Перейти к содержанию

Шифровальщик xtbl

serega2015
 Share

Рекомендуемые сообщения

serega2015 Новичок

serega2015

Опубликовано
Опубликовано

все файлы переименованы в белиберду с расширением.xtbl. 

В многочисленных текстовиках созданных вирусом пишется вот это:

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
636211FC118AEE01BE0A|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
636211FC118AEE01BE0A|0
to e-mail address decode00001@gmail.com or decode00002@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2015.03.19-11.53.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\VK Downloader\UTikzNzHO9.exe','');
QuarantineFile('C:\Program Files (x86)\advPlugin\_NPzSTtn8u.exe','');
QuarantineFile('C:\Users\user\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Program Files (x86)\WiseEnhance\bin\utilWiseEnhance.exe','');
QuarantineFile('C:\Program Files (x86)\WiseEnhance\updateWiseEnhance.exe','');
DeleteService('Util WiseEnhance');
SetServiceStart('Update WiseEnhance', 4);
DeleteService('Update WiseEnhance');
TerminateProcessByName('c:\program files (x86)\wiseenhance\updatewiseenhance.exe');
QuarantineFile('c:\program files (x86)\wiseenhance\updatewiseenhance.exe','');
TerminateProcessByName('c:\users\user\appdata\local\kometa\application\kometa.exe');
QuarantineFile('c:\users\user\appdata\local\kometa\application\kometa.exe','');
DeleteFile('c:\users\user\appdata\local\kometa\application\kometa.exe','32');
DeleteFile('c:\program files (x86)\wiseenhance\updatewiseenhance.exe','32');
DeleteFile('C:\Program Files (x86)\WiseEnhance\updateWiseEnhance.exe','32');
DeleteFile('C:\Program Files (x86)\WiseEnhance\bin\utilWiseEnhance.exe','32');
DeleteFile('C:\Users\user\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Users\user\AppData\Local\Amigo\Application\ok.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo');
DeleteFile('C:\Users\user\AppData\Local\Amigo\Application\vk.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_9C1BC4CD9BA445F94CF1E8A1E333F87E');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_23B00AE0BBAC51F87C57CAF0278F13F6');
DeleteFile('C:\Users\user\AppData\Local\Kometa\Application\kometa.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','skbkxakbtd');
DeleteFile('C:\Program Files (x86)\advPlugin\_NPzSTtn8u.exe','32');
DeleteFile('C:\Windows\Tasks\Update Service for advPlugin.job','64');
DeleteFile('C:\Windows\Tasks\Update Service for advPlugin2.job','64');
DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader.job','64');
DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader2.job','64');
DeleteFile('C:\Program Files (x86)\VK Downloader\UTikzNzHO9.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Update Service for advPlugin','64');
DeleteFile('C:\Windows\system32\Tasks\Update Service for advPlugin2','64');
DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader','64');
DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader2','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Евгений А1
      Шифровальщик АES.
      От Евгений А1
      Добрый день! Поймали шифровальщик. Очень похоже на взлом сервера, зашифрованы не только папки которые были видны через сеть, но и папки внутри сервера. Которые не были расшарены. Во вложении файлы про выкуп. Реадми. И примеры зашифрованных файлов.
      vikupandfile.7zAddition.txtFRST.txt
    • Kirill-Ekb
      Шифровальщик ELENOR-corp
      От Kirill-Ekb
      Приветствую
       
      По RDP в локальной сети распространился и зашифровал файлы ELENOR-corp на нескольких компьютерах.
      Во вложении файлы диагностики Farbar Recovery Scan Tool и архив с требованием и двумя небольшими зашифрованными файлами - всё с одного компьютера.
      Также есть файл вируса - готов предоставить по необходимости
      Основная цель: расшифровать файлы
      Addition.txt FRST.txt Требование и пример файлов.7z
    • Rome0
      Шифровальщик-вымогатель .kwx8
      От Rome0
      15.02 ночью. Судя по всему RDP. На комп был проброшен нестандартный порт. Комп для удаленного подключения был включен круглосуточно. Все бы ничего, но остались незавершенные сессии с сетевым хранилищем NAS и там тоже все зашифровало... Все файлы с расширением .kwx8
      Без Вашей помощи не обойтись явно.
      Desktop.zip
×
×
  • Создать...