Перейти к содержанию

Вирус шифровальщик файлов в .xtbl

Дмитрий Назаров

Автор Дмитрий Назаров
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Дмитрий Назаров

Дмитрий Назаров

Опубликовано
Опубликовано
Добрый день! Прошу помощи в лечении (дешифрации) файлов от вируса шифровальщика.
 
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
6A748682D3920B87DFA5|0
на электронный адрес post8881@gmail.com или post24932@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 

 

CollectionLog-2015.07.21-13.34.zip

Roman_Five

Roman_Five

Опубликовано
Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
 
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Program Files\Common Files\AppDownloads\{D6D33FC8-C7E1-4C9B-8F84-28B5DAF89B29}.exe','');
 QuarantineFile('C:\Program Files\Common Files\AppDownloads\{E906E360-AF5B-4288-A06E-1A1904AC6C1D}.exe','');
 QuarantineFile('C:\Program Files\Common Files\AppDownloads\{3F3FD6F2-9B67-4910-8FDD-924B8C3C9604}.exe','');
 QuarantineFile('C:\Users\BUHGALTER2\AppData\Local\SmartWeb\*','');
 QuarantineFile('C:\Users\BUHGALTER2\AppData\Local\Microsoft\Extensions\*','');
 QuarantineFile('C:\Program Files\CiPlus-4.5vV12.07\*','');
 QuarantineFile('C:\Program Files\globalUpdate\*','');
 QuarantineFile('C:\Users\BUHGALTER2\AppData\Local\Kometa\*','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\*','');
 DeleteFileMask('C:\ProgramData\KRB Updater Utility\','*', true, '');
 DeleteDirectory('C:\ProgramData\KRB Updater Utility\ ',' ');
 DeleteFileMask('C:\Users\BUHGALTER2\AppData\Local\Kometa\','*', true, '');
 DeleteDirectory('C:\Users\BUHGALTER2\AppData\Local\Kometa\ ',' ');
 DeleteFile('C:\Users\BUHGALTER2\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-11.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-3.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-4.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-5.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-7.job','32');
 DeleteFileMask('C:\Program Files\CiPlus-4.5vV12.07\','*', true, '');
 DeleteDirectory('C:\Program Files\CiPlus-4.5vV12.07\ ',' ');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-1-6.140675.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-1-7.139783.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-10_user.123702.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-11.140612.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-3.140654.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-4.80093.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-5.140103.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-5_user.140129.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-6.120477.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-7.139915.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','32');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','32');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32');
 DeleteFileMask('C:\Users\BUHGALTER2\AppData\Local\Microsoft\Extensions\','*', true, '');
 DeleteDirectory('C:\Users\BUHGALTER2\AppData\Local\Microsoft\Extensions\ ',' ');
 DeleteFileMask('C:\Users\BUHGALTER2\AppData\Local\SmartWeb\','*', true, '');
 DeleteDirectory('C:\Users\BUHGALTER2\AppData\Local\SmartWeb\ ',' ');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{3F3FD6F2-9B67-4910-8FDD-924B8C3C9604}.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{3F3FD6F2-9B67-4910-8FDD-924B8C3C9604}','32');
 DeleteFile('C:\Windows\system32\Tasks\{D6D33FC8-C7E1-4C9B-8F84-28B5DAF89B29}','32');
 DeleteFile('C:\Windows\system32\Tasks\{E906E360-AF5B-4288-A06E-1A1904AC6C1D}','32');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{E906E360-AF5B-4288-A06E-1A1904AC6C1D}.exe','32');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{D6D33FC8-C7E1-4C9B-8F84-28B5DAF89B29}.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 2).
+ логи MBAM и ADwCleaner

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • serg12345
      Вирус pedrolloanisimka
      Автор serg12345
      Подхватили вирус и всё зашифровано. Есть возможность помочь в этом? 
    • kiddr
      Вирус-шифровальщик.xtbl, decodefile001@gmail.com или decodefile002@gmail.com
      Автор kiddr
      Добрый день! Получил по почте письмо от "Бухгалтерии" с прикрепленным архивом (акт передачи и какой то длинный номер), после скачки и извлечения запустил файл. В следствии чего в течении 15 минут на компьютере были зашифрованы все картинки и текстовые файлы-Word в формат .xtbl, а на рабочем столе появилась заставка с координатами вымогателя и сообщение о том что файлы, описанные выше, зашифрованы, плюс текстовый файл формата .txt со следующим текстом:   "Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 1E05A087200D94333D18|0 на электронный адрес decodefile001@gmail.com или decodefile002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."   All the important files on your computer were encrypted. To decrypt the files you should send the following code: 1E05A087200D94333D18|0 to e-mail address decodefile001@gmail.com or decodefile002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Еще последствия: в реестре появились ветки с белебердовым именем, которых до этого не существовало. Файл boot.ini отсутствовал, но вместо него был boot.ini.backup, в котором добавлена еще одна строчка связанная с диском "С", но при этом загрузка Windows происходит в обычном режиме за исключением того что при загрузке Доса показана та самая "допонительная" строчка из boot.ini.backup. Возможность загрузки и восстановления, выбора операционки затенена, плюс выдает ошибку о том что не может найти файл boot.ini, зато может создать новый.    Прикрепляю файлы логов, отчет антивируса и ветку реестра.  
      Так же у меня имеется сам вирус-шифровальщик, при необходимости могу прикрепить "эту программу"
      CollectionLog-2015.09.25-10.15.zip
      cureit.rar
      Подозрительная вещь.Ветка того самого Вируса (Самурай-имя фотографий кота).rar
    • Alex_Z
      Вирус шифровальщик - Windows 2008 R2
      Автор Alex_Z
      Добрый вечер!
      Сегодня обнаружили, что практически все файлы на windows server 2008 r2 зашифрованы, а в каждой категории лежат аналогичные файлы txt с посланием:
       
      ************************************************************ SYSTEM DAMAGED! FILES WILL BE DELETED! URGENT ATTENTION! ************************************************************ To restore your files and access them, you need to pay 5 bitcoins Bitcoins have to be sent to this address: 14HNKK5uJeZ2rt96Pi9K2U6jbpCWyRrz5M After payment contact us to receive your password key. Contact Email : repairme2017@keemail.me With subject (Personal ID) : error66733200124 In order to purchase Bitcions you can use : www.coinbase.com www.localbitcoin.com ============================================================ IMPORTANT! IF YOU DON'T PAY IN MAXIM 24 HOURS ALL YOUR FILES WILL BE PERMANENTLY DELETED!!! ============================================================   Бэкапы файлов есть, но не совсем свежие, возможно ли расшифровать данные?   В приложении отчеты из AutoLogger и Farbar Recovery Scan Tool   CollectionLog-2017.05.18-17.33.zip
      frst-addition.zip
    • kravtsov
      Помогите с расшифровкой Trojan.Win32.Deshacop.fow
      Автор kravtsov
      Доброго времени суток!
       
      Словили шифровальщик, Касперский говорит, что: Trojan.Win32.Deshacop.fow
      Есть ли возможность подобрать дешифратор?
       
      В прикрепленном архиве:
      Сам шифровальщик, пароль на архив virus
      Файл с требованиями в нем же и сгенерированный ID, пароль на архив virus
      Зашифрованный файл с оригиналом
      Отчеты FRST
       
      Заранее благодарен!
    • andrew0352
      Вирус шифровальщик *.decryptallfiles3@india
      Автор andrew0352
      Доброго времени суток. Подцепил вирус шифровальщик , все файлы стали с расширением " *.decryptallfiles3@india" и при запуске системы открывается окно с просьбой сообщить свой ID  на эл.почту "decryptallfiles3@india.com" (присвоился из файла "Read Me Please" который находится в каждой папке. Пробовал разные утилиты для расшифровки но ни что не помогло.

      1-я часть файла не шифрованный

      2-я часть файла не шифрованный

      1-я часть файла шифрованный

      2-я часть файла шифрованный
      CollectionLog-2017.03.08-14.54.zip
      foto-good.part1.rar
      foto-good.part2.rar
      pa-MZ3HLDO39cWbp.decryptallfiles3@india.part1.rar
      pa-MZ3HLDO39cWbp.decryptallfiles3@india.part2.rar
×
×
  • Создать...