Перейти к содержанию

Вирус шифровальщик файлов в .xtbl

Дмитрий Назаров

Автор Дмитрий Назаров
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Дмитрий Назаров

Дмитрий Назаров

Опубликовано
Опубликовано
Добрый день! Прошу помощи в лечении (дешифрации) файлов от вируса шифровальщика.
 
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
6A748682D3920B87DFA5|0
на электронный адрес post8881@gmail.com или post24932@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 

 

CollectionLog-2015.07.21-13.34.zip

Roman_Five

Roman_Five

Опубликовано
Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
 
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Program Files\Common Files\AppDownloads\{D6D33FC8-C7E1-4C9B-8F84-28B5DAF89B29}.exe','');
 QuarantineFile('C:\Program Files\Common Files\AppDownloads\{E906E360-AF5B-4288-A06E-1A1904AC6C1D}.exe','');
 QuarantineFile('C:\Program Files\Common Files\AppDownloads\{3F3FD6F2-9B67-4910-8FDD-924B8C3C9604}.exe','');
 QuarantineFile('C:\Users\BUHGALTER2\AppData\Local\SmartWeb\*','');
 QuarantineFile('C:\Users\BUHGALTER2\AppData\Local\Microsoft\Extensions\*','');
 QuarantineFile('C:\Program Files\CiPlus-4.5vV12.07\*','');
 QuarantineFile('C:\Program Files\globalUpdate\*','');
 QuarantineFile('C:\Users\BUHGALTER2\AppData\Local\Kometa\*','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\*','');
 DeleteFileMask('C:\ProgramData\KRB Updater Utility\','*', true, '');
 DeleteDirectory('C:\ProgramData\KRB Updater Utility\ ',' ');
 DeleteFileMask('C:\Users\BUHGALTER2\AppData\Local\Kometa\','*', true, '');
 DeleteDirectory('C:\Users\BUHGALTER2\AppData\Local\Kometa\ ',' ');
 DeleteFile('C:\Users\BUHGALTER2\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-1-6.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-1-7.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-10_user.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-11.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-3.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-4.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-5.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-5_user.job','32');
 DeleteFile('C:\Windows\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-7.job','32');
 DeleteFileMask('C:\Program Files\CiPlus-4.5vV12.07\','*', true, '');
 DeleteDirectory('C:\Program Files\CiPlus-4.5vV12.07\ ',' ');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-1-6.140675.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-1-7.139783.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-10_user.123702.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-11.140612.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-3.140654.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-4.80093.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-5.140103.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-5_user.140129.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-6.120477.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\a6a1928c-301c-4ec4-b804-5c5993199f7d-7.139915.gzquar','32');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','32');
 DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','32');
 DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32');
 DeleteFileMask('C:\Users\BUHGALTER2\AppData\Local\Microsoft\Extensions\','*', true, '');
 DeleteDirectory('C:\Users\BUHGALTER2\AppData\Local\Microsoft\Extensions\ ',' ');
 DeleteFileMask('C:\Users\BUHGALTER2\AppData\Local\SmartWeb\','*', true, '');
 DeleteDirectory('C:\Users\BUHGALTER2\AppData\Local\SmartWeb\ ',' ');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','32');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{3F3FD6F2-9B67-4910-8FDD-924B8C3C9604}.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{3F3FD6F2-9B67-4910-8FDD-924B8C3C9604}','32');
 DeleteFile('C:\Windows\system32\Tasks\{D6D33FC8-C7E1-4C9B-8F84-28B5DAF89B29}','32');
 DeleteFile('C:\Windows\system32\Tasks\{E906E360-AF5B-4288-A06E-1A1904AC6C1D}','32');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{E906E360-AF5B-4288-A06E-1A1904AC6C1D}.exe','32');
 DeleteFile('C:\Program Files\Common Files\AppDownloads\{D6D33FC8-C7E1-4C9B-8F84-28B5DAF89B29}.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 2).
+ логи MBAM и ADwCleaner

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alya
      Расшифровать файлы после вируса шифровальщика
      Автор alya
      ENKACRYPT-QRLFPOCXG5AW2JW9LLSPRCIVOA5MON8XKYKTTC2ZOZG" (.enkacrypt-QRLFPOCxg5aw2jW9lLsPRcIVOA5MOn8xKYkTtC2zOzg)
      Вот такой теперь формат абсолютно у всех файлов после вируса шифровальщика
      Прикрепляю пару файлов и письмо от злоумышленников 
      Может кто уже сталкивался с ними?  
      Attachments_sysadmin_spb@conte.ru_2025-08-25_11-12-08.zip
    • Денис А
      Все файлы зашифрованы шифровальщиком
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • LexaSLX
      Вирус-шифровальщик, вымогатель
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
    • kubanrentgen
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов
      Автор kubanrentgen
      Утром 6.12.2022 на компьютере обнаружили зашифрованные файлы.
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов.
      Addition.txt FRST.txt Образцы.rar virus.rar
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
×
×
  • Создать...