Перейти к содержанию

Ваши файлы были зашифрованы - помогите

stavps
 Поделиться

Рекомендуемые сообщения

stavps

stavps

Опубликовано
Опубликовано

Здравствуйте!

Прошу помощи. Зашифровались все важные для меня файлы компьютера, а именно документы фото, видео, картинки, видео и прочее..

 

На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков (скрин прилагается)

А все файлы зашифровались в белиберду с расширением.xtbl,

например вот AOo24pFDaz16oKBIAqRoSw==.xtbl

 

В многочисленных текстовиках созданных вирусом пишется вот это:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

D4C7100D0370C9340FEA|13|2|12

на электронный адрес decode00001@gmail.com или decode00002@gmail.com .

Далее вы получите все необходимые инструкции. 

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

D4C7100D0370C9340FEA|13|2|12

to e-mail address decode00001@gmail.com or decode00002@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data. 

 

 

Если что-то ещё надо, только скажите.

Очень жду вашей помощи.

Заранее огромное спасибо.


AutoLogger

Roman_Five

Roman_Five

Опубликовано
Опубликовано
логи нужно прикреплять здесь. и только те, что просят. а не всю папку автологгера.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
 
 

Приложите логи Farbar Recovery Scan Tool
 
Roman_Five

Roman_Five

Опубликовано
Опубликовано
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

HKU\S-1-5-21-3757579483-1165693054-4196584214-1000\...\Run: [16F60920] => C:\Users\uzer\AppData\Roaming\16F60920\bin.exe

HKU\S-1-5-21-3757579483-1165693054-4196584214-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.snap.do/?publisher=ShoppingHelper&dpid=OB_231_79&co=RU&userid=9cc4c046-d049-872e-70cf-340516ca239c&searchtype=ds&q={searchTerms}&installDate=27/01/2014

SearchScopes: HKLM-x32 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=ShoppingHelper&dpid=OB_231_79&co=RU&userid=9cc4c046-d049-872e-70cf-340516ca239c&searchtype=ds&q={searchTerms}&installDate=27/01/2014

SearchScopes: HKU\S-1-5-21-3757579483-1165693054-4196584214-1000 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=ShoppingHelper&dpid=OB_231_79&co=RU&userid=9cc4c046-d049-872e-70cf-340516ca239c&searchtype=ds&q={searchTerms}&installDate=27/01/2014

BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> C:\Program Files (x86)\Yandex\FastDial\fastdial64Host.dll No File

BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> C:\Program Files (x86)\Yandex\FastDial\fastdialHost.dll No File

FF HKU\S-1-5-21-3757579483-1165693054-4196584214-1000\...\Firefox\Extensions: [{B64D9B05-48E1-4CEB-BF58-E0643994E900}] - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\ff

CHR Extension: (No Name) - C:\Users\uzer\AppData\Local\Google\Chrome\User Data\Default\Extensions\jchepaljijgokkoflakjioknkfolenbk [2014-09-29]

CHR Extension: (No Name) - C:\Users\uzer\AppData\Local\Google\Chrome\User Data\Default\Extensions\jggbjbmnfmipgcanidamjfpechdeekoi [2014-10-07]

CHR Extension: (No Name) - C:\Users\uzer\AppData\Local\Google\Chrome\User Data\Default\Extensions\nikpibnbobmbdbheedjfogjlikpgpnhp [2014-01-28]

CHR Extension: (Google Wallet) - C:\Users\uzer\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-10-27]

CHR Extension: (No Name) - C:\Users\uzer\AppData\Local\Google\Chrome\User Data\Default\Extensions\pldbienodkpgkccocelidinmciedjdok [2014-10-10]

CHR HKU\S-1-5-21-3757579483-1165693054-4196584214-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nikpibnbobmbdbheedjfogjlikpgpnhp] - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\DVDVideoSoftBrowserExtension.crx [2014-01-26]

CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - https://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - https://clients2.google.com/service/update2/crx

OPR Extension: (No Name) - C:\Users\uzer\AppData\Roaming\Opera Software\Opera Stable\Extensions\jchepaljijgokkoflakjioknkfolenbk [2014-09-19]

2015-03-04 09:59 - 2015-03-05 08:50 - 00000000 __SHD () C:\Users\Все пользователи\Windows

2015-03-04 09:59 - 2015-03-05 08:50 - 00000000 __SHD () C:\ProgramData\Windows

2015-03-04 09:59 - 2015-03-05 08:50 - 00000000 ___HD () C:\Users\uzer\AppData\Roaming\16F60920

Task: {3B9DD6FC-3A28-457A-8600-BB9790E0BF2E} - \chrome5_logon No Task File <==== ATTENTION

Task: {AB20486F-55DF-44A1-B300-B60838C7AC76} - \chrome5 No Task File <==== ATTENTION

AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A

AlternateDataStreams: C:\ProgramData\TEMP:A064CECC

AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A

AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC

EmptyTemp:

Reboot:


Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

mike 1

mike 1

Опубликовано
Опубликовано

Смените все пароли. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • himik100
      Помогите, зашифровали все файлы
      Автор himik100
      Здравствуйте, словил шифровальщика, видимо по RDP, так как были левые учётки, зашифровали все файлы с расширением .ENC
      прикладываю файлы. Система была переустновлена. Возможно ли восстановить что нибудь?
      virus pass.rar
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      Автор Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • sanka
      Ваши документы, базы данных и другие файлы были зашифрованы.
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • Валерий Б
      VHO:Trojan-Ransom.MSIL.Loki.e Зашифрованные файлы. Помогите расшифровать!
      Автор Валерий Б
      Доброго времени суток. На компьютере сработал троян и зашифровал файлы. Касперский обнаружил его поди именем VHO:Trojan-Ransom.MSIL.Loki.e.
      Шифрует файлы под именем: [RecoverBlackBit@onionmail.org][78C84540]**********.xlsx.BlackBit (звездочками закрыл название файла)
      и есть такие: [RecoverBlackBit@onionmail.org][78C84540]************.txt.[dectokyo@onionmail.org].[36D80101].RYK.BlackBit
      В папке оставляет файл Restore-My-Files.txt
      с таким текстом:
      !!!All of your files are encrypted!!!
      To decrypt them send e-mail to this address: RecoverBlackBit@onionmail.org
      In case of no answer in 24h, send e-mail to this address: RecoverBlackBit@onionmail.org
      All your files will be lost on 25 ноября 2023 г. 8:58:50.
      Your SYSTEM ID : 78C84540
      !!!Deleting "Cpriv.BlackBit" causes permanent data loss.
       
      Подскажите, есть шансы восстановить информацию?
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
×
×
  • Создать...