Перейти к содержанию

Шифрование файлов

babygenius
 Поделиться

Рекомендуемые сообщения

babygenius

babygenius

Опубликовано
Опубликовано

Зашифровались данные, поменялось расширение на xtbl.

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
3BB407CD5C26628D7560|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
3BB407CD5C26628D7560|0
to e-mail address decode010@gmail.com or decode1110@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2015.04.14-22.38.zip

mike 1

mike 1

Опубликовано
Опубликовано (изменено)
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! Из двух антивирусов оставьте только один, второй деинсталлируйте.
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\Компьютер\AppData\Roaming\Browsers\exe.rehcnual.bat','');
 QuarantineFile('C:\Users\Компьютер\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\Компьютер\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\Users\Компьютер\AppData\Roaming\466D2B79\bin.exe','');
 DeleteFile('C:\Users\Компьютер\AppData\Roaming\466D2B79\bin.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','466D2B79');
 DeleteFile('C:\Users\Компьютер\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\Компьютер\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Users\Компьютер\AppData\Roaming\Browsers\exe.rehcnual.bat','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchizi.ru

 

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
Сделайте новые логи Автологгером. 
 
Смените все пароли
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 
Изменено пользователем mike 1
mike 1

mike 1

Опубликовано
Опубликовано

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF Extension: Quick Searcher - C:\Users\Компьютер\AppData\Roaming\Mozilla\Firefox\Profiles\hdxkmovk.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2015-03-23]
CHR Extension: (No Name) - C:\Users\Компьютер\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-07-05]
CHR Extension: (No Name) - C:\Users\Компьютер\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-07-05]
CHR Extension: (No Name) - C:\Users\Компьютер\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdmjagdcpkfpebaaffpafncgkleijako [2015-03-23]
CHR Extension: (No Name) - C:\Users\Компьютер\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-07-05]
CHR Extension: (No Name) - C:\Users\Компьютер\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2015-04-05]
CHR Extension: (No Name) - C:\Users\Компьютер\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-07-05]
CHR Extension: (No Name) - C:\Users\Компьютер\AppData\Local\Google\Chrome\User Data\Default\Extensions\fopefgobkmblbipkdebgnnlclchlakom [2015-03-23]
CHR Extension: (No Name) - C:\Users\Компьютер\AppData\Local\Google\Chrome\User Data\Default\Extensions\jaeahnnfohikjnejpokeaaiinijhpfop [2015-03-23]
CHR Extension: (No Name) - C:\Users\Компьютер\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-12]
CHR Extension: (No Name) - C:\Users\Компьютер\AppData\Local\Google\Chrome\User Data\Default\Extensions\njabjmhinndphfnbjehdalkphpdmepli [2015-03-23]
CHR Extension: (No Name) - C:\Users\Компьютер\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-05-07]
CHR Extension: (No Name) - C:\Users\Компьютер\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-07-05]
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - No Path Or update_url value
CHR HKLM\...\Chrome\Extension: [fopefgobkmblbipkdebgnnlclchlakom] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path Or update_url value
CHR HKLM\...\Chrome\Extension: [jaeahnnfohikjnejpokeaaiinijhpfop] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [njabjmhinndphfnbjehdalkphpdmepli] - https://clients2.google.com/service/update2/crx
2015-04-12 18:11 - 2015-04-15 06:21 - 00000000 ___HD () C:\Users\Компьютер\AppData\Roaming\466D2B79
2015-04-12 18:11 - 2015-04-14 07:56 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-04-12 18:11 - 2015-04-14 07:56 - 00000000 __SHD () C:\ProgramData\Windows
2015-03-23 22:31 - 2015-03-23 22:31 - 00000258 __RSH () C:\Users\Компьютер\ntuser.pol
2015-03-23 21:32 - 2015-03-23 21:32 - 00000626 __RSH () C:\Users\Все пользователи\ntuser.pol
2015-03-23 21:32 - 2015-03-23 21:32 - 00000626 __RSH () C:\ProgramData\ntuser.pol
2015-03-23 21:32 - 2015-03-23 21:32 - 00000000 ____D () C:\Users\Компьютер\AppData\Roaming\SPI
2015-03-23 21:32 - 2015-03-23 21:32 - 00000000 ____D () C:\Users\Компьютер\AppData\Roaming\Browsers
2015-04-14 07:30 - 2015-04-14 07:30 - 6220854 _____ () C:\Users\Компьютер\AppData\Roaming\727274A9727274A9.bmp
C:\ProgramData\ms0036589B.dat
C:\Users\Все пользователи\ms0036589B.dat
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\466D2B79]
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
 

 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • EvilOdmin
      Kaspersky Endpoint Security и шифрование файлов при недоступности сервера
      Автор EvilOdmin
      Добрый день! Подскажите, как должен работать функционал шифрования файлов по правилам при отвале сервера security center? В документации говорится что он должен запрашивать каждый раз ключ с сервера для расшифровки при обращении к файлу, но если отключить сеть, зашифрованные файлы на рабочей станции продолжают открываться. После какого промежутка времени они перестанут? Как этим промежутком управлять? Или же это работает как-то иначе?
    • Татьяна Кравчук
      Файлы зашифрованы самым стойким алгоритмом шифрования AES
      Автор Татьяна Кравчук
      Доброго времени суток.
      Вирус зашифровал файлы на домашнем сервере. 
      Спасибо.
       
      Новая папка.rar Addition.txt FRST.txt Shortcut.txt
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов  
    • Tron71
      Шифрование съемных дисков
      Автор Tron71
      Добрый день!
       
      В настройках KSC пытаюсь включить шифрование съемных дисков. Режим шифрования стоит "Шифровать весь съемный диск" и галка "Шифровать только занятое пространство". При подключении флешки не появляется уведомление о необходимости зашифровать съемный диск. В чем может быть проблема?
      Другие режимы шифрования так же не работают. Перепробовал с несколькими флешками, и c FAT32 и c NTFS, результат один и тот же. ОС Win7
       

       
       
    • CredoLin
      Шифрование виртуалок и рабочих станций
      Автор CredoLin
      Здравствуйте!
       
      В ночь произошел инцидент, в котором выяснилось, что кто-то смог авторизоваться с помощью учетной записи Kaspersky, подобрать пароль от машин VMWare и зашифровать виртуальные машины, а также содержимое файловых систем.
      Файл с требованиями находится внутри архива.
      Доступ по RDP есть к этим виртуальным машинам есть. Сейчас отключено RDP.
       
      ИИ намекнул, что, возможно, это ALPHV, LockBit или BlackMatter.
       
      Прошу помочь в определении шифровальщика и возможность дешифровки.
       
      зашифрованные файлы.zip FRST.txt Addition.txt
    • KL FC Bot
      Постквантовое шифрование: где внедрено и что со совместимостью
      Автор KL FC Bot
      Новости о прорывах, ведущих к появлению практически полезного квантового компьютера, появляются регулярно. А самого компьютера пока нет, поэтому взламывать шифрование на нем никто не может. Но когда такой компьютер появится, решать проблему будет поздно, поэтому уже сегодня в мире активно стандартизуются новые алгоритмы шифрования, устойчивые и к классическим способам взлома, и к атакам на квантовом компьютере. Подобные алгоритмы называются постквантовыми или квантово устойчивыми. Поддержка этих алгоритмов постепенно появляется в повседневных устройствах и приложениях, например, недавно ее включили в Google Chrome. Это, кстати, немедленно обнажило проблемы совместимости в обычной IT-инфраструктуре организаций. Итак, где уже внедрены «посткванты» и к чему готовиться IT-командам?
      В каких сервисах уже поддерживаются постквантовые алгоритмы
      Amazon. Облачный гигант еще в 2020 году внедрил «постквантовую» разновидность TLS 1.3 для своего сервиса управления ключами AWS KMS. С тех пор решение обновлялось, переходя на параметры конфигурации в соответствии с рекомендациями NIST.
      Apple iOS/iPadOS/macOS. В феврале 2024 года Apple анонсировала обновление протокола iMessage, который будет использовать квантово устойчивый протокол PQ3 для обмена ключами. Он основан на рекомендованном NIST алгоритме Kyber, но параллельно использует классическую эллиптическую криптографию, то есть шифрование двойное.
      Cloudflare. С сентября 2023 года Cloudflare поддерживает постквантовые алгоритмы согласования ключей при установке соединения с origin-серверами (сайтами клиентов) и постепенно разворачивает поддержку постквантового шифрования для соединений с клиентами. Технология используется при установке соединения TLS с совместимыми серверами/клиентами — это двойной алгоритм согласования ключей: классический X25519 для вычисления одной части ключа и постквантовый Kyber для другой. Это популярная комбинация получила название X25519Kyber768.
       
      View the full article
×
×
  • Создать...