Как установить Windows 10 » Безопасность » Вирус зашифровал файлы на компьютере в расширение .xtbl
Информация к новости
  • Просмотров: 147 078
  • Автор: admin
  • Дата: 29-05-2015
29-05-2015

Вирус зашифровал файлы на компьютере в расширение .xtbl

Категория: Безопасность

Здравствуйте админ, я к вам с проблемой. Мне пришло на электронную почту письмо с архивом, а в архиве странный файл, открыл его щёлкнув двойным щелчком мыши, на секунду мелькнуло какое-то окно и ноутбук завис, через минуту большая часть файлов на рабочем столе приобрела странный вид и вот такие названия:
+InOhkBwCDZF9Oa0LbnqJEqq6irwdC3p7ZqGWz5y3Wk=.xtbl
1njdOiGxmbTXzdwnqoWDA3f3x4ZiGosn9-zf-Y2PzRI=.xtbl
Выключил принудительно ноут и после включения на рабочем столе появилось вот такое сообщение "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков".

Почти все файлы на диске (C:) оказались зашифрованы в расширение .xtbl!

Зашёл на переносной жёсткий диск USB с важной информацией, а там уже половина файлов с таким расширением. Снова выключил ноутбук и вызвал специалиста, тот просто предложил переустановить операционную систему, а насчёт зашифрованных файлов сказал, что расшифровать всё равно ничего не получится, так как дешифратора не существует. Так ли это?

Вирус зашифровал файлы на компьютере в расширение .xtbl


Привет друзья! Наш читатель прислал мне по почте письмо с самой опасной на сегодняшний день вредоносной программой и я заразил вирусом свой тестовый компьютер, смотрим как происходит заражение, как происходит шифрование файлов и как в конце концов можно удалить этот вирус. Но мой вам совет, если вы обнаружили в вашей операционной системе работу подобного вируса и ни с чем подобным ранее не сталкивались, то просто выключите компьютер и сразу обратитесь за помощью в хороший сервисный центр, потому как существует риск полной потери ваших данных на жёстком диске.

Данный вирус представляет из себя троянскую программу, а значит одновременно происходит заражение вашей операционной системы сразу несколькими вредоносными программами. Лично я, полностью исследовав заражённый компьютер утилитами Process Monitor и AnVir Task Manager, насчитал четыре:

Первый зловред, обычный блокировщик рабочего стола, блокирует вашу Windows, чтобы вы не смогли ничего сделать.
Второй зловред, представляет из себя руткит, скрывающий третью программу включающую ваш компьютер в Ботнет (компьютерная сеть, состоящая из заражённых компьютеров) и ваша машина начинает служить злоумышленникам (рассылать спам и заражать другие компьютеры в интернете) и безбожно тормозить.
Четвёртый зловред, шифрует сложнейшим алгоритмом часть системных и все пользовательские файлы: изображения, видео, аудио и текстовые документы в расширение .xtbl. На момент шифрования файлов, в операционной системе работает файл шифратор, если его обнаружить, шансы на расшифровку заметно возрастут, но это ещё никому не удалось даже с помощью инструмента Process Monitor, этот файл всегда удачно самоудаляется.

В процессе заражения на рабочем столе или в корне диска (C:) создаётся текстовый документ с таким содержанием: 
"Для расшифровки ваших файлов и получения необходимых инструкций отправьте код Q2R8459H8K3956GJS2M1|0 на электронный адрес dechifrator107@mail.ru (адреса могут разниться и не всегда этот файл создаётся - примеч. администратора). Не пытайтесь сами расшифровать файлы, это приведёт к безвозвратной их потере".

 

 

В последнем, попавшемся мне, таком файле совсем не было никаких почтовых адресов, а просто были номера электронных кошельков для пополнения, что говорит об возможной торговле данной вредоносной программой на закрытых хакерских форумах.

В первую очередь удаляем вредоносную программу
Наш читатель поступил правильно, почуяв неладное выключил компьютер, этим он спас все остальные свои файлы от заражения.
Как я уже заметил в начале статьи, архив с вредоносной программой оказался у меня. Раньше я всегда сталкивался с последствиями работы этого трояна, а сейчас представилась возможность проследить как происходит заражение и шифрование.
Также из дальнейшего рассказа вы увидите, что при наличии нормального антивируса и менеджера автозагрузки заразить свой компьютер вирусом практически невозможно.

Вот так выглядит архив в письме

Извлекаю из архива файл вируса и запускаю его

Срабатывает первая линия обороны, установленная у меня программа AnVir Task Manager (антивирусный менеджер автозагрузки) сигнализирует, что вредоносный файл csrss.exe направляется прямиком в автозагрузку. Обратите внимание, AnVir популярно показывает нам свой вердикт о файле - Состояние: Определённо не требуется - вирусы, шпионы, реклама и "пожиратели ресурсов".

Если нажать Удалить, то никакого заражения не будет, но жмём Разрешить и происходит заражение моего компьютера вредоносной программой. 

Срабатывает вторая линия обороны, антивирус ESET Smart Security 8 классифицирует вредоносную программу как Win32/Filecoder.ED (шифратор файлов).  

Отключаю антивирус и запускаю вирус ещё раз, происходит заражение системы и через минуту все пользовательские файлы на моём рабочем столе и диске (C:) зашифровываются в расширение .xtbl.

Очистка системы

Несмотря на такое разрушительное действие, от вируса-шифровальщика можно избавиться простым восстановлением операционной системы (только в том случае, если вы запустите её в среде восстановления).
Если восстановление системы у вас отключено, то удалите вредоносную программу в безопасном режиме, Windows так устроена, что в Safe Mode работают только основные системные процессы операционной системы. Для удаления вируса можно использовать обычный Диспетчер задач Windows, а лучше программу AnVir Task Manager, рассмотрим оба варианта.

Загружаемся в безопасный режим и открываем Диспетчер задач, смотрим незнакомые элементы в Автозагрузке. Так как в безопасном режиме процессы и сервисы вредоносной программы не работают, то просто удаляем файл вируса, но к сожалению Диспетчер задач не сможет показать все заражённые файлы.
Щёлкаем правой мышью мышью на подозрительном файле и выбираем в меню Открыть расположение файла

Открывается папка автозагрузки:

C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

с вредоносными файлами, которые нужно просто удалить. 

Несомненно больше возможностей, чем Диспетчер задач, предлагает программа AnVir Task Manager (всегда ношу с собой на флешке), её можно установить прямо в безопасном режиме, также можете использовать портативную версию (работающую без установки) программы.

В главном окне AnVir Task Manager наглядным образом представлены все программы находящиеся в автозагрузке и самые опасные, с уровнем риска для пользователя почти 100%, в самом верху. У файлов фальшивые имена и AnVir однозначно относит их к вирусам.

Если щёлкнуть на выбранном файле правой мышью, то можно узнать его расположение в проводнике и увидеть все относящиеся к нему процессы, сервисы, ключи реестра, и удалить вирус основательно.

Кстати, если загрузиться в безопасный режим с поддержкой сетевых драйверов, то можно щёлкнуть правой мышью на подозрительном файле и выбрать в меню пункт Проверить на сайте и произойдёт проверка подозрительного файла на сайте VirusTotal - онлайн сервисе, анализирующем подозрительные файлы.

В нашем случае VirusTotal подтвердил подозрения ESET Smart Security 8. Посмотрите на заключения ведущих антивирусных программ: Касперский - Trojan.Win32.Fsysna.bvsm (вредоносное шифрование файлов), DrWeb - Trojan.PWS.Tinba.161, Avira - TR/Crypt.Xpack.189492 и так далее.

Кто заинтересовался возможностями AnVir, читайте нашу отдельную статью.

Также важна дальнейшая проверка диска (C:) антивирусом, только с помощью него я нашёл с десяток файлов вируса в папке временных файлов C:\Users\Имя пользователя\AppData\Local\Temp,

ещё вредоносный файл csrss.exe создал хитрым образом в корне диска (C:) вторую папку Windows и расположился в ней.


К слову сказать, антивирусный сканер Dr.Web CureIt тоже нашёл все заражённые файлы.

Кто боится запускать компьютер в безопасном режиме, может произвести сканирование Windows антивирусной загрузочной LiveCD флешкой (диском). Или снимите винчестер и подсоедините его к здоровой машине с хорошим антивирусом (вариант для опытных пользователей, так как существует небольшой риск заразить и здоровую машину).

 

К сожалению удаление вредоносной программы не расшифрует вам зашифрованные файлы.

 

Как расшифровать зашифрованные файлы с расширением .xtbl
Во первых и не думайте переписываться со злоумышленниками, до вас это пробовали многие, никакого дешифратора вам не дадут, а только разведут на деньги. Также не верьте людям, которые пообещают расшифровать вам файлы за деньги, никакого стопроцентно работающего дешифратора на сегодняшний день не существует, об этом признались даже в лаборатории Dr.Web. Один мой приятель перерыл весь интернет и пообщался с большим количеством людей предлагающих за вознаграждение произвести расшифровку файлов, но результат абсолютно отрицательный, также нами были перепробованы все существующие программы дешифровщики.
 
Говорят, что лаборатории Dr.Web удалось помочь немногим пользователям расшифровать зашифрованные файлы и они готовы помочь другим пользователям попавшим в беду, но для этого у пострадавших должны быть установлены на компьютерах платные версии антивирусов от Dr.Web, например Dr.Web Security Space и Dr.Web Enterprise Security Suite. Что это, реклама? Как бы то не было, если вы обладатель данных продуктов и пострадали от вируса-шифровальщика перейдите по ссылке, заполните форму, выберите файл и нажмите Отправить, затем ждите ответа.
https://support.drweb.ru/new/free_unlocker/?for_decode=1&keyno=&lng=ru

Касперский тоже предлагает своё решение в виде утилиты RectorDecryptor.

Перейдите по ссылке http://support.kaspersky.ru/viruses/disinfection/4264#block2

и выберите Пункт 2. Как расшифровать файлы

Скачайте файл RectorDecryptor.exe

и запустите его, в главном окне нажмите кнопку Начать проверку.

Ещё для расшифровки можете зайти на сервис https://decryptcryptolocker.com/ и нажмите на кнопку Выберите файл, затем в появившемся проводнике укажите зашифрованный файл и может вам повезёт!

Таких программ и сервисов предлагающих услуги расшифровки становится всё больше, но результат пока оставляет желать лучшего, поэтому рекомендую вам скопировать зашифрованные файлы на отдельный накопитель и запастись терпением, наверняка дешифратор будет создан в ближайшее время, и вы об этом обязательно узнаете на нашем сайте.

 

Статья близкая по теме: Что делать если на компьютере вирус-майнер

Метки к статье: Вирусы

Дорогой посетитель, Вы можете задать на сайте любой вопрос и обязательно получите ответ!
<
Марина

2 марта 2016 21:28

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Добрый день! И я сегодня получила письмо по электонной почте. Открыла файл. Все программы 1С и документы зашифровались. Завтра попробую отправить письмо в лабораторию Касперского.

<
admin

3 марта 2016 11:15

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 1 868
  • Комментариев: 40 616

Зачем так сразу открывать файлы полученные от незнакомых людей!?

<
Мария

9 марта 2016 22:47

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Здравствуйте! Хватанула где-то вирус-шифровальщик. То ли вовремя спохватилась, то ли что но он не во всех файлах успел заменить расширение на .xtbl, но такое расширение я нашла в образцах изображений, видео, музыки, в папке мои документы, а еще в С\Пользователь\Контакты. Антивирус Avast пропустил этот вирус, сейчас проверила все Kaspersky Virus Removal Tool, но никак не могла понять какую утилиту дешифратор использовать. Вопрос№1 этот дешифратор расшифрует все зараженные файлы? Вопрос№2 если эта утилита не сработает, то спасет только переустановка винды? Если да, то можно ли установить винду (7) из резервной копии?

<
admin

10 марта 2016 21:31

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 1 868
  • Комментариев: 40 616

Вопрос №1 этот дешифратор расшифрует все зараженные файлы?

 

Если у вас лицензионная версия антивируса Касперского, то обратись к ним в поддержку, вполне может быть, там вам помогут расшифровать зашифрованные файлы, по крайней мере мне известно несколько таких случаев.

 

Если ничего не получится, то переустанавливайте систему заново.

Можете восстановиться из резервной копии, если она тоже не зашифрована.

<
Егор

5 апреля 2016 19:10

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Немного добавлю по шифровальщикам.

шифровальщик .xtbl, который тут описан, расшифровывается на 98%. новых заражений уже нет.

в октябре появился шифровальщик .breaking_bad, от того же автора. сейчас расшифровка возможна в 80% случаев. надо смотреть конкретно отдельный случай.

в феврале появился новый вариант, от того же деятеля. расширение .better_call_saul

расшифровка практически невозможна без оплаты вымогателю.

причём по почте приходит часто не .js или .scr файл, а самый обычный документ word, в нём эксплойт, использующий уязвимость в office 2003, 2007 и 2010.

так же активно распространяется шифровальщик .vault и .cbf. vault расшифровать еевозможно, .cbf надо смотреть конкретные случаи.

в общем, можете скинуть пару зашифрованных файлов мне на почту, также лучше, если приложите сам вирус с почты, получаю много писем от пострадавших, поэтому в курсе появления разных шифровальщиков и возможности расшифровки.

<
Inness

19 апреля 2016 15:55

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Здравствуйте. Примерно летом 2015 года на одном из сайтов, во время закрытия рекламы, которая на всё окно всплыла, подцепила вирус, который моментально все файлы зашифровал в формат xtbl, тут же появилось множество файлов readme в которых сразу давались указания: 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
C1FD9BA5C957C8AB1FB2|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com. Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
C1FD9BA5C957C8AB1FB2|0
to e-mail address decode010@gmail.com or decode1110@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

все созданные бекапы сразуже былистерты. так что откатить систему не получилось никак.

 

Единственное, что НЕ зашифровалось, это документы НЕ В ВОРДЕ, а в другом формате.

Стоит программа OpenOffice.org, которая все документы сохраняет не в формате ворд, а в своем каком-то, только эти файли и остались незашифрованные и картинки в формате .pdn от программы Paint.NET

Как расшифровать остальное?

<
admin

20 апреля 2016 22:34

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 1 868
  • Комментариев: 40 616

Из статьи применяли что-нибудь?

<
shurik

2 июля 2016 17:15

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Привет! Опять активность однотипных вирусов. Баннеры и тексты с предложением расшифровки нет. Все файлы док и джепег переименованы в крокозябры с рассширением .windows10

Все грешат на открытие платежек из банков. Перед этим ноут был, одни ярлыки программ, но основные папки на диске С: удалены. ЛЮДИ, делайте бэкапы! Будет меньше головной боли.

<
Никита

3 августа 2016 22:41

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Я дурак, я случайно зашифровал папку с фото на телефоне, в интернете только пиар статьи, что делать?
<
Дрон

4 сентября 2016 07:51

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Целый год хранил архив с зараженными фотками в формате xtbl. Сегодня удалось более тысячи штук восстановить с помощью Kaspersky shade decryptor !!! Радости полные штаны, 15 лет жизни (памяти) восстановил )))))))

<
Илья Андреев

17 сентября 2016 17:42

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Привет. 

Подхватил вирусняк, такой же, как у человека этого поста. На главном рабочем столе написано "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы".

а в файте под названием " README.txt, которые можно найти в любом из дисков".

открываем его и видим :

"Вaши файлы былu зaшифровaны.
Чтобы pacшuфрoвать иx, Вaм нeобходuмo omпpaвuть kод:
838BD6FF098D7C4BF86C|625|6|10
на элekтрoнный aдрес GraceseYoumans1983@gmail.com.
Далее вы полyчuте всe неoбxодuмые uнcтpykцuu.
Пoпыmкu pасшифpовamь самосmояmeльнo нe пpиведym нu k чeмy, kрoме бeзвoзвpаmнoй nomери инфоpмaции.
Ecлu вы вcё же хomитe поnытamьcя, тo nрeдвариmeльнo cделaйmе резервные kоnuu файлов, uнaче в слyчаe
ux изменeнuя pасшuфрoвka сmанет невозможной ни npи kаkuх ycлoвuяx.
Ecли вы нe noлучили oтвеma пo вышeуkaзаннoму адpecy в течение 48 чаcoв (и moльkо в этoм cлyчае!),
вocпользyйmеcь фoрмой обрaтной cвязи. Это можнo cдeлamь двумя cnoсобами:
1) Cкaчaйте и уcтaнoвитe Tor Browser пo cсылке: https://www.torproject.org/download/download-easy.html.en
B адpесной строkе Tor Browser-a ввeдuте aдpес:
http://cryptsen7fo43rr6.onion/
u нaжмuте Enter. 3arpузuтcя cтpаница c фoрмой обpатной связu.
2) В любoм брayзeре пеpeйдumе nо oдному uз aдрecoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
838BD6FF098D7C4BF86C|625|6|10
to e-mail address GraceseYoumans1983@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two 5ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/ 

 

В диспетчере задач отображается файл "csrss.exe" , но недоступен запрос на расположение файла, так же недоступно "завершить процесс". 

Не знаю как искать эту бяку в ПК :(

Антивируст стоит ESET Smart Security 7 (он нашёл 3 заражённых файла, и Доктор Веб нашёл - обезвредили) но результата  нет никакого. Что скажете?

<
admin

17 сентября 2016 21:32

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 1 868
  • Комментариев: 40 616

Если бяку и найдёте, то файлы это расшифровать не поможет, нет там расшифровщика. 

<
кос

25 сентября 2016 21:03

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Хватанул сегодня шифровальщик, теперь проблема:

все файлы зашифрованы .da_vinci_code!

У кого какие соображения?

<
admin

26 сентября 2016 08:41

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 1 868
  • Комментариев: 40 616

RectorDecryptor.exe от Касперского попробуйте, я про него написал в статье.

<
Игорь

16 октября 2016 18:11

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Спасибо "Дрон" за подсказку. Kaspersky shade decryptor помог, расшифровал все .xtbl файлы мои, тоже год валялись на компе.

<
Алина

12 ноября 2016 16:09

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Всем здравствуйте! 

Админу огромная благодарность за такой чедесный сайт и Вашу умную голову.

У нас с мамой инфаркт, помогите пожалуйста... иначе я рожу раньше времени (((((

Сижу рыдаю...

Проблема... 

Вчера выскочил проводник со словами, что завершил работу, при попытке открыть файлы офиса (ворд 2007) 

В итоге, при включеннии компа, на глазах все наши труды работы за 25 с лишним лет резко поползли в неопознанные значки, файлы заразились и на съемном жесткои и на самом диске С....... (((

В данный момент запустила прогу anvir task и она предложила удалить файл из автозагрузки, теперь знаменитое черное окно с красными буквами вылезло на рабочем столе вместо заставки.

Если переустанавливать полностью систему к заводским настройкам, я не смогу восстановить почту и доступ к некоторым сайтам, так как логины и пароли сохранены были в вордовском файле.

<
admin

12 ноября 2016 16:24

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 1 868
  • Комментариев: 40 616

Если переустанавливать полностью систему к заводским настройкам, я не смогу восстановить почту и доступ к некоторым сайтам, так как логины и пароли сохранены были в вордовском файле.

 

Пароль на почту можно будет восстановить при процедуре восстановления пароля в управлении почтовым ящиком. Или пароль восстановите при помощи поддержки mail.ru, вот ссылка

https://help.mail.ru/mail-support

<
Алина

12 ноября 2016 16:30

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

а как файлы восстановить? я рыдаю уже сижу((((((

ничего не выходит (((((((

Человеку не могу отдать курсовик.....

<
admin

13 ноября 2016 16:41

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 1 868
  • Комментариев: 40 616

Попробуйте утилиту от Касперского - RectorDecryptor.

http://support.kaspersky.ru/viruses/disinfection/4264#block2

или сервис https://decryptcryptolocker.com/

в нашей статье есть об этом информация.

<
Мурад

20 ноября 2016 02:54

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Спасибо огромное! С помощью Kaspersky shade decryptor расшифровал тысячи фоток накопленных за 17 лет семейной жизни. Из .xtbl. прога попросила указать путь к readme и все.
<
Wladi

3 января 2017 02:33

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Что делать, скачал AnVir Task Manager, а она вся в вопросительных знаках. На ноуте система на немецком языке. И где в AnVir Task Manager переставлять языки, ума не преложу.

<
admin

3 января 2017 17:34

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 1 868
  • Комментариев: 40 616

Найдите многоязычную версию AnVir Task Manager.

<
roman221

26 января 2017 01:28

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

На счет расшифровщика его можно сделать, только для этого нужно проанализировать работу вируса, каким методом он шифрует информацию в файлах, используя такие программы как ollydbg, ida pro, idr если вирус на делфи написан.

<
Искандер Валеев

31 января 2017 21:27

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Цитата: Дрон
Целый год хранил архив с зараженными фотками в формате xtbl. Сегодня удалось более тысячи штук восстановить с помощью Kaspersky shade decryptor !!! Радости полные штаны, 15 лет жизни (памяти) восстановил )))))))
Помоги пожалуйста как расшифровать, тоже такая проблема.

<
Jamesfem

22 сентября 2017 10:20

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Да, по-моему, эта тема всё актуальна.

<
Эстет Звука

10 апреля 2018 13:05

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Добрый день! Не вижу как прикрепить зашифрованные фото. Может кто-то может помочь?

 

<
admin

10 апреля 2018 17:36

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 1 868
  • Комментариев: 40 616

Фото на сайт можно выложить так

https://remontcompa.ru/439-kak-vylozhit-kartinku-v-internet.html

<
Svetlana Roshina

3 июля 2018 19:05

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Касперский требует readme, чтобы найти путь к id, а я его помоему удалила (( можно как-нибудь запустить касперский для расшифровки? Заранее спасибо за ответ!

<
admin

3 июля 2018 21:51

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 1 868
  • Комментариев: 40 616

Знаю только способ, показанный в статье.

<
Татьяна

31 июля 2018 10:19

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Добрый день. Помогите пожалйста. Черный красный фон, буквы, внизу на черном фоне череп. Никакого кода не требует, варианты оплаты через терминал или на яндекс кошелек 4999р, и кнопка "я оплатил", отвечает мы не видим ваши деньги. shif. ctrl. alt все горячие клавиши не работают, не могу переключить на англ. язык, в безопасном режиме не запускается. Что делать?

<
admin

1 августа 2018 23:17

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 1 868
  • Комментариев: 40 616

Если на ПК важных данных нет, то просто переустановите систему.

<
Кот

6 декабря 2018 23:41

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0

Подцепили шифровальщика в письме электронной почты якобы «от банка». Файл поставлялся в zip-архиве с названием blank_zakaza.docx.zip, а внутри файл Бланк заказа.js — естественно, двойной щелчок сотрудницы привёл к тому, что описано в статье. Однако, файлы зашифрованы с расширением .crypted00007. Определяется эта дрянь как Ransom.Win32.Shade.pet. Касперский, несмотря на корпоративную лицензию, помочь в расшифровке не может. К слову, Kaspersky Endpoint Security 10 был в нокауте после этого зловреда. Еле комп реанимировал, только толку чуть. Так что единственным лекарством от этой дряни служит написание инструкции для сотрудников с примерами того, что открывать не надо и как отличить настоящие электронные письма от поддельных. Плюс использование антивируса для почтового сервера (которого не было, но это не моя вина — почта принадлежит конторе рангом выше). Заметил ещё, что эта дрянь сыпется исключительно с иностранных доменов, вроде @web.de — аналогов нашего Мэйла и Яндекса.

<
admin

7 декабря 2018 08:40

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 1 868
  • Комментариев: 40 616

Спасибо за информацию!

<
Просто_линуксоид

9 января 2020 20:38

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Здравствуйте,получил похожее письмо, думаю "чёт подозрительно", запустил на вирт.машине, случилось все так же как и в статье. Естественно, настоящую ОС не затронуло. Написал код им на мыло из readme.txt, скинули еще один файл, в вирт.машине запустил, все излечилось. Странно как-то, да?
<
admin

9 января 2020 21:15

Информация к комментарию
  • Группа: Администраторы
  • ICQ: {icq}
  • Регистрация: 2.04.2011
  • Статус: Пользователь offline
  • Публикаций: 1 868
  • Комментариев: 40 616
Цитата: Просто_линуксоид
Странно как-то, да?

Ага.
<
Mozg

17 мая 2020 00:52

Информация к комментарию
  • Группа: Гости
  • ICQ: {icq}
  • Регистрация: --
  • Статус:
  • Публикаций: 0
  • Комментариев: 0
Обновление: по Shade(включая .xtbl) и прочим шифровальщикам выложили ключи в инете. Есть статья на хабре. Лет 8 назад словил такую пакость, вовремя заметил неладное – потери были небольшие, но тем не менее файлы так и валялись в .xtbl. Ридми не осталось, винда естессн переустанавливалась, потому кода нет. Дешифровщики все возможные даже спустя столько лет не помогли. Но – выложенная вымогателями инструкция с ключами помогли. Там есть брутфорсная прога, и тупо перебирая все выложенные ключи можно найти нужный. Лично у меня получилось, хоть и время заняло..
Назад Вперед

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Вопрос:
Сколько будет 5+3=?
Ответ:*

 

НАВИГАЦИЯ

 

Архив новостей Август 2020 (4)
Июль 2020 (10)
Июнь 2020 (9)
Май 2020 (9)
Апрель 2020 (10)
Март 2020 (10)
^
Копирование материалов сайта разрешается только с гиперссылкой на источник