Перейти к содержанию

Зашифровались файлы в формат XTBL


Рекомендуемые сообщения

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v3.86.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    zoo %SystemDrive%\USERS\НИКИТА М СТЕПА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALR.BAT
    bl 8F6ED31815AD511EE9384BE9F7A580ED 271
    delall %SystemDrive%\USERS\НИКИТА М СТЕПА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALR.BAT
    zoo %SystemDrive%\USERS\НИКИТА М СТЕПА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALTOW.BAT
    bl 4FD3AD978699486F2AFDC8E3B9AD6010 271
    delall %SystemDrive%\USERS\НИКИТА М СТЕПА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALTOW.BAT
    addsgn 9252774A066AC1CC0B94424EA34F9A99058A49D31E8248F1604E5998D0278DB312D7936EE220660F6DD3ECBA5B3749ADFE1CEC213DCBDC212D2127ECC35572B4 8 Trojan.Win32.CMSBrute.a [Kaspersky]
     
    zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE
    bl 543D1620CE976CB13FEC190CCC1BC83A 885760
    zoo %SystemDrive%\ОPЕRА.BАT.EXE
    bl E96462DD021F65D61D3F97056C3EF236 878480
    delall %SystemDrive%\ОPЕRА.BАT.EXE
    zoo %SystemDrive%\USERS\НИКИТА М СТЕПА\DESKTOP\ОБНОВИ СОФТ.LNK
    bl CF2415BA5D29BF37789D33CC51545F0B 1028
    delall %SystemDrive%\USERS\НИКИТА М СТЕПА\DESKTOP\ОБНОВИ СОФТ.LNK
    delall %SystemDrive%\PROGRAM FILES\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
    delall %SystemDrive%\PROGRAM FILES\IOBIT\ADVANCED SYSTEMCARE 8\MONITOR.EXE
    delall %Sys32%\GZBXPEQ.EXE
    delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL
    
    chklst
    delvir
    czoo 
    restart
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте на этот почтовый ящик: newvirus@kaspersky.com
  • Подробнее читайте в этом руководстве.
Еще один контрольный образ автозапуска сделайте. Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Чисто.
По расшифровке:
Лаборатория Касперского оказывает индивидуальную помощь с этим шифровальщиком, поэтому для создания запроса на расшифровку нужна коммерческая лицензия на антивирус Касперского. Если у Вас есть лицензия, то Вам нужно написать письмо на newvirus@kaspersky.com. Структура сообщения должна быть такой:

1. Несколько зашифрованных файлов в архиве.
2. Вложение из письма (желательно)
3. Номер вашей коммерческой лицензии (обязательно).
4. Файл Readme.txt

Ссылка на комментарий
Поделиться на другие сайты

Заразились ведь через почту? Значит было письмо с вложением (пометка - желательно), как правило, создается файл с требованиями выкупа.

 

Создание запроса на расшифровку.

Ссылка на комментарий
Поделиться на другие сайты

 
 

 

Если у Вас есть лицензия, то Вам нужно написать письмо на newvirus@kaspersky.com.

А тут сказано что все сообщения о расшифровке отправленные на этот адрес обрабатываться не будут.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...