1. Добро пожаловать в Клуб Информационной Безопасности! Если вы здесь впервые, то зарегистрируйтесь и прочитайте правила клуба. Если вы забыли пароль, то перейдите по ссылке, после чего вы сможете восстановить его через электронную почту. Помните, что некоторые возможности и разделы форума для гостей недоступны, рекомендуется пройти авторизацию.

Решено Шифраторы погубили файлы,шифровка в XTBL

Тема в разделе "Лечение заражения", создана пользователем Hellcome, 10.02.2015.

Статус темы:
Закрыта.
  1. Hellcome

    Hellcome Новичок Пользователь

    Регистрация:
    10.02.2015
    Сообщения:
    7
    Симпатии:
    14
    Лучшие ответы:
    0
    Пол:
    Мужской
    Здравствуйте! Буквально пару часов назад после работы в интернете,все файлы(картинки,музыка,видео,документы) на ноутбуке подверглись шифрованию и обрели новый тип файла "XTBL" (.xtbl), также на диске D появились документы с названием "Readme" в которых указано следующее:

    Ваши файлы были зашифрованы.
    Чтобы расшифровать их, Вам необходимо отправить код:
    88322BC3616B36442DE1|37|2|10
    на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .
    Далее вы получите все необходимые инструкции.
    Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


    All the important files on your computer were encrypted.
    To decrypt the files you should send the following code:
    88322BC3616B36442DE1|37|2|10
    to e-mail address deshifrator01@gmail.com or deshifrovka@india.com .
    Then you will receive all necessary instructions.
    All the attempts of decryption by yourself will result only in irrevocable loss of your data.

    Ноутбук не перезагружал,никаких шагов для устранения данной проблемы не применял.
    Подскажите пожалуйста как быть в данной ситуации? Шифровке подверглись очень важные рабочие документы,утрата которых принесет ощутимый ущерб не только мне но и моей карьере(
    Заранее благодарен за помощь!
     
    ANDYBOND и x-sis нравится это.
  2. Инфо.Бот

    Инфо.Бот Старожил

    Здравствуйте, благодарим Вас за обращение к нам на форум!

    Для оказания помощи в лечении заражения необходимо выполнить всё, что обязательно к исполнению по данной инструкции и прикрепить полученные логи к вашему сообщению.

    Ожидайте, наши специалисты ответят на ваш запрос в ближайшее время.
     
  3. x-sis

    x-sis Технический администратор Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    1.275
    Симпатии:
    2.416
    Лучшие ответы:
    0
    Пол:
    Мужской
    Адрес:
    Россия
    Здравствуйте! Спасибо за обращение.

    Ни в коем случае не делайте то, что написано в "Readme"!

    Остался ли у вас исходный файл, после запуска которого произошло всё это?

    Раз уж заражение прошло, для начала прочитайте то, что не нужно делать в вашем случае.

    Далее выполните всё по этой инструкции (то, что обязательно к исполнению) и прикрепите логи к следующему сообщению. Посмотрим, осталось ли у вас активное заражение, а потом уже будем решать, что делать с вашими файлами.
     
    ANDYBOND и Hellcome нравится это.
  4. Hellcome

    Hellcome Новичок Пользователь

    Регистрация:
    10.02.2015
    Сообщения:
    7
    Симпатии:
    14
    Лучшие ответы:
    0
    Пол:
    Мужской
    Спасибо за скорый ответ! Извините за задержку,долго не получалось скачать Хайджек, но все же получилось.
    Отвечаю на ваш вопрос:остался ли у меня исходный фаил после запуска которого все это произошло?,честно признаться даже сам не понял как это случилось, последнее,что делал это скачивал книги с сайта которым всегда пользовался без проблем,на самом ноутбуке их не открывал только в браузере,затем скачал программу для чтения книг на Андроид,но также ее не запускал,потом зашел на диск D и увидел что папка с файлами странно выглядет(не было основных ярлыков,то есть уже были поменяны типы файлов на XTBL ),а рядом был фаил Readme,я его открыл (и там выше упомянутый текст) и затем все фаилы начали по цепной реакции зашифровываться.(Я отключил интернет сооединение и в диспетчере файлов завершил незнакомые задачи) тем самым несколько файлов удалось спасти(более ничего не предпринимал).Затем написал уже вам:Далее по вашим указаниям:
    Просканировал CureIt!. первый раз 5 троянов,второй раз уже ничего и далее по инструкции. Прикрепляю полученные данные.(Извините за многословность,хотелось чтобы вы представили мою ситуацию по этапно)
     

    Вложения:

    ANDYBOND и x-sis нравится это.
  5. Hellcome

    Hellcome Новичок Пользователь

    Регистрация:
    10.02.2015
    Сообщения:
    7
    Симпатии:
    14
    Лучшие ответы:
    0
    Пол:
    Мужской
    Исходный файл с которого все началось:Кажется именно программа для чтения книг на Андроиде и есть корень всех зол и именно в нее был встроен что то вроде Malware, (Правда это только мои домыслы) Видимо я ее поспешно удалил,но если что в истории сохранился сайт на котором она была скачана. Это как то поможет?
     
    ANDYBOND и x-sis нравится это.
  6. Hellcome

    Hellcome Новичок Пользователь

    Регистрация:
    10.02.2015
    Сообщения:
    7
    Симпатии:
    14
    Лучшие ответы:
    0
    Пол:
    Мужской
    И вот еще,что обнаружил опять же может просто моя догадка,но мне кажется,что файл "csrss" маскируется под системный файл System 32,но при попытке его закрыть через диспетчер вылезает следующее окно:(скрин прикреплен) или я ошибаюсь и так должно быть?
    Надеюсь сам помог вам чем смог и также надеюсь на ваши советы/помощь.Заранее благодарен за отзывчивость!
     

    Вложения:

    ANDYBOND и x-sis нравится это.
  7. x-sis

    x-sis Технический администратор Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    1.275
    Симпатии:
    2.416
    Лучшие ответы:
    0
    Пол:
    Мужской
    Адрес:
    Россия
    Чего и следовало ожидать - шифратор сделал своё дело, но сам при этом после себя в системе кроме зашифрованных файлов и инструкций ничего не оставил.

    Для очистки остатка рекламного ПО, сделайте следующее:

    - Скачайте и установите Malwarebyte's Anti-Malware (Free Version), на русский язык лучше не переключаться
    - Запустите программу, перейдите на вкладку Scan - Threat Scan - Нажмите кнопку "Scan Now", выполните обновление перед началом сканирования
    - Дождитесь окончания сканирование, выполните рекомендуемые действия, нажав кнопку "Apply Actions", после проверки нажмите View Detailed Log (или лог откроется сам в блокноте)
    - Сохраните лог, если надо нажав кнопку "Export" в виде txt файла и прикрепите его к нам в сообщении

    Шифровальщик новый и, соответственно, алгоритм шифрования тоже один из новейших. Восстановить зашифрованные файлы практически невозможно, примерно менее 30% вероятности, но попробовать стоит. Попытаться помочь вам могут специалисты компании Dr.Web, которые успешно практикуют разработку технологий расшифровки файлов. Поэтому мы посылаем вас именно туда.

    После того, как выполните дополнительную очистку Malwarebyte's Anti-Malware, зарегистрируйтесь на официальном форуме Dr.Web, и создайте новую тему здесь. Там подробно опишите ситуацию, и скажите, что ваша система чиста, нужна помощь в расшифровке утраченных данных, далее следуйте указаниям специалистов.
     
    ANDYBOND нравится это.
  8. x-sis

    x-sis Технический администратор Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    1.275
    Симпатии:
    2.416
    Лучшие ответы:
    0
    Пол:
    Мужской
    Адрес:
    Россия
    Если будет возможность, поделитесь ссылкой на ту программу, которая и стала причиной заражения, мне в личном сообщении, спасибо.
    По логам ничего странного, есть лишь остатки мусора, которые уже не представляют опасности, как их очистить, написано выше.
     
    ANDYBOND нравится это.
  9. Hellcome

    Hellcome Новичок Пользователь

    Регистрация:
    10.02.2015
    Сообщения:
    7
    Симпатии:
    14
    Лучшие ответы:
    0
    Пол:
    Мужской
    Спасибо большое за помощь и инструкции,также спасибо за то что данный ресурс существует!
    К сожалению по своей халатности и неосведомленности(первый раз работаю сданными программами) ненароком ввел вас в заблуждение. Сформировал не совсем полный отчет(не знаю повлияет ли это как то на мою ситуацию?) Не просканировал CureIt диск С( Очень неудобно получилось,зря потратил ваше время,заранее извиняюсь(
    Сегодня после перезагрузки ноутбука создавал новые файлы,шифрования уже не происходит,перезагрузил еще раз для полной убедительности,шифрования не происходит. Затем снова проcсканировал всю систему нашлось 9 угроз,потом опять просканировал угроза только одна и сколько не пытался она всегда появляется(скрин прикреплен),потом просканировал еще она опять там далее делал все по инструкции дабы сделать полный и правильный отчет и лог(прикреплю еще раз уже более верный)
    Надеюсь на ответы на мои вопросы: вы проверите новый отчет и лог?(повлияет ли как то это на инструкции в предыдущем письме(про Malwarebyte's Anti-Malware) или нет?)
    И если вам не трудно подскажите пожалуйста как отправить вам личное письмо с ссылкой на вредоносный файл?(Еще раз извиняюсь за причиненные неудобства, к счастью или к сожалению первый раз у вас на форуме) Заранее благодарен за ответ!
     

    Вложения:

    ANDYBOND и x-sis нравится это.
  10. x-sis

    x-sis Технический администратор Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    1.275
    Симпатии:
    2.416
    Лучшие ответы:
    0
    Пол:
    Мужской
    Адрес:
    Россия
    Ничего страшного, было удалено несколько опасных объектов, но опять же к зашифрованным файлам они никакого отношения не имеют. Сделайте контрольную проверку MBAM по инструкции выше.

    По поводу расшифровки, к сожалению, на официальном форуме Dr.Web написали, что XTBL расшифрованы скорее всего не будут, но надежда всё равно есть, не забывайте следить за новостями на их форуме.
     
    Hellcome и ANDYBOND нравится это.
  11. Hellcome

    Hellcome Новичок Пользователь

    Регистрация:
    10.02.2015
    Сообщения:
    7
    Симпатии:
    14
    Лучшие ответы:
    0
    Пол:
    Мужской
    Спасибо за скорый ответ! Сделал контрольную проверку MBAM,лог прикрепил,подожду вашего ответа и попробую как вы посоветовали обратиться на форум Drweb. Попробовать думаю стоит!
     

    Вложения:

    • Logs.txt
      Logs.txt
      Размер файла:
      17,9 КБ
      Просмотров:
      4
    ANDYBOND и x-sis нравится это.
  12. x-sis

    x-sis Технический администратор Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    1.275
    Симпатии:
    2.416
    Лучшие ответы:
    0
    Пол:
    Мужской
    Адрес:
    Россия
    После проверки MBAM удалите кнопкой найденные объекты и, если надо, сделайте перезагрузку. Система чиста.

    Желаю вам удачи в расшифровке файлов.
     
    ANDYBOND нравится это.
  13. Hellcome

    Hellcome Новичок Пользователь

    Регистрация:
    10.02.2015
    Сообщения:
    7
    Симпатии:
    14
    Лучшие ответы:
    0
    Пол:
    Мужской
    Спасибо за оперативную и информативную помощь!
     
    ANDYBOND и x-sis нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей