Zaszyfrowane wszystkie pliki na kompie - formaty .xtbl i .ytbl

[maniek30dg]

Witam, problem jak w temacie wszystkie pliki zostały zaszyfrowane formatem .xtbl, tło pulpitu zmieniło się na czarne z napisami:

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

D98024AF569AE2420E56|0

to e-mail address decode00001@gmail.com or decode00002@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

po rusku i po angielsku, czy można je jeszcze odzyskać? proszę o pomoc

 

zrobiłem skanowania:

Eset online scaner

Dr.WEB CureIt w trybie awaryjnym

i Kaspersky Rescue Disk 10 z pena ale przerwałem go i po tym dopiero zrobiłem logi

 

GMER: http://wklej.to/QTT2Y/text

FRST: http://wklej.to/iT40y/text

Addition: http://wklej.to/efEXo/text

Shortcut: http://wklej.to/vzb6P/text

 

Próbowałem jeszcze pomocy na stronce: http://decryptcryptolocker.com gdzie pisało że podsyłasz im jeden zaszyfrowany plik i podajesz adres mailowy, a oni odsyłają Ci link do programu odszyfrowującego pliki wraz z kluczem, tylko jak wysyłałem zaszyfrowany plik to mi go wywalało i pisało że on nie jest zainfekowany CryptoLockerem czy coś takiego.

[picasso]

Temat porządkuję. Logi proszę dołączaj w oryginalnej formie jako pliki w załącznikach, a nie na serwisach hostingowych.

 

wszystkie pliki zostały zaszyfrowane formatem .xtbl, tło pulpitu zmieniło się na czarne z napisami

(...)

Próbowałem jeszcze pomocy na stronce: http://decryptcryptolocker.com gdzie pisało że podsyłasz im jeden zaszyfrowany plik i podajesz adres mailowy, a oni odsyłają Ci link do programu odszyfrowującego pliki wraz z kluczem, tylko jak wysyłałem zaszyfrowany plik to mi go wywalało i pisało że on nie jest zainfekowany CryptoLockerem czy coś takiego.

Obecnie jest ogromna ilość infekcji szyfrujących, a każdy wariant ma inną specyfikację i nie może być rozkodowany niepasującym narzędziem przeznaczonym do innej infekcji. To co jest u Ciebie to nie jest infekcja CryptoLocker tylko Trojan-Ransom.Win32.Shade (alias Ransom:Win32/Troldesh / Trojan.Encoder.858): KLIK / KLIK. Rozkodowanie plików jest awykonalne, niestety utrata danych. Ostatecznie sprawdź czy przeklejenie danych do tej wyszukiwarki Dr. Web coś zwróci, ale bardzo wątpię: KLIK.

 

Z zaszyfrowanymi danymi nic nie jestem w stanie zrobić. Infekcja nadal jest czynna i w mojej gestii będzie jej wyczyszczenie oraz korekcja przejętej tapety:

 

HKU\S-1-5-21-4079469416-385390291-1880624462-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Marcel\AppData\Roaming\A3C85375A3C85375.bmp

 

Działania pod tym kątem:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-4079469416-385390291-1880624462-1000\...\Run: [minerd] => "C:\Users\Marcel\AppData\Roaming\minerd\nircmd.exe" exec hide "C:\Users\Marcel\AppData\Roaming\minerd\start.bat"
HKU\S-1-5-21-4079469416-385390291-1880624462-1000\...\Run: [EA Core] => "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent
HKU\S-1-5-21-4079469416-385390291-1880624462-1000\...\Run: [Cabrate] => C:\Users\Marcel\AppData\Roaming\Shupdate\htmlsh.exe [90112 2015-03-23] ()
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
AlternateDataStreams: C:\Users\Marcel\AppData\Local\Temporary Internet Files:0k2DkVxeKYjRagSejTpTO20UuMZr8
C:\ProgramData\.F4G6EEC4-B493-3E31-C6BG-8C6C9B764D36
C:\ProgramData\.ST160
C:\ProgramData\Windows
C:\Users\Marcel\AppData\Local\.C3F2FH85-G3D2-2F02-D5CH-7D3D8C553E56
C:\Users\Marcel\AppData\Local\vu1xnNgDcHeXEzvvBuxT1OYCmvta+do0xgSnltS6nEs=.xtbl
C:\Users\Marcel\AppData\Local\wC7H+mKgko5stZtOWYyxgUYqgPsYf5kGvCe1HJUkJXGTlMY-NQ6OSSAMNuKo2-3i.xtbl
C:\Users\Marcel\AppData\Local\Google
C:\Users\Marcel\AppData\Roaming\A3C85375A3C85375.bmp
C:\Users\Marcel\AppData\Roaming\data13.dat
C:\Users\Marcel\AppData\Roaming\lit1.22.exe
C:\Users\Marcel\AppData\Roaming\Shupdate
Folder: C:\Users\Marcel\AppData\Roaming\x11
Folder: C:\Users\Marcel\AppData\Roaming\x13
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W punkcie pierwszym usuwam plik tapety, pozostanie martwe tło Pulpitu. Wejdź do opcji ustawiania tapety i wybierz dowolny niezaszyfrowany obraz.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

[maniek30dg]

zrobiłem wszystko, tapeta znikła tylko nie wiem jak zkorzystać z tej wyszukiwarki Dr. Web, o co tam chodzi? mam wpisać swój nr. telefonu ?

mam jeszcze pytanko, jak uchronić komputer przed takimi wirusami? myślałem że Microsoft Security Essentials i zapora systemowa mi wystarczy, jaki jest dobry na to antywirus żeby nie zamulał słabego komputera.

 

Fixlog.txt

Addition.txt

FRST.txt

[Rucek]

zrobiłem wszystko, tapeta znikła tylko nie wiem jak zkorzystać z tej wyszukiwarki Dr. Web, o co tam chodzi? mam wpisać swój nr. telefonu?

Nie, nie swój numer, jeśli dobrze rozumiem to musisz tam wkleić kod który się wyświetla w tym dziwnym komunikacie, czyli D98024AF569AE2420E56|0   lub D98024AF569AE2420E56 

 

jaki jest dobry na to antywirus żeby nie zamulał słabego komputera.

To jest jak zawsze ciężkie pytanie. Z darmowych dużo osób używa avasta. Z płatnych - do wyboru i do koloru ale pewnie zamulać będzie. Ja używam Kaspersky Internet Security bo można się na niego zrzucić w kilka osób, jest na kilka kompów, na rok wychodzi ok 35zł więc nie jest to majątek. Najpierw ściągasz i testujesz bezpłatnie przez miesiąc (pełna funkcjonalność) a potem doładowujesz kontynuacją, można kupić np tutaj: KLIK

[picasso]

nie wiem jak zkorzystać z tej wyszukiwarki Dr. Web, o co tam chodzi? mam wpisać swój nr. telefonu ?

W tej wyszukiwarce wpisuje się dane z planszy z okupem, takie jak numer konta czy telefon pokazany na komunikacie. W Twoim przypadku są to te adresy e-mail widziane na komunikacie.

 

 

mam jeszcze pytanko, jak uchronić komputer przed takimi wirusami? myślałem że Microsoft Security Essentials i zapora systemowa mi wystarczy, jaki jest dobry na to antywirus żeby nie zamulał słabego komputera.

- Są specjalizowane programy dedykowane prewencji przed infekcjami szyfrującymi: KLIK.

- Poza tym, bardzo ważne jest robić izolowane kopie cennych danych na innych nośnikach. W przypadku nieznanej infekcji szyfrującej, która nie zostanie zatrzymana, przynajmniej nie będzie utraty danych.

 

 

---

Zadania wykonane i infekcja nie jest już czynna. Kolejna porcja działań:

 

1. Tapeta nadal nie jest skorygowana i w rejestrze jest zapis pliku tapety malware. Miałeś ręcznie ustawić w opcjach nowy obraz, bo to się samo nie zrobi.

 

HKU\S-1-5-21-4079469416-385390291-1880624462-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Marcel\AppData\Roaming\A3C85375A3C85375.bmp

 

2. Usunięcie zaszyfrowanych kopii z czeluści systemowych. Te zaszyfrowane wersje *.xtbl oraz *.ytbl które są dla Ciebie ważne skopiuj z dysków C i E na jakiś zewnętrzny nośnik. Szanse na odszyfrowanie są raczej zerowe, ale na wszelki wypadek zrób to. Po tej akcji otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\found.000
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Kaspersky Rescue Disk 10.0
RemoveDirectory: C:\Users\Marcel\Doctor Web
CMD: attrib -r -h -s C:\*.xtbl /s
CMD: attrib -r -h -s C:\*.ytbl /s
CMD: attrib -r -h -s E:\*.xtbl /s
CMD: attrib -r -h -s E:\*.ytbl /s
CMD: del /q /s C:\*.xtbl
CMD: del /q /s C:\*.ytbl
CMD: del /q /s E:\*.xtbl
CMD: del /q /s E:\*.ytbl

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Edytowane 10 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso