\Tasks\At2','64');
DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
DeleteFile('C:\Users\Ислам\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
DeleteFile('C:\Program Files (x86)\Omiga Plus\omigaplus.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
DeleteFile('C:\Windows\system32\Tasks\Omiga Plus RunAsStdUser','64');
DeleteFile('C:\Windows\system32\Tasks\SaveSenseLiveUpdateTaskMachineCore','64');
DeleteFile('C:\Windows\system32\Tasks\SaveSenseLiveUpdateTaskMachineUA','64');
DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC','64');
DeleteFile('C:\Windows\system32\Tasks\spmonitor','64');
DeleteFile('C:\Windows\cpu.exe','32');
DeleteFile('C:\Windows\cuda.exe','32');
DeleteFile('C:\Windows\storegidfilter.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
     
    move.gif
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте новые логи по правилам

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...