Перейти к содержимому


Фото
- - - - -

Зашифрованы файлы - . XTBL

Шифровальщик XTBL .xtbl

  • Please log in to reply
5 ответов в этой теме

#1 Lush

Lush

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 14 Июль 2015 - 14:06

Добрый день,

 

Ноутбук был поражен вирусом - шифровальщиком. Владелец ноутбука не сразу обратился ко мне, поэтому, к сожалению, не удалось сразу принять меры. Сейчас зашифрованы все подходящие шифровальщику файлы. Шифровальщик превратил все файлы медиа, office, архивы и т.п. Системный раздел и раздел recovery также поражены. Папки некоторые переименованы, некоторые нет.

Файлы получаются с расширением .xtbl

Пользователь один с правами админа и без пароля.

Везде появились readme файлы со следующим текстом:

"

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
52A554E4E9EFA78A3EC6|0
на электронный адрес files1147@gmail.com или post100023@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
52A554E4E9EFA78A3EC6|0
to e-mail address files1147@gmail.com or post100023@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

"

Экран рабочего стола стал черный с красной соответствующей надписью.

Затем была предпринята попытка очистить ноутбук. (Утилиты CureIt, Hijackthis, malwarebytes-anti-malware). После этого было обнаружено, что шифровка больше не идет, удалось поменять фон рабочего стола. Некоторые программы и система в целом работают не стабильно. Некоторые ненужные неработающие программы я удалил, в т.ч. игры, яндекс-браузер, авира free и т.п.

 

В один момент, после подключения интернета появилось окно в стиле "вы можете обновить свой MS office бесплатно блаблабла, начать загрузку?" и кнопка ок и отмена. Данное окно, согласно диспетчеру задач , создано процессом csrss.exe. Их, кстати, несколько. Остановить его нельзя, вылезает предупреждение и ошибка. Я подозреваю, что именно так он и загрузился.

Сейчас в диспетчере задач висит куча процессов со странными именами(произвольный набор букв и цифр). Но при этом CureIt и malwarebytes-anti-malware ничего не находят. Интернет включаю только для передачи отчетов и т.п.

 

Прикладываю логи по состоянию на текущий момент!

 

Прошу помочь в лечении. Заранее огромное спасибо.

 

По расшифровке, как я понял, сейчас никто не поможет. Думаю испробовать программы, которые восстанавливают удаленные данные с жесткого диска. Это может помочь?

 

Логи CureIt и DrWeb SysInfo прикрепить не могу, слишком большой пишет. Прикрепляю в .rar

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 085 Сообщений:

Отправлено 14 Июль 2015 - 14:06

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

#3 Lxndr

Lxndr

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 14 Июль 2015 - 15:40

Ну понятно, что на данный момент файлы зараженные этой гадостью не расшифровать. Вопрос: можно ли их сохранить отдельно до лучших времен, а систему переустановить?



#4 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 621 Сообщений:

Отправлено 14 Июль 2015 - 22:27

Да, можно. "Лучших времен", вполне вероятно, придется ждать очень долго - тут уж как повезет. Поэтому привыкайте делать резервное копирование (средствами Доктора тоже можно). И лучше - на разные носители, находящиеся в разных (физически) местах... )



#5 Lush

Lush

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 15 Июль 2015 - 15:39

Ну понятно, что на данный момент файлы зараженные этой гадостью не расшифровать. Вопрос: можно ли их сохранить отдельно до лучших времен, а систему переустановить?

 

Да, можно. "Лучших времен", вполне вероятно, придется ждать очень долго - тут уж как повезет. Поэтому привыкайте делать резервное копирование (средствами Доктора тоже можно). И лучше - на разные носители, находящиеся в разных (физически) местах... )

 

Это все понятно. Кстати, файлы удалось увидеть частично программой Recuva free. По результату восстановления - отпишусь.

У меня же вопрос в другом. Я вижу, что все-таки вирусы есть. Мне нужны помощь в их вытравлении окончательном.

 

 

В один момент, после подключения интернета появилось окно в стиле "вы можете обновить свой MS office бесплатно блаблабла, начать загрузку?" и кнопка ок и отмена. Данное окно, согласно диспетчеру задач , создано процессом csrss.exe. Их, кстати, несколько. Остановить его нельзя, вылезает предупреждение и ошибка. Я подозреваю, что именно так он и загрузился.
Сейчас в диспетчере задач висит куча процессов со странными именами(произвольный набор букв и цифр). Но при этом CureIt и malwarebytes-anti-malware ничего не находят. Интернет включаю только для передачи отчетов и т.п.
 
Прикладываю логи по состоянию на текущий момент!
 
Прошу помочь в лечении. Заранее огромное спасибо.

 



#6 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 31 Июль 2015 - 09:58

OSV24,ещё 1 такое предложение - будете забанены.

Модератор.

 

PS

Прошу прощения, сразу не заметил, что Вы подобное сообщение опубликовали в 2-х темах.

Мы с Вами прощаемся.

Модератор.


Сообщение было изменено VVS: 31 Июль 2015 - 10:17

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid




Also tagged with one or more of these keywords: Шифровальщик, XTBL, .xtbl

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых