» Вирус зашифровал файлы на компьютере в расширение .xtbl
Информация к новости
  • Просмотров: 142 739
  • Автор: admin
  • Дата: 29-05-2015
29-05-2015

Вирус зашифровал файлы на компьютере в расширение .xtbl

Категория: ---

Здравствуйте админ, я к вам с проблемой. Мне пришло на электронную почту письмо с архивом, а в архиве странный файл, открыл его щёлкнув двойным щелчком мыши, на секунду мелькнуло какое-то окно и ноутбук завис, через минуту большая часть файлов на рабочем столе приобрела странный вид и вот такие названия:
+InOhkBwCDZF9Oa0LbnqJEqq6irwdC3p7ZqGWz5y3Wk=.xtbl
1njdOiGxmbTXzdwnqoWDA3f3x4ZiGosn9-zf-Y2PzRI=.xtbl
Выключил принудительно ноут и после включения на рабочем столе появилось вот такое сообщение "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков".

Вирус зашифровал файлы на компьютере в расширение .xtbl

Почти все файлы на диске (C:) оказались зашифрованы в расширение .xtbl!

Вирус зашифровал файлы на компьютере в расширение .xtbl

Зашёл на переносной жёсткий диск USB с важной информацией, а там уже половина файлов с таким расширением. Снова выключил ноутбук и вызвал специалиста, тот просто предложил переустановить операционную систему, а насчёт зашифрованных файлов сказал, что расшифровать всё равно ничего не получится, так как дешифратора не существует. Так ли это?

Вирус зашифровал файлы на компьютере в расширение .xtbl


Привет друзья! Наш читатель прислал мне по почте письмо с самой опасной на сегодняшний день вредоносной программой и я заразил вирусом свой тестовый компьютер, смотрим как происходит заражение, как происходит шифрование файлов и как в конце концов можно удалить этот вирус. Но мой вам совет, если вы обнаружили в вашей операционной системе работу подобного вируса и ни с чем подобным ранее не сталкивались, то просто выключите компьютер и сразу обратитесь за помощью в хороший сервисный центр, потому как существует риск полной потери ваших данных на жёстком диске.

Данный вирус представляет из себя троянскую программу, а значит одновременно происходит заражение вашей операционной системы сразу несколькими вредоносными программами. Лично я, полностью исследовав заражённый компьютер утилитами Process Monitor и AnVir Task Manager, насчитал четыре:

Первый зловред, обычный блокировщик рабочего стола, блокирует вашу Windows, чтобы вы не смогли ничего сделать.
Второй зловред, представляет из себя руткит, скрывающий третью программу включающую ваш компьютер в Ботнет (компьютерная сеть, состоящая из заражённых компьютеров) и ваша машина начинает служить злоумышленникам (рассылать спам и заражать другие компьютеры в интернете) и безбожно тормозить.
Четвёртый зловред, шифрует сложнейшим алгоритмом часть системных и все пользовательские файлы: изображения, видео, аудио и текстовые документы в расширение .xtbl. На момент шифрования файлов, в операционной системе работает файл шифратор, если его обнаружить, шансы на расшифровку заметно возрастут, но это ещё никому не удалось даже с помощью инструмента Process Monitor, этот файл всегда удачно самоудаляется.

В процессе заражения на рабочем столе или в корне диска (C:) создаётся текстовый документ с таким содержанием: 
"Для расшифровки ваших файлов и получения необходимых инструкций отправьте код Q2R8459H8K3956GJS2M1|0 на электронный адрес dechifrator107@mail.ru (адреса могут разниться и не всегда этот файл создаётся - примеч. администратора). Не пытайтесь сами расшифровать файлы, это приведёт к безвозвратной их потере".

 

 

В последнем, попавшемся мне, таком файле совсем не было никаких почтовых адресов, а просто были номера электронных кошельков для пополнения, что говорит об возможной торговле данной вредоносной программой на закрытых хакерских форумах.

В первую очередь удаляем вредоносную программу
Наш читатель поступил правильно, почуяв неладное выключил компьютер, этим он спас все остальные свои файлы от заражения.
Как я уже заметил в начале статьи, архив с вредоносной программой оказался у меня. Раньше я всегда сталкивался с последствиями работы этого трояна, а сейчас представилась возможность проследить как происходит заражение и шифрование.
Также из дальнейшего рассказа вы увидите, что при наличии нормального антивируса и менеджера автозагрузки заразить свой компьютер вирусом практически невозможно.

Вот так выглядит архив в письме

Извлекаю из архива файл вируса и запускаю его

Срабатывает первая линия обороны, установленная у меня программа AnVir Task Manager (антивирусный менеджер автозагрузки) сигнализирует, что вредоносный файл csrss.exe направляется прямиком в автозагрузку. Обратите внимание, AnVir популярно показывает нам свой вердикт о файле - Состояние: Определённо не требуется - вирусы, шпионы, реклама и "пожиратели ресурсов".

Если нажать Удалить, то никакого заражения не будет, но жмём Разрешить и происходит заражение моего компьютера вредоносной программой. 

Срабатывает вторая линия обороны, антивирус ESET Smart Security 8 классифицирует вредоносную программу как Win32/Filecoder.ED (шифратор файлов).  

Отключаю антивирус и запускаю вирус ещё раз, происходит заражение системы и через минуту все пользовательские файлы на моём рабочем столе и диске (C:) зашифровываются в расширение .xtbl.

Вирус зашифровал файлы на компьютере в расширение .xtbl

Очистка системы

Несмотря на такое разрушительное действие, от вируса-шифровальщика можно избавиться простым восстановлением операционной системы (только в том случае, если вы запустите её в среде восстановления).
Если восстановление системы у вас отключено, то удалите вредоносную программу в безопасном режиме, Windows так устроена, что в Safe Mode работают только основные системные процессы операционной системы. Для удаления вируса можно использовать обычный Диспетчер задач Windows, а лучше программу AnVir Task Manager, рассмотрим оба варианта.

Загружаемся в безопасный режим и открываем Диспетчер задач, смотрим незнакомые элементы в Автозагрузке. Так как в безопасном режиме процессы и сервисы вредоносной программы не работают, то просто удаляем файл вируса, но к сожалению Диспетчер задач не сможет показать все заражённые файлы.
Щёлкаем правой мышью мышью на подозрительном файле и выбираем в меню Открыть расположение файла

Открывается папка автозагрузки:

C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

с вредоносными файлами, которые нужно просто удалить. 

Вирус зашифровал файлы на компьютере в расширение .xtbl

Несомненно больше возможностей, чем Диспетчер задач, предлагает программа AnVir Task Manager (всегда ношу с собой на флешке), её можно установить прямо в безопасном режиме, также можете использовать портативную версию (работающую без установки) программы.

В главном окне AnVir Task Manager наглядным образом представлены все программы находящиеся в автозагрузке и самые опасные, с уровнем риска для пользователя почти 100%, в самом верху. У файлов фальшивые имена и AnVir однозначно относит их к вирусам.

Вирус зашифровал файлы на компьютере в расширение .xtbl

Если щёлкнуть на выбранном файле правой мышью, то можно узнать его расположение в проводнике и увидеть все относящиеся к нему процессы, сервисы, ключи реестра, и удалить вирус основательно.

Кстати, если загрузиться в безопасный режим с поддержкой сетевых драйверов, то можно щёлкнуть правой мышью на подозрительном файле и выбрать в меню пункт Проверить на сайте и произойдёт проверка подозрительного файла на сайте VirusTotal - онлайн сервисе, анализирующем подозрительные файлы.

Вирус зашифровал файлы на компьютере в расширение .xtbl

В нашем случае VirusTotal подтвердил подозрения ESET Smart Security 8. Посмотрите на заключения ведущих антивирусных программ: Касперский - Trojan.Win32.Fsysna.bvsm (вредоносное шифрование файлов), DrWeb - Trojan.PWS.Tinba.161, Avira - TR/Crypt.Xpack.189492 и так далее.

Вирус зашифровал файлы на компьютере в расширение .xtbl

Кто заинтересовался возможностями AnVir, читайте нашу отдельную статью.

Также важна дальнейшая проверка диска (C:) антивирусом, только с помощью него я нашёл с десяток файлов вируса в папке временных файлов C:\Users\Имя пользователя\AppData\Local\Temp,

ещё вредоносный файл csrss.exe создал хитрым образом в корне диска (C:) вторую папку Windows и расположился в ней.

Вирус зашифровал файлы на компьютере в расширение .xtbl

Вирус зашифровал файлы на компьютере в расширение .xtbl

К слову сказать, антивирусный сканер Dr.Web CureIt тоже нашёл все заражённые файлы.

Кто боится запускать компьютер в безопасном режиме, может произвести сканирование Windows антивирусной загрузочной LiveCD флешкой (диском). Или снимите винчестер и подсоедините его к здоровой машине с хорошим антивирусом (вариант для опытных пользователей, так как существует небольшой риск заразить и здоровую машину).

 

К сожалению удаление вредоносной программы не расшифрует вам зашифрованные файлы.

 

Как расшифровать зашифрованные файлы с расширением .xtbl
Во первых и не думайте переписываться со злоумышленниками, до вас это пробовали многие, никакого дешифратора вам не дадут, а только разведут на деньги. Также не верьте людям, которые пообещают расшифровать вам файлы за деньги, никакого стопроцентно работающего дешифратора на сегодняшний день не существует, об этом признались даже в лаборатории Dr.Web. Один мой приятель перерыл весь интернет и пообщался с большим количеством людей предлагающих за вознаграждение произвести расшифровку файлов, но результат абсолютно отрицательный, также нами были перепробованы все существующие программы дешифровщики.
 
Говорят, что лаборатории Dr.Web удалось помочь немногим пользователям расшифровать зашифрованные файлы и они готовы помочь другим пользователям попавшим в беду, но для этого у пострадавших должны быть установлены на компьютерах платные версии антивирусов от Dr.Web, например Dr.Web Security Space и Dr.Web Enterprise Security Suite. Что это, реклама? Как бы то не было, если вы обладатель данных продуктов и пострадали от вируса-шифровальщика перейдите по ссылке, заполните форму, выберите файл и нажмите Отправить, затем ждите ответа.
https://support.drweb.ru/new/free_unlocker/?for_decode=1&keyno=&lng=ru

Касперский тоже предлагает своё решение в виде утилиты RectorDecryptor.

Перейдите по ссылке http://support.kaspersky.ru/viruses/disinfection/4264#block2

и выберите Пункт 2. Как расшифровать файлы

Скачайте файл RectorDecryptor.exe

и запустите его, в главном окне нажмите кнопку Начать проверку.

Ещё для расшифровки можете зайти на сервис https://decryptcryptolocker.com/ и нажмите на кнопку Выберите файл, затем в появившемся проводнике укажите зашифрованный файл и может вам повезёт!

Вирус зашифровал файлы на компьютере в расширение .xtbl

Таких программ и сервисов предлагающих услуги расшифровки становится всё больше, но результат пока оставляет желать лучшего, поэтому рекомендую вам скопировать зашифрованные файлы на отдельный накопитель и запастись терпением, наверняка дешифратор будет создан в ближайшее время, и вы об этом обязательно узнаете на нашем сайте.

 

Статья близкая по теме: Что делать если на компьютере вирус-майнер

Дорогой посетитель, Вы можете задать на сайте любой вопрос и обязательно получите ответ!
<
валя

30 мая 2015 16:45

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Да, страшная конечно ситуация. Такой вирус вообще по сути портит все данные на компьютере. Уберечь от этого может лишь заблаговременное копирование этих данных на внешний винчестер, USB флеш-картридж (флешку) или на картету (карту памяти). Любой из этих носителей после создания на нем резервной копии этой информации следует отсоединить от компьютера, чтобы с ней, если вообще что-то произойдет с компьютером, в том числе и его заражение вирусом-шифровальщиком, ничего не случилось.
<
Студент

31 мая 2015 00:09

Информация к комментарию
  • Группа: Посетители
  • ICQ: {icq}
  • Регистрация: 1.05.2015
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 30
Тьфу...тьфу...не сталкивался...
Лучшая защита важных данных это Backup...
За статью спасибо, сохраню...
<
Людмила

31 мая 2015 02:57

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Здравствуйте!
У меня проблема. Чистила компьютер антивирусом, он показал, что у меня серьезный вирус в браузере Google Chrome. Я его решила удалить и скачать заново. После удаления я не могу открыть ни одну программу. Нажимаю мой компьютер, пишет: «Ошибка при системном вызове».
А в верхней строке пишет explorer.EXE.
Выскочило окно «Обновление библиотеки» Включая папку в библиотеке…, бегает строка.
Что я могла удалить? И что мне делать дальше? Подскажите, пожалуйста.
Спасибо!
Людмила.
<
admin

31 мая 2015 09:24

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
Произведите восстановление целостности системных файлов Windows 8 по этой статье
http://remontcompa.ru/581-proverka-celostnosti-sistemnyh-faylov-windows-8.html
<
barney_

31 мая 2015 14:11

Информация к комментарию
  • Группа: Посетители
  • ICQ: {icq}
  • Регистрация: 31.05.2015
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 3
Как обнаружить клавиатурный шпион, который мог быть установлен скрытно злоумышленником для сбора личной информации? Есть ли специальные антивирусные программы направленные именно на выявление клавиатурных шпионов? Это тема для отдельной интересной статьи, думаю многие пользователи могут и не знать о таком зловреде.

admin
Вы имеете ввиду Keylogger? Но его с успехом сможет обнаружить обычный антивирус.
<
Людмила

31 мая 2015 14:40

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Спасибо! Все получилось!
Ваш сайт прямо находка, Вы отвечаете быстро, точно по теме, ничего лишнего и не спрашиваете какая OC, данные компьютера, как некоторые другие.
Людмила
<
barney_

1 июня 2015 12:55

Информация к комментарию
  • Группа: Посетители
  • ICQ: {icq}
  • Регистрация: 31.05.2015
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 3
admin
Да, имею в виду вид компьютерного шпионажа "Кейлоггинг" (фиксация нажатий на клавиши клавиатуры, в основном для сбора паролей).
Не всегда так, часто бывает не определяется. Например, безобидная программа для смены раскладки Punto Switcher может быть клавиатурным шпионом (функция вести дневник) либо например, Mipko Personal Monitor тайно установленный никак не определяется ESET Smart Security 8.0.312.3. В интернете советуют эту программу: Detekt
Что можете про нее сказать? Вы ей раньше пользовались?
<
admin

1 июня 2015 14:25

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
Punto Switcher и Mipko Personal Monitor известные программы и не исключаю, что их сигнатуры известны ведущим антивирусным компаниям и находятся в исключениях. Часто приходилось вылавливать на компьютерах с бесплатным антивирусным обеспечением различных "Кейлоггеров", думаю установка хорошего платного антивируса решит вопрос и установка утилит наподобие "Detekt" излишне, тем более она не поддерживает Windows 8.1 64bit.
<
ВладимирК

2 июня 2015 19:42

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Вы не поверите но несколько дней назад я столкнулся с такой же проблемой, утром пришел начальник включил компьютер, а там черный фон, я сделал перезагрузку и включить комп уже не смогли, исчез раздел "зарезервировано системой" наверно это и к лучшему. Потому как зашифровались файлы только на разделе с операционной системой, расширение файлов было *.cbf
Несколько дней проверял корпоративную почту, так и не нашел откуда он взялся.
На virusinfo там такое творится это ппц, какая то эпидемия пошла.. Такие вирусы шифруют всё, где есть доступ на запись..
Самое опасное, что он может шифрануть всю локалку вместе с бекапами, судя по форумам такие случаи были
Даже не знаю как защититься от таких вирусов кроме как бекапа данных и отсоединения накопителя, можно еще попробовать провести тест создать скрытый раздел и посмотреть зашифрует ли он файлы там.

ps вы мое письмо с программой получили?
<
admin

2 июня 2015 20:31

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
Владимир, да, с программой работаю, оказалась хорошая программулька, напишу статью.
Насчёт вируса, да, дал всем прикурить. Делайте бэкапы, обновляйте антивирусное программное обеспечение. Используйте менеджер автозагрузки, но это не спасёт, если в ваше отсутствие начальство полезет смотреть порнушку и цепанёт что-нить.
<
садовник

17 июня 2015 21:54

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Спасибо за отличный сайт. Принесли комп с таким вирусом - сижу удаляю, своя флешка в компе - после прочитанного как-то не хочется в свой комп втыкать. В системе этот вирус вижу в диспетчере задач, на флешке нет - этот вирус передается флешкой? На флешке файлы как файлы
<
admin

18 июня 2015 07:34

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
Да, в моём случае флешка была заражена и при подсоединении её к моему рабочему стационарному компьютеру вирус удалил ESET NOD32. Но я всё равно форматировал флешку и скинул на неё все программы заново с флешки-клона (держу две абсолютно одинаковые флешки с одними и теми же программами на всякий случай).
<
садовник

18 июня 2015 17:53

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Спасибо за полезный совет.
<
Вольдемар

19 июня 2015 22:40

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Shadow Defender ставте и эти криптолоккеры не сработают.
<
НапримерАндрей

2 июля 2015 00:13

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
А есть, у кого-нибудь!_положительный опыт разблокирования (дешифровки) деятельности такой байды?
Короче; а есть вообще такой случай в природе, когда данные были зашифрованы(заблокированы), а потом (после оплаты злоумышленикам) были успешно деблокированы?
Ведь бабосы-то "они" конечно просят-требуют, но у меня очень большое сомнение в том, что после уплаты "выкупа" получишь реальный и рабочий деблокиратор. А если применено, в вирусе, RSA-шифрование большого порядка, то ценность самого деблокиратора очень высока.
Ну и кто вам его вышлет? wink Даже за 5-15 тыс.р. Когда на этом вирусе можно заработать на порядок больше. ;-))
<
Ден

9 июля 2015 16:54

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Здравствуйте, подскажите пожалуйста, как удалить вирус-троян с компьютера на ОС Windows 7, я там не нашел никакого безопасного режима и тем более в диспетчере задач раздел "автозагрузка". Некоторые советуют переустановить винду, а некоторые наоборот не переустанавливать. Подскажите что делать?
<
admin

9 июля 2015 17:15

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
Проверьте компьютер на вирусы лечащей утилитой Dr.Web CureIt, должно помочь и без безопасного режима
http://remontcompa.ru/222-kak-proverit-kompyuter-na-virusy.html
<
Анатолий

25 июля 2015 11:25

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Доброго Всем дня !
Видел два ноутбука с такой бедой-лечил полной переустановкой Windows. При попытке вернуться к заводским установкам - данная табличка оказывается неактивной. Получается, что вирус кроме всего прочего переконвертировал и переименовал все файлы в разделе
Recovery? С нетерпением жду услышать Ваши соображения?
<
admin

25 июля 2015 12:09

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
Попадались ноутбуки с этой бедой, но скрытые разделы без буквы с заводскими настройками оставались работоспособными.
<
Фанис

4 августа 2015 16:53

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Как думаете, когда можно ожидать дешифратор от Касперского или Dr.Web? И вообще стоит ли надеяться, что когда-нибудь файлы можно будет расшифровать? recourse
<
admin

5 августа 2015 07:45

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
Не могу сказать даже приблизительно, может завтра, а может через два года.
<
Марина

5 августа 2015 18:59

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Ни один из касперских дешифраторов не помог :(((((
Что делать - ума не приложу :((((

Скажите, пожалуйста, а как узнать, когда у вас на сайте появится какой-либо новый дешифратор?
<
admin

5 августа 2015 19:10

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
Сразу новую статью напишу.
<
Азат

15 августа 2015 09:01

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Отправил в лабораторию Касперского один из зашифрованных файлов. На следующий день пришел ответ:
Здравствуйте,

Файлы зашифрованы Trojan-Ransom.Win32.Shade
Воспользуйтесь данной утилитой для расшифровки файлов:
ftp://decrypt_tools_ro:7p2oUzGEzmU@data14.kaspersky-labs.com/ShadeDecryptor/1.0.
0.38/ShadeDecryptor.zip
Обратите внимание, что перед обработкой зашифрованных файлов необходимо сохранить их резервную копию.

С уважением, антивирусная лаборатория

125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru
Все РАСШИФРОВАЛ!!!
<
admin

15 августа 2015 09:49

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
Попробуем новую утилиту о Касперского и отпишимся.
<
MishaK20

16 августа 2015 23:31

Информация к комментарию
  • Группа: Посетители
  • ICQ: {icq}
  • Регистрация: 24.05.2015
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 70
Внимание! У Вас нет прав для просмотра скрытого текста.

Не работает данный расшифровщик. Недавно знакомый словил шифровальщика. Попробовал расшифровать указанной утилитой от Касперского, пишет, что данный файл расшифровать не удалось.
Скорее для каждого ПК создаётся свой ID и необходим индивидуальный расшифровщик.
<
admin

17 августа 2015 06:01

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
Если появится универсальный расшифровщик, я сразу напишу об этом в статье.
<
Marina

20 августа 2015 17:32

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
admin помогите пожалуйста! Крик души. На работе открыла письмо и счастье "привалило". Естественно куча отчетов и прочего стало не доступно. Все зашифровано в формате .xtbl, вообщем картинка один в один, как описывается в начале статьи. Наш программист говорит ничего не сделать, типа надо заплатить и получить дешифратор. Почитав форумы, люди сами справляются с бедой, было бы желание. Подскажите что делать? Файлы скачала на флешку на всякий случай.
<
admin

20 августа 2015 20:36

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
Почитав форумы, люди сами справляются с бедой, было бы желание
обманщиков много встречал на таких форумах, аферистов. Пока таблетки нет.
<
MishaK20

23 августа 2015 22:21

Информация к комментарию
  • Группа: Посетители
  • ICQ: {icq}
  • Регистрация: 24.05.2015
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 70
Внимание! У Вас нет прав для просмотра скрытого текста.

Расшифровать получилось, обратившись в Kaspersky, но для этого необходимо иметь companyaccount и действующую лицензию.
Скинул им образцы зашифрованного файла и сам ссылку? по которой был скачан архив с шифровщиком.
Прислали утилиту для расшифровки.
Также пояснили, что данная утилита изготовлена конкретно для того пк, с которого были предоставлены файлы, т.к. для каждого ПК вирус-шифровальщик использует определённый ID.
<
Алксандр

25 августа 2015 08:37

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Спасибо Админу за столь содержательный ответ и помощь. Два раза сталкивался с такой проблемой (в первой переустанавливал ОС), во втором случае помогла статья. СПС
<
admin

25 августа 2015 09:04

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
И Вам спасибо.
<
Фанис

25 августа 2015 14:49

Информация к комментарию
  • Группа: Посетители
  • ICQ: {icq}
  • Регистрация: 25.08.2015
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 1
Цитата: MishaK20
[/hide]Расшифровать получилось, обратившись в Kaspersky, но для этого необходимо иметь companyaccount и действующую лицензию.
Скажите пожалуйста, если я сейчас куплю лицензию на Касперского, они мне помогут? И какую самую дешевую можно купить?
<
admin

25 августа 2015 17:20

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
Не могу точно сказать, к примеру, мне они не смогли помочь.
Лицензия нужна любая, даже самая дешёвая подойдёт.
<
Лерыч

3 октября 2015 13:17

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Тож получил привет от вируса. Файлы стали такого вида yOgZUcUK-JwI0UuNllSzmB2j7UWJ0qiZNangoqvJNqb7KYpvmNm5PGXs4hmIjHND.DB7372CCA8D5B05
650EA.breaking_bad
Что скажете.
<
admin

3 октября 2015 14:32

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
Пока нечего сказать.
<
Имя

13 октября 2015 14:07

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
А если сохранить важные зашифрованные файлы и ждать дешифровщика, как вариант?
<
admin

13 октября 2015 14:13

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
Все так и делают.
<
vad.p7

19 октября 2015 21:27

Информация к комментарию
  • Группа: Посетители
  • ICQ: {icq}
  • Регистрация: 19.10.2015
  • Статус: Пользователь offline
  • Публикаций: 0
  • Комментариев: 1
Добрый день! Я в апреле 2015 хватанул эту заразу. Все файлы в XTBL. Переустановил ОС. Никакие исходные файлы вируса не сохранил. Какие шансы, что мои файлы могут быть дешифрированы? Реальна ли ТАБЛЕТКА для всех ПК? Спасибо.
<
admin

19 октября 2015 21:37

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
Таблетка для всех ПК пока не реальна.
<
РУСЛАН

21 октября 2015 12:46

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Висит баннер о зашифровке файлов, надпись гласит - опасный вирус, вся инфа (док-ты, базы данных, бэкапы и др) зашифрованы в расширении id.
<
admin

21 октября 2015 13:50

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691
Нужно выключить компьютер и подсоединить жёсткий диск к другой машине, и проверить вашу систему антивирусом, также посмотреть, зашифрованы ли файлы, если файлы не зашифрованы, то это простой баннер-блокировщик рабочего стола, убирается по этой статье

http://remontcompa.ru/252-kak-izbavitsya-ot-bannera.html
<
Ильхам

30 ноября 2015 20:41

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Пожалуйста скиньте дешифратор на xtbl, на почту: ilham919@ya.ru
Буду очень благодарен.
<
Ольга11

28 декабря 2015 18:03

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Нигде не могу найти этот архив"csrss". Ну никак, ответьте!

<
admin

28 декабря 2015 18:21

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691

Вредоносные программы случайно генерируют название и в вашем случае название у файла будет не csrss.exe, а какое-то другое. 

<
Ольга11

28 декабря 2015 19:36

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Спасибо за ответ.

<
Собеседник

6 января 2016 01:28

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Поймал шифровальщик. КИС 16 с полной защитой его спокойно пропустил....  вирус с ходу убил все точки востановления системы... отключил трив важных пункта в каспере- монитор активности и еще какие то. зашифровал файлы... но что интересно расширение всех файлов осталось прежним (то есть тхт, жпег, мп4 итд) но видео не читается, в тхт одни кряказябры, фото то же не может открыть. Появился один ТХТ фай на раб столе что мол так и так и название enkriptor raas ( в сети не нашел ответа) Что скажете. Спасибо.

<
admin

6 января 2016 11:10

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691

Если Касперский лицензионный, то отправьте им в лабораторию один из зашифрованных файлов и в поддержку напишите http://support.kaspersky.ru/

<
Собеседник

6 января 2016 14:58

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Каспер установил за три дня до ловли вируса (так сказать хотел протестировать  .....протестировал (((((, до этого стоял 360 тотал сикюр. ) Меня удивляет то, что иконки файлов не изменились, расширение не изменилось, название не изменилось, вобщем на вид вполне себе нормальные. Что Вы можете сказать по этому поводу, слышали ли вы о таком виде шифровки. просто я перелапатил весь инет и без толку..... Спасибо.

<
admin

6 января 2016 18:23

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь Онлайн
  • Публикаций: 1 763
  • Комментариев: 38 691

Модификаций данного вируса много, а смысл один, файлы открыть невозможно. 

Назад Вперед

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Вопрос:
Сколько будет 5+3=?
Ответ:*

 

НАВИГАЦИЯ

 

Архив новостей Сентябрь 2019 (8)
Август 2019 (13)
Июль 2019 (14)
Июнь 2019 (13)
Май 2019 (14)
Апрель 2019 (15)
^
Копирование материалов сайта разрешается только с гиперссылкой на источник