xtbl: Ваши файлы были зашифрованы. Вирус-шифровальщик xtbl. Лечение. Расшифровка.

Рейтинг пользователей: / 58
ХудшийЛучший 

ПОМОГИТЕ НАШЕМУ БЕСПЛАТНОМУ ПРОЕКТУ LANMONTAGE.RU!!!

Лечение, расшифровка вируса-шифровальщика xtbl

Определение (имя вируса-шифровальщика) в различных антивирусных программах:

Drweb: Trojan.Encoder.858;

Kaspersky:Trojan-Ransom.Win32.Shade;

Microsoft security essentials: Ransom:Win32/Troldesh.A)

Информация о вирусе-шифровальщике xtbl (текст вируса):

- Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

0C2D996D567366453C6A|0

на электронный адрес Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript или Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

0C2D996D567366453C6A|0

to e-mail address Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript or Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

В разделе обнаружены следующие данные:

qpdDhxl4WT-fffBvh+hH9dHTs568xxu+UaT+UWIIHM4=.xtbl

README1.txt по README10.txt

 

Вариант №1:

Вирус-шифровальщик xtbl обнаружен:

В ОС Windows 7 64 bit sp1

Установленный антивирус:

Защитник Windows (windows defender)

Действия которые привели к заражению вирусом-шифровальщиком:

Скачивание из интернета программы iTunes

При проверки антивирусным сканером найдено около 10 различных троянов в папке "Загрузки" Google Chrome

Drweb определил вирус как Trojan.Encoder.858

Вариант №2:

Информация Вирусе-шифровальщике xtbl на рабочем столе:

Внимание!

Все важные файлы на всех дисках вашего компьютера были

зашифрованы.

Подробности вы можете прочитать в файле README.txt,

которые можно найти на любом из дисков.

ATTENTION!

All the important files on your disks were enerypted.

The details can be found in README.txt files which you can find on

any of your disks.


Информация в файле README1.txt

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

87284A06B1324436E1A3|0

на электронный адрес Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript или Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

87284A06B1324436E1A3|0

to e-mail address Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript or Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

Вариант №3:

Данные совпадают с предыдущими изменен код:

AE6B02402CAE1AB16930|0

ВНИМАНИЕ! Разработчики шифровальщика увеличили стоимость расшифровки вируса-трояна - 15000 рублей.

 

Один из файлов в шифрованном виде:

1F7X2a-143Wzi--8qRUKFL+DZ7HqZaFY-h0eIAgIgYw=.xtbl

 

Вирус-шифровальщик xtbl обнаружен:

В ОС Windows 8 64 bit sp1 (лицензия)

Установленный антивирус:

Защитник Windows (windows defender)

Действия которые привели к заражению:

Поиск данных связанных с проектными чертежами. (со слов владельца)

При проверки ПК Drweb Cureit в основном найден вирус: Trojan.Crossrider.1

Trojan.Encoder.858

Найден в каталоге: C:\Users\asus-pc\AppData\Roaming\Mozilla\Firefox\Profiles\..............

 

Действие вируса-шифровальщика xtbl:

Шифрует (зашифровывает) данные по определенной маске (расширению) данные невозможно прочитать стандартными программами.

Пример: Шифрует данные фото (jpg) музыку (mp3) текстовых редакторов (doc docs) и т.д.

Вирус может зашифровывать файлы со следующими расширениями: *.accdb, *.bay, *.doc, *.docx, *.crw, *.cr2, *.dcr, *.odt, *.ods, *.odp, *.odb, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpeg, *.arw, *.dng, *.3fr, *.srf, *.sr2, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.p12, *.p7b, *.pdf, *.p7c, *.pfx, *.odc, *.rar, *.7z, *.png, *.backup, *.tar, *.eml, *.1cd, *.dt, *.md, *.dds *.zip.

Вирус-вымогатель xtbl требует выполнения инструкций для расшифровки.

Вымогатели с помощью электронной почты ведут переписку с пострадавшем от вируса пользователем.

По запросу пострадавшего расшифровывают один файл для примера.

Далее пострадавшему необходимо направить на QIWI кошелек денежное вознаграждение (обычно 5000 рублей внимание с 2015.03.29 вымогатели увеличили стоимость расшифровки - 15000 рублей) вымогателям.

После получения денег вымогатели направляют программу и код для расшифровки зашифрованных данных на компьютере. (информация в данный момент проверяется).

 

Лечение применяемое к вирусу-шифровальщику xtbl:

Примечание:
Конкретного лечения (расшифровки данных) вируса-шифровальщика не выработано основными лабораториями по лечению.
В данное время ведутся работы по созданию "лекарства".
Если вы пострадали от данного вируса-шифровальщика xtbl вымогателя направляйте информацию (один файл формата *.xtbl и код от вируса в файле redmy.txt) о заражение на форум (отвечу точно) или почту Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript (2 место по помощи) с темой "вирус xtbl" постараюсь помочь в лечение (бесплатно) и расшифровки данных (Внимание!!! Расшифровка файлов платная!!!).
Форум по теме:

Стандартные действия по лечению:
  1. Подключаем жесткий диск к ПК с установленным антивирусом.
  2. Проводим сканирование ПК на вирусы.
  3. Внимание (тело вируса-шифровальщика будет обнаружено в папке "загрузки" используемым интернет-браузером)
  4. Удаление вируса-шифровальщика с компьютера (без переустановки)
Пожалуйста если Вам помогла эта статья нажмите кнопку "рейтинг" в начале статьи.
Для продолжения проекта прошу написать в форуме сайта.
P.S.:
Информация от антивирусной лаборатории Drweb (информация получена 13.03.2015):
Никаких способов расшифровать такое на данный момент не известно.
Ведутся исследования.
Прогноз, к сожалению, плохой : никаких даже путей для разработки декриптора не видно.

Если мы когда-нибудь всё-же получим какую-либо практически полезную для расшифровки вашей информации, мы вам сообщим.

>Какие действия необходимо произвести чтобы данного заражения не происходило?

К сожалению, в мире не существует антивирусов, способных обеспечить 100% зашиту информации от воздействия вредоносных программ, и в частности "энкодеров".
Это если говорить об антивирусах.
Но задача обеспечения информационной безопасности не может быть решена одними только антивирусными средствами.
Как минимум, помимо всего прочего, должно быть организовано резервное копирование данных.
Бэкап, выполняемый в соответствии с хорошей практикой резервного копирования:
в каждый момент времени должны существовать минимум две (последняя и предпоследняя) резервных копии; бэкап нельзя хранить в той системе, для которой он создан; и т.д. по учебнику.

Общая рекомендация: обратитесь с заявлением в территориальное управление "К" МВД РФ;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates

 

Ответ лаборатории Касперского:

Файлы зашифрованы Trojan-Ransom.Win32.Shade. Для шифрования он использует криптографически стойкий алгоритм, поэтому расшифровка данных, к сожалению, не представляется возможной.
Если нет заранее созданных резервный копий пострадавших файлов, можно попробовать воспользоваться встроенным в Windows механизмом "предыдущие версии файлов": http://windows.microsoft.com/ru-ru/windows/previous-versions-files-faq

 

Ответ от Microsoft:

Отправлять средства на счета злоумышленников не рекомендуется, так как всё равно никто не гарантирует, что после уплаты выкупа ваши файлы будут расшифрованы.

Вымогательство с применением вирусов–шифровальщиков получило значительное распространение в последние пару лет по всему миру.  Последние версии этих вирусов используют стойкие алгоритмы шифрования. Без доступа к серверам злоумышленников получить ключ для расшифровки практически невозможно. Для борьбы с этим видом вымогательства нужны действия, которые выходят за рамки чисто IT-технологий.

Рекомендую Вам обратиться в территориальное управление "K" МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.

Образцы заявлений есть на сайте DrWeb на странице, посвящённой этой проблеме.

http://legal.drweb.com/templates

http://st.drweb.com/static/new-www/legal/tmpl_statement_Encoder.doc

Форум по теме вирус-шифровальщик xtbl:

Полезные статьи:

Полезные статьи по удалению вируса:

  1. http://lanmontage.ru/virus/78--windows-del-virus (как удалить вирус с компьютера без переустановки)
  2. http://lanmontage.ru/adminam/54-banner2 (как удалить вирус-баннера)
  3. http://lanmontage.ru/adminam/33-reestr-avto-windows (как удалить вирус из реестра)
  4. http://lanmontage.ru/adminam/32-razblokirovka-banner (как разблокировать баннер)
  5. http://lanmontage.ru/adminam/63-kaspersky-rescue-disk- (как удалить вирус антивирусными утилитами)
  6. http://lanmontage.ru/virus/95-bettercallsaul статья по вирусу-шифровальщику
  7. Ваши файлы были зашифрованы xtbl. (удаление данного вируса)
  8. Ваши файлы были зашифрованы vault. (удаление данного вируса)

ПОМОГИТЕ НАШЕМУ БЕСПЛАТНОМУ ПРОЕКТУ LANMONTAGE.RU!!!

Обновлено 21.08.2016 21:23  

Интересное в сети

Интересное в сети

Реклама от Google


Яндекс.Метрика

Яндекс.Метрика

CY-PR.com

// // //