Вирус зашифровал файлы на компьютере в расширение .xtbl

Категория: Безопасность
Добавил: access_timeОпубликовано: 29-05-2015 visibilityПросмотров: 150 960 chat_bubble_outlineКомментариев: 86
Здравствуйте админ, я к вам с проблемой. Мне пришло на электронную почту письмо с архивом, а в архиве странный файл, открыл его щёлкнув двойным щелчком мыши, на секунду мелькнуло какое-то окно и ноутбук завис, через минуту большая часть файлов на рабочем столе приобрела странный вид и вот такие названия:
+InOhkBwCDZF9Oa0LbnqJEqq6irwdC3p7ZqGWz5y3Wk=.xtbl
1njdOiGxmbTXzdwnqoWDA3f3x4ZiGosn9-zf-Y2PzRI=.xtbl
Выключил принудительно ноут и после включения на рабочем столе появилось вот такое сообщение "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков".

Почти все файлы на диске (C:) оказались зашифрованы в расширение .xtbl!

Зашёл на переносной жёсткий диск USB с важной информацией, а там уже половина файлов с таким расширением. Снова выключил ноутбук и вызвал специалиста, тот просто предложил переустановить операционную систему, а насчёт зашифрованных файлов сказал, что расшифровать всё равно ничего не получится, так как дешифратора не существует. Так ли это?

Вирус зашифровал файлы на компьютере в расширение .xtbl


Привет друзья! Наш читатель прислал мне по почте письмо с самой опасной на сегодняшний день вредоносной программой и я заразил вирусом свой тестовый компьютер, смотрим как происходит заражение, как происходит шифрование файлов и как в конце концов можно удалить этот вирус. Но мой вам совет, если вы обнаружили в вашей операционной системе работу подобного вируса и ни с чем подобным ранее не сталкивались, то просто выключите компьютер и сразу обратитесь за помощью в хороший сервисный центр, потому как существует риск полной потери ваших данных на жёстком диске.

Данный вирус представляет из себя троянскую программу, а значит одновременно происходит заражение вашей операционной системы сразу несколькими вредоносными программами. Лично я, полностью исследовав заражённый компьютер утилитами Process Monitor и AnVir Task Manager, насчитал четыре:

Первый зловред, обычный блокировщик рабочего стола, блокирует вашу Windows, чтобы вы не смогли ничего сделать.
Второй зловред, представляет из себя руткит, скрывающий третью программу включающую ваш компьютер в Ботнет (компьютерная сеть, состоящая из заражённых компьютеров) и ваша машина начинает служить злоумышленникам (рассылать спам и заражать другие компьютеры в интернете) и безбожно тормозить.
Четвёртый зловред, шифрует сложнейшим алгоритмом часть системных и все пользовательские файлы: изображения, видео, аудио и текстовые документы в расширение .xtbl. На момент шифрования файлов, в операционной системе работает файл шифратор, если его обнаружить, шансы на расшифровку заметно возрастут, но это ещё никому не удалось даже с помощью инструмента Process Monitor, этот файл всегда удачно самоудаляется.

В процессе заражения на рабочем столе или в корне диска (C:) создаётся текстовый документ с таким содержанием: 
"Для расшифровки ваших файлов и получения необходимых инструкций отправьте код Q2R8459H8K3956GJS2M1|0 на электронный адрес dechifrator107@mail.ru (адреса могут разниться и не всегда этот файл создаётся - примеч. администратора). Не пытайтесь сами расшифровать файлы, это приведёт к безвозвратной их потере".

 

 

В последнем, попавшемся мне, таком файле совсем не было никаких почтовых адресов, а просто были номера электронных кошельков для пополнения, что говорит об возможной торговле данной вредоносной программой на закрытых хакерских форумах.

В первую очередь удаляем вредоносную программу
Наш читатель поступил правильно, почуяв неладное выключил компьютер, этим он спас все остальные свои файлы от заражения.
Как я уже заметил в начале статьи, архив с вредоносной программой оказался у меня. Раньше я всегда сталкивался с последствиями работы этого трояна, а сейчас представилась возможность проследить как происходит заражение и шифрование.
Также из дальнейшего рассказа вы увидите, что при наличии нормального антивируса и менеджера автозагрузки заразить свой компьютер вирусом практически невозможно.

Вот так выглядит архив в письме

Извлекаю из архива файл вируса и запускаю его

Срабатывает первая линия обороны, установленная у меня программа AnVir Task Manager (антивирусный менеджер автозагрузки) сигнализирует, что вредоносный файл csrss.exe направляется прямиком в автозагрузку. Обратите внимание, AnVir популярно показывает нам свой вердикт о файле - Состояние: Определённо не требуется - вирусы, шпионы, реклама и "пожиратели ресурсов".

Если нажать Удалить, то никакого заражения не будет, но жмём Разрешить и происходит заражение моего компьютера вредоносной программой. 

Срабатывает вторая линия обороны, антивирус ESET Smart Security 8 классифицирует вредоносную программу как Win32/Filecoder.ED (шифратор файлов).  

Отключаю антивирус и запускаю вирус ещё раз, происходит заражение системы и через минуту все пользовательские файлы на моём рабочем столе и диске (C:) зашифровываются в расширение .xtbl.

Очистка системы

Несмотря на такое разрушительное действие, от вируса-шифровальщика можно избавиться простым восстановлением операционной системы (только в том случае, если вы запустите её в среде восстановления).
Если восстановление системы у вас отключено, то удалите вредоносную программу в безопасном режиме, Windows так устроена, что в Safe Mode работают только основные системные процессы операционной системы. Для удаления вируса можно использовать обычный Диспетчер задач Windows, а лучше программу AnVir Task Manager, рассмотрим оба варианта.

Загружаемся в безопасный режим и открываем Диспетчер задач, смотрим незнакомые элементы в Автозагрузке. Так как в безопасном режиме процессы и сервисы вредоносной программы не работают, то просто удаляем файл вируса, но к сожалению Диспетчер задач не сможет показать все заражённые файлы.
Щёлкаем правой мышью мышью на подозрительном файле и выбираем в меню Открыть расположение файла

Открывается папка автозагрузки:

C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

с вредоносными файлами, которые нужно просто удалить. 

Несомненно больше возможностей, чем Диспетчер задач, предлагает программа AnVir Task Manager (всегда ношу с собой на флешке), её можно установить прямо в безопасном режиме, также можете использовать портативную версию (работающую без установки) программы.

В главном окне AnVir Task Manager наглядным образом представлены все программы находящиеся в автозагрузке и самые опасные, с уровнем риска для пользователя почти 100%, в самом верху. У файлов фальшивые имена и AnVir однозначно относит их к вирусам.

Если щёлкнуть на выбранном файле правой мышью, то можно узнать его расположение в проводнике и увидеть все относящиеся к нему процессы, сервисы, ключи реестра, и удалить вирус основательно.

Кстати, если загрузиться в безопасный режим с поддержкой сетевых драйверов, то можно щёлкнуть правой мышью на подозрительном файле и выбрать в меню пункт Проверить на сайте и произойдёт проверка подозрительного файла на сайте VirusTotal - онлайн сервисе, анализирующем подозрительные файлы.

В нашем случае VirusTotal подтвердил подозрения ESET Smart Security 8. Посмотрите на заключения ведущих антивирусных программ: Касперский - Trojan.Win32.Fsysna.bvsm (вредоносное шифрование файлов), DrWeb - Trojan.PWS.Tinba.161, Avira - TR/Crypt.Xpack.189492 и так далее.

Кто заинтересовался возможностями AnVir, читайте нашу отдельную статью.

Также важна дальнейшая проверка диска (C:) антивирусом, только с помощью него я нашёл с десяток файлов вируса в папке временных файлов C:\Users\Имя пользователя\AppData\Local\Temp,

ещё вредоносный файл csrss.exe создал хитрым образом в корне диска (C:) вторую папку Windows и расположился в ней.


К слову сказать, антивирусный сканер Dr.Web CureIt тоже нашёл все заражённые файлы.

Кто боится запускать компьютер в безопасном режиме, может произвести сканирование Windows антивирусной загрузочной LiveCD флешкой (диском). Или снимите винчестер и подсоедините его к здоровой машине с хорошим антивирусом (вариант для опытных пользователей, так как существует небольшой риск заразить и здоровую машину).

 

К сожалению удаление вредоносной программы не расшифрует вам зашифрованные файлы.

 

Как расшифровать зашифрованные файлы с расширением .xtbl
Во первых и не думайте переписываться со злоумышленниками, до вас это пробовали многие, никакого дешифратора вам не дадут, а только разведут на деньги. Также не верьте людям, которые пообещают расшифровать вам файлы за деньги, никакого стопроцентно работающего дешифратора на сегодняшний день не существует, об этом признались даже в лаборатории Dr.Web. Один мой приятель перерыл весь интернет и пообщался с большим количеством людей предлагающих за вознаграждение произвести расшифровку файлов, но результат абсолютно отрицательный, также нами были перепробованы все существующие программы дешифровщики.
 
Говорят, что лаборатории Dr.Web удалось помочь немногим пользователям расшифровать зашифрованные файлы и они готовы помочь другим пользователям попавшим в беду, но для этого у пострадавших должны быть установлены на компьютерах платные версии антивирусов от Dr.Web, например Dr.Web Security Space и Dr.Web Enterprise Security Suite. Что это, реклама? Как бы то не было, если вы обладатель данных продуктов и пострадали от вируса-шифровальщика перейдите по ссылке, заполните форму, выберите файл и нажмите Отправить, затем ждите ответа.
https://support.drweb.ru/new/free_unlocker/?for_decode=1&keyno=&lng=ru

Касперский тоже предлагает своё решение в виде утилиты RectorDecryptor.

Перейдите по ссылке http://support.kaspersky.ru/viruses/disinfection/4264#block2

и выберите Пункт 2. Как расшифровать файлы

Скачайте файл RectorDecryptor.exe

и запустите его, в главном окне нажмите кнопку Начать проверку.

Ещё для расшифровки можете зайти на сервис https://decryptcryptolocker.com/ и нажмите на кнопку Выберите файл, затем в появившемся проводнике укажите зашифрованный файл и может вам повезёт!

Таких программ и сервисов предлагающих услуги расшифровки становится всё больше, но результат пока оставляет желать лучшего, поэтому рекомендую вам скопировать зашифрованные файлы на отдельный накопитель и запастись терпением, наверняка дешифратор будет создан в ближайшее время, и вы об этом обязательно узнаете на нашем сайте.

 

Статья близкая по теме: Что делать если на компьютере вирус-майнер


tagsКлючевые слова
     Рекомендуем другие статьи по данной теме
Ctrl
Enter
Заметили ошЫбку
Выделите и нажмите Ctrl+Enter

Добавить комментарий

Назад 1 2 Вперед

Комментарии (86)

  1. img
    17 мая 2020 00:52 Mozg
    Гость
    Обновление: по Shade(включая .xtbl) и прочим шифровальщикам выложили ключи в инете. Есть статья на хабре. Лет 8 назад словил такую пакость, вовремя заметил неладное – потери были небольшие, но тем не менее файлы так и валялись в .xtbl. Ридми не осталось, винда естессн переустанавливалась, потому кода нет. Дешифровщики все возможные даже спустя столько лет не помогли. Но – выложенная вымогателями инструкция с ключами помогли. Там есть брутфорсная прога, и тупо перебирая все выложенные ключи можно найти нужный. Лично у меня получилось, хоть и время заняло..
    Цитировать replyОтветить
  2. img
    9 января 2020 21:15 admin
    Администратор
    Цитата: Просто_линуксоид
    Странно как-то, да?

    Ага.
    Цитировать replyОтветить
  3. img
    9 января 2020 20:38 Просто_линуксоид
    Гость
    Здравствуйте,получил похожее письмо, думаю "чёт подозрительно", запустил на вирт.машине, случилось все так же как и в статье. Естественно, настоящую ОС не затронуло. Написал код им на мыло из readme.txt, скинули еще один файл, в вирт.машине запустил, все излечилось. Странно как-то, да?
    Цитировать replyОтветить
  4. img
    7 декабря 2018 08:40 admin
    Администратор

    Спасибо за информацию!

    Цитировать replyОтветить
  5. img
    6 декабря 2018 23:41 Кот
    Гость

    Подцепили шифровальщика в письме электронной почты якобы «от банка». Файл поставлялся в zip-архиве с названием blank_zakaza.docx.zip, а внутри файл Бланк заказа.js — естественно, двойной щелчок сотрудницы привёл к тому, что описано в статье. Однако, файлы зашифрованы с расширением .crypted00007. Определяется эта дрянь как Ransom.Win32.Shade.pet. Касперский, несмотря на корпоративную лицензию, помочь в расшифровке не может. К слову, Kaspersky Endpoint Security 10 был в нокауте после этого зловреда. Еле комп реанимировал, только толку чуть. Так что единственным лекарством от этой дряни служит написание инструкции для сотрудников с примерами того, что открывать не надо и как отличить настоящие электронные письма от поддельных. Плюс использование антивируса для почтового сервера (которого не было, но это не моя вина — почта принадлежит конторе рангом выше). Заметил ещё, что эта дрянь сыпется исключительно с иностранных доменов, вроде @web.de — аналогов нашего Мэйла и Яндекса.

    Цитировать replyОтветить
  6. img
    1 августа 2018 23:17 admin
    Администратор

    Если на ПК важных данных нет, то просто переустановите систему.

    Цитировать replyОтветить
  7. img
    31 июля 2018 10:19 Татьяна
    Гость

    Добрый день. Помогите пожалйста. Черный красный фон, буквы, внизу на черном фоне череп. Никакого кода не требует, варианты оплаты через терминал или на яндекс кошелек 4999р, и кнопка "я оплатил", отвечает мы не видим ваши деньги. shif. ctrl. alt все горячие клавиши не работают, не могу переключить на англ. язык, в безопасном режиме не запускается. Что делать?

    Цитировать replyОтветить
  8. img
    3 июля 2018 21:51 admin
    Администратор

    Знаю только способ, показанный в статье.

    Цитировать replyОтветить
  9. img
    3 июля 2018 19:05 Svetlana Roshina
    Гость

    Касперский требует readme, чтобы найти путь к id, а я его помоему удалила (( можно как-нибудь запустить касперский для расшифровки? Заранее спасибо за ответ!

    Цитировать replyОтветить
  10. img
    10 апреля 2018 17:36 admin
    Администратор

    Фото на сайт можно выложить так

    https://remontcompa.ru/439-kak-vylozhit-kartinku-v-internet.html

    Цитировать replyОтветить
  11. img
    10 апреля 2018 13:05 Эстет Звука
    Гость

    Добрый день! Не вижу как прикрепить зашифрованные фото. Может кто-то может помочь?

     

    Цитировать replyОтветить
  12. img
    22 сентября 2017 10:20 Jamesfem
    Гость

    Да, по-моему, эта тема всё актуальна.

    Цитировать replyОтветить
  13. img
    31 января 2017 21:27 Искандер Валеев
    Гость

    Цитата: Дрон
    Целый год хранил архив с зараженными фотками в формате xtbl. Сегодня удалось более тысячи штук восстановить с помощью Kaspersky shade decryptor !!! Радости полные штаны, 15 лет жизни (памяти) восстановил )))))))
    Помоги пожалуйста как расшифровать, тоже такая проблема.

    Цитировать replyОтветить
  14. img
    26 января 2017 01:28 roman221
    Гость

    На счет расшифровщика его можно сделать, только для этого нужно проанализировать работу вируса, каким методом он шифрует информацию в файлах, используя такие программы как ollydbg, ida pro, idr если вирус на делфи написан.

    Цитировать replyОтветить
  15. img
    3 января 2017 17:34 admin
    Администратор

    Найдите многоязычную версию AnVir Task Manager.

    Цитировать replyОтветить
  16. img
    3 января 2017 02:33 Wladi
    Гость

    Что делать, скачал AnVir Task Manager, а она вся в вопросительных знаках. На ноуте система на немецком языке. И где в AnVir Task Manager переставлять языки, ума не преложу.

    Цитировать replyОтветить
  17. img
    20 ноября 2016 02:54 Мурад
    Гость
    Спасибо огромное! С помощью Kaspersky shade decryptor расшифровал тысячи фоток накопленных за 17 лет семейной жизни. Из .xtbl. прога попросила указать путь к readme и все.
    Цитировать replyОтветить
  18. img
    13 ноября 2016 16:41 admin
    Администратор

    Попробуйте утилиту от Касперского - RectorDecryptor.

    http://support.kaspersky.ru/viruses/disinfection/4264#block2

    или сервис https://decryptcryptolocker.com/

    в нашей статье есть об этом информация.

    Цитировать replyОтветить
  19. img
    12 ноября 2016 16:30 Алина
    Гость

    а как файлы восстановить? я рыдаю уже сижу((((((

    ничего не выходит (((((((

    Человеку не могу отдать курсовик.....

    Цитировать replyОтветить
  20. img
    12 ноября 2016 16:24 admin
    Администратор

    Если переустанавливать полностью систему к заводским настройкам, я не смогу восстановить почту и доступ к некоторым сайтам, так как логины и пароли сохранены были в вордовском файле.

     

    Пароль на почту можно будет восстановить при процедуре восстановления пароля в управлении почтовым ящиком. Или пароль восстановите при помощи поддержки mail.ru, вот ссылка

    https://help.mail.ru/mail-support

    Цитировать replyОтветить
  21. img
    12 ноября 2016 16:09 Алина
    Гость

    Всем здравствуйте! 

    Админу огромная благодарность за такой чедесный сайт и Вашу умную голову.

    У нас с мамой инфаркт, помогите пожалуйста... иначе я рожу раньше времени (((((

    Сижу рыдаю...

    Проблема... 

    Вчера выскочил проводник со словами, что завершил работу, при попытке открыть файлы офиса (ворд 2007) 

    В итоге, при включеннии компа, на глазах все наши труды работы за 25 с лишним лет резко поползли в неопознанные значки, файлы заразились и на съемном жесткои и на самом диске С....... (((

    В данный момент запустила прогу anvir task и она предложила удалить файл из автозагрузки, теперь знаменитое черное окно с красными буквами вылезло на рабочем столе вместо заставки.

    Если переустанавливать полностью систему к заводским настройкам, я не смогу восстановить почту и доступ к некоторым сайтам, так как логины и пароли сохранены были в вордовском файле.

    Цитировать replyОтветить
  22. img
    16 октября 2016 18:11 Игорь
    Гость

    Спасибо "Дрон" за подсказку. Kaspersky shade decryptor помог, расшифровал все .xtbl файлы мои, тоже год валялись на компе.

    Цитировать replyОтветить
  23. img
    26 сентября 2016 08:41 admin
    Администратор

    RectorDecryptor.exe от Касперского попробуйте, я про него написал в статье.

    Цитировать replyОтветить
  24. img
    25 сентября 2016 21:03 кос
    Гость

    Хватанул сегодня шифровальщик, теперь проблема:

    все файлы зашифрованы .da_vinci_code!

    У кого какие соображения?

    Цитировать replyОтветить
  25. img
    17 сентября 2016 21:32 admin
    Администратор

    Если бяку и найдёте, то файлы это расшифровать не поможет, нет там расшифровщика. 

    Цитировать replyОтветить
  26. img
    17 сентября 2016 17:42 Илья Андреев
    Гость

    Привет. 

    Подхватил вирусняк, такой же, как у человека этого поста. На главном рабочем столе написано "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы".

    а в файте под названием " README.txt, которые можно найти в любом из дисков".

    открываем его и видим :

    "Вaши файлы былu зaшифровaны.
    Чтобы pacшuфрoвать иx, Вaм нeобходuмo omпpaвuть kод:
    838BD6FF098D7C4BF86C|625|6|10
    на элekтрoнный aдрес GraceseYoumans1983@gmail.com.
    Далее вы полyчuте всe неoбxодuмые uнcтpykцuu.
    Пoпыmкu pасшифpовamь самосmояmeльнo нe пpиведym нu k чeмy, kрoме бeзвoзвpаmнoй nomери инфоpмaции.
    Ecлu вы вcё же хomитe поnытamьcя, тo nрeдвариmeльнo cделaйmе резервные kоnuu файлов, uнaче в слyчаe
    ux изменeнuя pасшuфрoвka сmанет невозможной ни npи kаkuх ycлoвuяx.
    Ecли вы нe noлучили oтвеma пo вышeуkaзаннoму адpecy в течение 48 чаcoв (и moльkо в этoм cлyчае!),
    вocпользyйmеcь фoрмой обрaтной cвязи. Это можнo cдeлamь двумя cnoсобами:
    1) Cкaчaйте и уcтaнoвитe Tor Browser пo cсылке: https://www.torproject.org/download/download-easy.html.en
    B адpесной строkе Tor Browser-a ввeдuте aдpес:
    http://cryptsen7fo43rr6.onion/
    u нaжмuте Enter. 3arpузuтcя cтpаница c фoрмой обpатной связu.
    2) В любoм брayзeре пеpeйдumе nо oдному uз aдрecoв:
    http://cryptsen7fo43rr6.onion.to/
    http://cryptsen7fo43rr6.onion.cab/


    All the important files on your computer were encrypted.
    To decrypt the files you should send the following code:
    838BD6FF098D7C4BF86C|625|6|10
    to e-mail address GraceseYoumans1983@gmail.com .
    Then you will receive all necessary instructions.
    All the attempts of decryption by yourself will result only in irrevocable loss of your data.
    If you still want to try to decrypt them by yourself please make a backup at first because
    the decryption will become impossible in case of any changes inside the files.
    If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
    use the feedback form. You can do it by two 5ways:
    1) Download Tor Browser from here:
    https://www.torproject.org/download/download-easy.html.en
    Install it and type the following address into the address bar:
    http://cryptsen7fo43rr6.onion/
    Press Enter and then the page with feedback form will be loaded.
    2) Go to the one of the following addresses in any browser:
    http://cryptsen7fo43rr6.onion.to/
    http://cryptsen7fo43rr6.onion.cab/ 

     

    В диспетчере задач отображается файл "csrss.exe" , но недоступен запрос на расположение файла, так же недоступно "завершить процесс". 

    Не знаю как искать эту бяку в ПК :(

    Антивируст стоит ESET Smart Security 7 (он нашёл 3 заражённых файла, и Доктор Веб нашёл - обезвредили) но результата  нет никакого. Что скажете?

    Цитировать replyОтветить
  27. img
    4 сентября 2016 07:51 Дрон
    Гость

    Целый год хранил архив с зараженными фотками в формате xtbl. Сегодня удалось более тысячи штук восстановить с помощью Kaspersky shade decryptor !!! Радости полные штаны, 15 лет жизни (памяти) восстановил )))))))

    Цитировать replyОтветить
  28. img
    3 августа 2016 22:41 Никита
    Гость
    Я дурак, я случайно зашифровал папку с фото на телефоне, в интернете только пиар статьи, что делать?
    Цитировать replyОтветить
  29. img
    2 июля 2016 17:15 shurik
    Гость

    Привет! Опять активность однотипных вирусов. Баннеры и тексты с предложением расшифровки нет. Все файлы док и джепег переименованы в крокозябры с рассширением .windows10

    Все грешат на открытие платежек из банков. Перед этим ноут был, одни ярлыки программ, но основные папки на диске С: удалены. ЛЮДИ, делайте бэкапы! Будет меньше головной боли.

    Цитировать replyОтветить
  30. img
    20 апреля 2016 22:34 admin
    Администратор

    Из статьи применяли что-нибудь?

    Цитировать replyОтветить
  31. img
    19 апреля 2016 15:55 Inness
    Гость

    Здравствуйте. Примерно летом 2015 года на одном из сайтов, во время закрытия рекламы, которая на всё окно всплыла, подцепила вирус, который моментально все файлы зашифровал в формат xtbl, тут же появилось множество файлов readme в которых сразу давались указания: 

    Ваши файлы были зашифрованы.
    Чтобы расшифровать их, Вам необходимо отправить код:
    C1FD9BA5C957C8AB1FB2|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com. Далее вы получите все необходимые инструкции.
    Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


    All the important files on your computer were encrypted.
    To decrypt the files you should send the following code:
    C1FD9BA5C957C8AB1FB2|0
    to e-mail address decode010@gmail.com or decode1110@gmail.com .
    Then you will receive all necessary instructions.
    All the attempts of decryption by yourself will result only in irrevocable loss of your data.

    все созданные бекапы сразуже былистерты. так что откатить систему не получилось никак.

     

    Единственное, что НЕ зашифровалось, это документы НЕ В ВОРДЕ, а в другом формате.

    Стоит программа OpenOffice.org, которая все документы сохраняет не в формате ворд, а в своем каком-то, только эти файли и остались незашифрованные и картинки в формате .pdn от программы Paint.NET

    Как расшифровать остальное?

    Цитировать replyОтветить
  32. img
    5 апреля 2016 19:10 Егор
    Гость

    Немного добавлю по шифровальщикам.

    шифровальщик .xtbl, который тут описан, расшифровывается на 98%. новых заражений уже нет.

    в октябре появился шифровальщик .breaking_bad, от того же автора. сейчас расшифровка возможна в 80% случаев. надо смотреть конкретно отдельный случай.

    в феврале появился новый вариант, от того же деятеля. расширение .better_call_saul

    расшифровка практически невозможна без оплаты вымогателю.

    причём по почте приходит часто не .js или .scr файл, а самый обычный документ word, в нём эксплойт, использующий уязвимость в office 2003, 2007 и 2010.

    так же активно распространяется шифровальщик .vault и .cbf. vault расшифровать еевозможно, .cbf надо смотреть конкретные случаи.

    в общем, можете скинуть пару зашифрованных файлов мне на почту, также лучше, если приложите сам вирус с почты, получаю много писем от пострадавших, поэтому в курсе появления разных шифровальщиков и возможности расшифровки.

    Цитировать replyОтветить
  33. img
    10 марта 2016 21:31 admin
    Администратор

    Вопрос №1 этот дешифратор расшифрует все зараженные файлы?

     

    Если у вас лицензионная версия антивируса Касперского, то обратись к ним в поддержку, вполне может быть, там вам помогут расшифровать зашифрованные файлы, по крайней мере мне известно несколько таких случаев.

     

    Если ничего не получится, то переустанавливайте систему заново.

    Можете восстановиться из резервной копии, если она тоже не зашифрована.

    Цитировать replyОтветить
  34. img
    9 марта 2016 22:47 Мария
    Гость

    Здравствуйте! Хватанула где-то вирус-шифровальщик. То ли вовремя спохватилась, то ли что но он не во всех файлах успел заменить расширение на .xtbl, но такое расширение я нашла в образцах изображений, видео, музыки, в папке мои документы, а еще в С\Пользователь\Контакты. Антивирус Avast пропустил этот вирус, сейчас проверила все Kaspersky Virus Removal Tool, но никак не могла понять какую утилиту дешифратор использовать. Вопрос№1 этот дешифратор расшифрует все зараженные файлы? Вопрос№2 если эта утилита не сработает, то спасет только переустановка винды? Если да, то можно ли установить винду (7) из резервной копии?

    Цитировать replyОтветить
  35. img
    3 марта 2016 11:15 admin
    Администратор

    Зачем так сразу открывать файлы полученные от незнакомых людей!?

    Цитировать replyОтветить
  36. img
    2 марта 2016 21:28 Марина
    Гость

    Добрый день! И я сегодня получила письмо по электонной почте. Открыла файл. Все программы 1С и документы зашифровались. Завтра попробую отправить письмо в лабораторию Касперского.

    Цитировать replyОтветить
  37. img
    6 января 2016 18:23 admin
    Администратор

    Модификаций данного вируса много, а смысл один, файлы открыть невозможно. 

    Цитировать replyОтветить
  38. img
    6 января 2016 14:58 Собеседник
    Гость

    Каспер установил за три дня до ловли вируса (так сказать хотел протестировать  .....протестировал (((((, до этого стоял 360 тотал сикюр. ) Меня удивляет то, что иконки файлов не изменились, расширение не изменилось, название не изменилось, вобщем на вид вполне себе нормальные. Что Вы можете сказать по этому поводу, слышали ли вы о таком виде шифровки. просто я перелапатил весь инет и без толку..... Спасибо.

    Цитировать replyОтветить
  39. img
    6 января 2016 11:10 admin
    Администратор

    Если Касперский лицензионный, то отправьте им в лабораторию один из зашифрованных файлов и в поддержку напишите http://support.kaspersky.ru/

    Цитировать replyОтветить
  40. img
    6 января 2016 01:28 Собеседник
    Гость

    Поймал шифровальщик. КИС 16 с полной защитой его спокойно пропустил....  вирус с ходу убил все точки востановления системы... отключил трив важных пункта в каспере- монитор активности и еще какие то. зашифровал файлы... но что интересно расширение всех файлов осталось прежним (то есть тхт, жпег, мп4 итд) но видео не читается, в тхт одни кряказябры, фото то же не может открыть. Появился один ТХТ фай на раб столе что мол так и так и название enkriptor raas ( в сети не нашел ответа) Что скажете. Спасибо.

    Цитировать replyОтветить
  41. img
    28 декабря 2015 19:36 Ольга11
    Гость

    Спасибо за ответ.

    Цитировать replyОтветить
  42. img
    28 декабря 2015 18:21 admin
    Администратор

    Вредоносные программы случайно генерируют название и в вашем случае название у файла будет не csrss.exe, а какое-то другое. 

    Цитировать replyОтветить
  43. img
    28 декабря 2015 18:03 Ольга11
    Гость

    Нигде не могу найти этот архив"csrss". Ну никак, ответьте!

    Цитировать replyОтветить
  44. img
    30 ноября 2015 20:41 Ильхам
    Гость
    Пожалуйста скиньте дешифратор на xtbl, на почту: ilham919@ya.ru
    Буду очень благодарен.
    Цитировать replyОтветить
  45. img
    21 октября 2015 13:50 admin
    Администратор
    Нужно выключить компьютер и подсоединить жёсткий диск к другой машине, и проверить вашу систему антивирусом, также посмотреть, зашифрованы ли файлы, если файлы не зашифрованы, то это простой баннер-блокировщик рабочего стола, убирается по этой статье

    http://remontcompa.ru/252-kak-izbavitsya-ot-bannera.html
    Цитировать replyОтветить
  46. img
    21 октября 2015 12:46 РУСЛАН
    Гость
    Висит баннер о зашифровке файлов, надпись гласит - опасный вирус, вся инфа (док-ты, базы данных, бэкапы и др) зашифрованы в расширении id.
    Цитировать replyОтветить
  47. img
    19 октября 2015 21:37 admin
    Администратор
    Таблетка для всех ПК пока не реальна.
    Цитировать replyОтветить
  48. img
    19 октября 2015 21:27 vad.p7
    Добрый день! Я в апреле 2015 хватанул эту заразу. Все файлы в XTBL. Переустановил ОС. Никакие исходные файлы вируса не сохранил. Какие шансы, что мои файлы могут быть дешифрированы? Реальна ли ТАБЛЕТКА для всех ПК? Спасибо.
    Цитировать replyОтветить
  49. img
    13 октября 2015 14:13 admin
    Администратор
    Все так и делают.
    Цитировать replyОтветить
  50. img
    13 октября 2015 14:07 Имя
    Гость
    А если сохранить важные зашифрованные файлы и ждать дешифровщика, как вариант?
    Цитировать replyОтветить