Перейти к содержанию

Вирус-шифровальщик.xtbl, decodefile001@gmail.com или decodefile002@gmail.com


Рекомендуемые сообщения

Добрый день! Получил по почте письмо от "Бухгалтерии" с прикрепленным архивом (акт передачи и какой то длинный номер), после скачки и извлечения запустил файл. В следствии чего в течении 15 минут на компьютере были зашифрованы все картинки и текстовые файлы-Word в формат .xtbl, а на рабочем столе появилась заставка с координатами вымогателя и сообщение о том что файлы, описанные выше, зашифрованы, плюс текстовый файл формата .txt со следующим текстом:
 
"Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
1E05A087200D94333D18|0
на электронный адрес decodefile001@gmail.com или decodefile002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
1E05A087200D94333D18|0
to e-mail address decodefile001@gmail.com or decodefile002@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
 
Еще последствия: в реестре появились ветки с белебердовым именем, которых до этого не существовало. Файл boot.ini отсутствовал, но вместо него был boot.ini.backup, в котором добавлена еще одна строчка связанная с диском "С", но при этом загрузка Windows происходит в обычном режиме за исключением того что при загрузке Доса показана та самая "допонительная" строчка из boot.ini.backup. Возможность загрузки и восстановления, выбора операционки затенена, плюс выдает ошибку о том что не может найти файл boot.ini, зато может создать новый. 
 
Прикрепляю файлы логов, отчет антивируса и ветку реестра.

 

Так же у меня имеется сам вирус-шифровальщик, при необходимости могу прикрепить "эту программу"

CollectionLog-2015.09.25-10.15.zip

cureit.rar

Подозрительная вещь.Ветка того самого Вируса (Самурай-имя фотографий кота).rar

Ссылка на сообщение
Поделиться на другие сайты
Выполните скрипт в AVZ



begin
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на сообщение
Поделиться на другие сайты

 

Выполните скрипт в AVZ
begin
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
 
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

 

Выполнил все как в инструкции. Жду следующего совета заранее благодарен.

CollectionLog-2015.09.28-08.50.zip

Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
Task: {0AAA3715-1B5B-4093-B681-53354AA66300} - \Daily Trigger ScheduleCD -> No File <==== ATTENTION
Task: {190614C9-AB8B-417E-BF1A-D26B797DE5AF} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {1D270B8B-F8BC-4995-A135-EBD8A1D85C42} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {5A400E27-72E8-4AED-9864-01217CC1B4AD} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {5E8C7CAA-D318-48D9-882D-9D1E43750610} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {95F97DA7-A9D3-4741-87CE-BA7BE6F013D9} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {A1E77187-6D4C-49E8-AF72-EA75352F4C17} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {ABF5B323-9916-44EC-969D-92A103CAA076} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {F66979D4-9D5C-4FFC-ACEC-2ADA56B89E47} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
2015-09-25 08:10 - 2015-09-25 08:10 - 00000000 ____D C:\Device
2015-09-17 15:02 - 2015-09-17 15:02 - 03932214 _____ C:\Documents and Settings\1\Application Data\EEDCD8F2EEDCD8F2.bmp
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README9.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README8.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README7.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README6.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README5.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README4.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README3.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README2.txt
2015-09-17 13:09 - 2015-09-17 13:09 - 00000907 _____ C:\README10.txt
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты

Если не сложно, поясните в чем причина? Подскажите как устроен этот шифратор и какую информацию Вы искали в логах? буду очень признателен с ответом. Жизненно необходимая информация. Заранее благодарен. 

Ссылка на сообщение
Поделиться на другие сайты

Спасибо, и все же про сам метод шифрование не очень ясно, чем он так страшен? Если откинуть все сложные слова и посмотреть на логику шифра и кто его может использовать?

Изменено пользователем kiddr
Ссылка на сообщение
Поделиться на другие сайты

https://ru.wikipedia.org/wiki/RSA

 

Стойкость этого алгоритма заключается в том, что нужно разложить на простые множители достаточно большие числа. 

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Mrak
      От Mrak
      Всем привет!
       
      Прошу технического совета. Имеется почта на gmail, куда приходят письма из рассылки (в том числе форумной) и значимая корреспонденция, требующая ответа. 
      Посоветуйте, можно ли сделать так, чтобы на телефоне (android 8.0) с официальным приложением для почты гугл не происходило никаких действий при поступлении писем из рассылки (пусть они молча сыпятся во «входящие» или тематические ярлыки), но всегда приходили уведомления, о поступлении иных писем. 
       
      Если способ не существует, то видимо надо завести 2 разных почтовых ящика (один для работы, второй для рассылок), но я привык не усложнять себе жизнь с множеством аккаунтов. 
    • SergeyAO
      От SergeyAO
      Приветсвую всех.
      Нужна помощь, вчера вирус зашифровал все файлы в основном документы office, на 4 дисках.
      Человеку пришло на почту письмо с документом по работе, но неизвестно от кого, открыли документ пустая страница ничего нет, и через некоторое время на экране сообщение, ваши файлы зашифрованы отправьте код на почту.
       
      Файл был "Здравствуйте.docx" KAV никак не отреагировал, на другой машине где были ограничены права пользователя док не открылся, KAV увидел в "здравствуйте.docx/word/embeddings/oleObject1.bin/C:/Users/836D~1/AppData/Local/Temp/PEWER POINT PRESENTATION.exe".
       
      Kaspersky Virus Removal Tool нашел Trojan-Ransom.Win32.Shade.ur.
      Утилита TDSSKiller для борьбы с руткитами ничего не обнаружил.
       
      Очень много информации, и важных документов, жду помощи, спасибо.
      CollectionLog-2015.09.22-11.30.zip
    • Ak3s
      От Ak3s
      Вирус зашифровал 40 GB фотографий. Не знаю что делать...
      Вы - единственная надежда.
      Помогите пожалуйста...
      CollectionLog-2015.07.26-11.44.zip
    • baron_171
      От baron_171
      Такая проблема: на ком попал вирус, зашифровал все важные для меня фотографии(очень много)...
      Что делать, незнаю..прошу помощи
       
      CollectionLog-2015.07.26-12.15.zip
    • Дмитрий Назаров
      От Дмитрий Назаров
      Добрый день! Прошу помощи в лечении (дешифрации) файлов от вируса шифровальщика.   Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 6A748682D3920B87DFA5|0 на электронный адрес post8881@gmail.com или post24932@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.    
      CollectionLog-2015.07.21-13.34.zip
×
×
  • Создать...