Вирус xbtl, как расшифровать файлы

[Timur Malygin]

Здравствуйте, друзья.

Мой друг поймал страшный вирус, который зашифровал (xbtl) все семейные фотографии.

Резервных копий фото нету. Осталось надеяться на Вашу помощь. Помогите пожалуйста.

 

 

 

CollectionLog-2015.06.12-21.52.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DelBHO('{79E1CFFB-E2E0-436C-B82A-9902BBEA6391}');
QuarantineFile('C:\Program Files (x86)\WebBars\Basement\Extension32.dll','');
TerminateProcessByName('c:\program files (x86)\napnut\nezavisimo\krip.exe');
QuarantineFile('c:\program files (x86)\napnut\nezavisimo\krip.exe','');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
TerminateProcessByName('c:\program files (x86)\webbars\basement\backgroundengine.exe');
QuarantineFile('c:\program files (x86)\webbars\basement\backgroundengine.exe','');
DeleteFile('c:\program files (x86)\webbars\basement\backgroundengine.exe','32');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('c:\program files (x86)\napnut\nezavisimo\krip.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Nezavisimo');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Program Files (x86)\WebBars\Basement\Extension32.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Сделайте новые логи по правилам

[Timur Malygin]

KLAN-2865033734

 

Здравствуйте,

Это сообщение было сгенерировано автоматически сообщение отклика системы. Сообщение содержит сведения о вердикты, которые были возвращены Анти-вирус, в ответ на файлы (если таковые включены в сообщение) с последними обновлениями.

backgroundengine.exe,
Extension32.dll

Набор неизвестных файлов был получен. Они будут отправлены в вирусную лабораторию.

csrss.exe - Trojan-Ransom.NSIS.Onion.wz
krip.exe - Trojan-Dropper.Win32.Injector.mfty

Новое вредоносное ПО было обнаружено в этих файлах. Детектирование будет включено в очередное обновление. Спасибо за вашу помощь.

ClearLNK-13.06.2015_17-33.log

[thyrex]

А это?

 

 

Сделайте новые логи по правилам

[Timur Malygin]

Вот пожалуйста, новые логи. Спасибо Вам.

CollectionLog-2015.06.13-19.16.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Timur Malygin]

После сканирование программой  Farbar Recovery Scan Tool 64, появится один файл FRST. Прикрепил его во вложении.

FRST.txt

[thyrex]

Addition.txt не было?

[Timur Malygin]

На удивление, не было файла Addition.txt

[Timur Malygin]

thyrex, что мне делать ? у меня не было файла Addition.txt

Кто мне может помочь разшифровать фото ?

[mike 1]

Запустите Farbar, поставьте галочку напротив Addtion.txt, выполните сканирование. 

[Timur Malygin]

Эврика. Изначально была проблема в сканирование.

Farbar стопорился на браузере firefox x86, решил ее путем удаления нескольких программ с ноута пациента.

После чего сразу перезагрузил ноут и заново запустил Farbar. Вот файлы с пациента.

 

Addition.txt

FRST.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
BHO-x32: No Name -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} ->  No File
BHO: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} ->  No File
BHO-x32: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} ->  No File
Toolbar: HKLM-x32 - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3316231790-248930342-809220319-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File
Tcpip\..\Interfaces\{BCDFCB83-3CC0-4EFB-A25E-FFA9582E0466}: [NameServer] 172.245.83.128,8.8.4.4
CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path Or update_url value
2015-06-11 17:33 - 2015-06-11 17:33 - 03148854 _____ C:\Users\ACER\AppData\Roaming\F35D7E65F35D7E65.bmp
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\Public\Desktop\README9.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\Public\Desktop\README8.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\Public\Desktop\README7.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\Public\Desktop\README6.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\Public\Desktop\README5.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\Public\Desktop\README4.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\Public\Desktop\README3.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\Public\Desktop\README2.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\Public\Desktop\README10.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\Public\Desktop\README1.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\ACER\Desktop\README9.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\ACER\Desktop\README8.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\ACER\Desktop\README7.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\ACER\Desktop\README6.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\ACER\Desktop\README5.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\ACER\Desktop\README4.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\ACER\Desktop\README3.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\ACER\Desktop\README2.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\ACER\Desktop\README10.txt
2015-06-11 17:32 - 2015-06-11 17:32 - 00000893 _____ C:\Users\ACER\Desktop\README1.txt
2015-06-05 17:31 - 2015-06-05 17:31 - 00000893 _____ C:\README9.txt
2015-06-05 17:31 - 2015-06-05 17:31 - 00000893 _____ C:\README8.txt
2015-06-05 17:31 - 2015-06-05 17:31 - 00000893 _____ C:\README7.txt
2015-06-05 17:31 - 2015-06-05 17:31 - 00000893 _____ C:\README6.txt
2015-06-05 17:31 - 2015-06-05 17:31 - 00000893 _____ C:\README5.txt
2015-06-05 17:31 - 2015-06-05 17:31 - 00000893 _____ C:\README4.txt
2015-06-05 17:31 - 2015-06-05 17:31 - 00000893 _____ C:\README3.txt
2015-06-05 17:31 - 2015-06-05 17:31 - 00000893 _____ C:\README2.txt
2015-06-05 17:31 - 2015-06-05 17:31 - 00000893 _____ C:\README10.txt
2015-06-05 17:30 - 2015-06-13 14:48 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-05 17:30 - 2015-06-13 14:48 - 00000000 __SHD C:\ProgramData\Windows
2015-06-05 17:29 - 2015-06-05 17:29 - 00000000 ____D C:\Program Files (x86)\Napnut
2012-08-15 16:31 - 2012-08-15 16:31 - 0005034 _____ () C:\ProgramData\pubjtini.xmz
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[Timur Malygin]

Готово.

Fixlog.txt

[thyrex]

С расшифровкой не поможем.

 

По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии