Перейти к содержанию

Шифровальщик xtbl

serega2015
 Поделиться

Рекомендуемые сообщения

serega2015

serega2015

Опубликовано
Опубликовано

все файлы переименованы в белиберду с расширением.xtbl. 

В многочисленных текстовиках созданных вирусом пишется вот это:

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
636211FC118AEE01BE0A|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
636211FC118AEE01BE0A|0
to e-mail address decode00001@gmail.com or decode00002@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2015.03.19-11.53.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\VK Downloader\UTikzNzHO9.exe','');
QuarantineFile('C:\Program Files (x86)\advPlugin\_NPzSTtn8u.exe','');
QuarantineFile('C:\Users\user\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Program Files (x86)\WiseEnhance\bin\utilWiseEnhance.exe','');
QuarantineFile('C:\Program Files (x86)\WiseEnhance\updateWiseEnhance.exe','');
DeleteService('Util WiseEnhance');
SetServiceStart('Update WiseEnhance', 4);
DeleteService('Update WiseEnhance');
TerminateProcessByName('c:\program files (x86)\wiseenhance\updatewiseenhance.exe');
QuarantineFile('c:\program files (x86)\wiseenhance\updatewiseenhance.exe','');
TerminateProcessByName('c:\users\user\appdata\local\kometa\application\kometa.exe');
QuarantineFile('c:\users\user\appdata\local\kometa\application\kometa.exe','');
DeleteFile('c:\users\user\appdata\local\kometa\application\kometa.exe','32');
DeleteFile('c:\program files (x86)\wiseenhance\updatewiseenhance.exe','32');
DeleteFile('C:\Program Files (x86)\WiseEnhance\updateWiseEnhance.exe','32');
DeleteFile('C:\Program Files (x86)\WiseEnhance\bin\utilWiseEnhance.exe','32');
DeleteFile('C:\Users\user\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Users\user\AppData\Local\Amigo\Application\ok.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo');
DeleteFile('C:\Users\user\AppData\Local\Amigo\Application\vk.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_9C1BC4CD9BA445F94CF1E8A1E333F87E');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_23B00AE0BBAC51F87C57CAF0278F13F6');
DeleteFile('C:\Users\user\AppData\Local\Kometa\Application\kometa.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','skbkxakbtd');
DeleteFile('C:\Program Files (x86)\advPlugin\_NPzSTtn8u.exe','32');
DeleteFile('C:\Windows\Tasks\Update Service for advPlugin.job','64');
DeleteFile('C:\Windows\Tasks\Update Service for advPlugin2.job','64');
DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader.job','64');
DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader2.job','64');
DeleteFile('C:\Program Files (x86)\VK Downloader\UTikzNzHO9.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Update Service for advPlugin','64');
DeleteFile('C:\Windows\system32\Tasks\Update Service for advPlugin2','64');
DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader','64');
DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader2','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ser25
      Шифровальщик
      Автор Ser25
      Взломали пароль и зашифровали удаленный комп. Пока ничего не предпринимал
      20250507.7z
    • Пользователь 1551
      Шифровальщик
      Автор Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Thunderer
      Шифровальщик
      Автор Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Сергей_00
      шифровальщик
      Автор Сергей_00
      Добрый день!
      Сегодня шифровальщик зашифровал большую часть нужных файлов, благо выключили компьютер из розетки...
      В результате остались файлы в папке запуска подозрительного файла   svhostss.exe, а именно в папке c:\users\пользователь\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\svhostss.exe
      следующие файлы:
      Everything.db
      Everything32.dll
      Everything64.dll
      session.tmp
      svhostss.exe
       
      быть может есть возможность дешифровать данные? 
    • bygi13
      Шифровальщик
      Автор bygi13
      Вирус шифровальщик
×
×
  • Создать...