Перейти к содержанию

Зашифровались файлы в формат XTBL

asushnik
 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
zoo %SystemDrive%\USERS\НИКИТА М СТЕПА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALR.BAT
bl 8F6ED31815AD511EE9384BE9F7A580ED 271
delall %SystemDrive%\USERS\НИКИТА М СТЕПА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALR.BAT
zoo %SystemDrive%\USERS\НИКИТА М СТЕПА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALTOW.BAT
bl 4FD3AD978699486F2AFDC8E3B9AD6010 271
delall %SystemDrive%\USERS\НИКИТА М СТЕПА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALTOW.BAT
addsgn 9252774A066AC1CC0B94424EA34F9A99058A49D31E8248F1604E5998D0278DB312D7936EE220660F6DD3ECBA5B3749ADFE1CEC213DCBDC212D2127ECC35572B4 8 Trojan.Win32.CMSBrute.a [Kaspersky]
 
zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE
bl 543D1620CE976CB13FEC190CCC1BC83A 885760
zoo %SystemDrive%\ОPЕRА.BАT.EXE
bl E96462DD021F65D61D3F97056C3EF236 878480
delall %SystemDrive%\ОPЕRА.BАT.EXE
zoo %SystemDrive%\USERS\НИКИТА М СТЕПА\DESKTOP\ОБНОВИ СОФТ.LNK
bl CF2415BA5D29BF37789D33CC51545F0B 1028
delall %SystemDrive%\USERS\НИКИТА М СТЕПА\DESKTOP\ОБНОВИ СОФТ.LNK
delall %SystemDrive%\PROGRAM FILES\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
delall %SystemDrive%\PROGRAM FILES\IOBIT\ADVANCED SYSTEMCARE 8\MONITOR.EXE
delall %Sys32%\GZBXPEQ.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL

chklst
delvir
czoo 
restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте на этот почтовый ящик: newvirus@kaspersky.com
  • Подробнее читайте в этом руководстве.
Еще один контрольный образ автозапуска сделайте. Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Чисто.
По расшифровке:
Лаборатория Касперского оказывает индивидуальную помощь с этим шифровальщиком, поэтому для создания запроса на расшифровку нужна коммерческая лицензия на антивирус Касперского. Если у Вас есть лицензия, то Вам нужно написать письмо на newvirus@kaspersky.com. Структура сообщения должна быть такой:

1. Несколько зашифрованных файлов в архиве.
2. Вложение из письма (желательно)
3. Номер вашей коммерческой лицензии (обязательно).
4. Файл Readme.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Заразились ведь через почту? Значит было письмо с вложением (пометка - желательно), как правило, создается файл с требованиями выкупа.

 

Создание запроса на расшифровку.

Ссылка на комментарий
Поделиться на другие сайты
phantom Опытный

phantom

Опубликовано
Опубликовано
 
 

 

Если у Вас есть лицензия, то Вам нужно написать письмо на newvirus@kaspersky.com.

А тут сказано что все сообщения о расшифровке отправленные на этот адрес обрабатываться не будут.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Максим Ivanov
      Файлы были зашифрованы .want_to_cry
      От Максим Ivanov
      Файлы с расширением .want_to_cry. Kaspersky Small Office Security вируса не обнаружил, при этом не все файлы на диске были зашифрованы, только одна папка. Во вложении все необходимое.
      Addition.txt FRST.txt Файлы.rar
    • Azward
      Зашифровались файлы hop_dec
      От Azward
      Добрый день! 
      Зашифровались все файлы на рабочей машине. В том числе 1с базы.
      [MJ-CR7920861453](decodehop@gmail.com )   Все файлы с таким расширением.
      Отправил во вложении Архив с файлом, и логи FRST
      Надеемся на вашу помощь. Стоял касперский Small office security. Не помог. Сейчас вовсе исчез.
      virus.rar Addition.txt FRST.txt
    • Andrei Butyrchyk
      Зашифрованы файлы с расширением .mammn
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
    • Jutr
      Зашифрованы файлы [king_ransom1@mailfence.com].king
      От Jutr
      FRST.txtAddition.txt#Read-for-recovery.txtDes.zip
      Добрый день! Словили шифровальщика все файлы с расширением [king_ransom1@mailfence.com].king, подскажите пожалуйста, как-то можно расшифровать?
    • Лариса B
      King зашифровал файлы организации
      От Лариса B
      Добрый день!
      В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
      Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

      Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

      Подскажите пож-та 
      1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
      2. Как можно дешифровать  данные файлы 
       
      Спасибо большое!
×
×
  • Создать...