Kaspersky
Solved

Года 2 назад попал в компьютер вирус, зашифровал все файлы в формат xtbl


Года 2 назад попал в компьютер вирус, зашифровал все файлы в формат xtbl. 
А потом в добавок сломался жесткий диск, вот недавно я отдал его в ремонт, в сервисе восстановили данные, но расшифровать так и не получается, пользовался rectordecryptor, он выдал информацию о том, что не нашел ключ расшифрования.
Прошу помогите с расшифрованием данных, заранее Спасибо! 
Прикрепляю xtbl и txt.
Самое интересное, у меня есть одна фотография, которую мошенники расшифровали для меня в доказательство того, что они меня не обманывают. 

icon

Best answer by andrew75 11 April 2021, 12:42

@Andrey73, это утилита самих злоумышленников, но она вполне безопасная. 

shadedecriptor эти файлы расшифровать не может, поскольку она не работает с файлами .no_more_ransom

Расшифрованные файлы из архива English.zip

View original

16 replies

Userlevel 7
Badge +8

@Andrey73, для этого типа файлов надо использовать утилиту ShadeDecryptor

Но результат будет тот же.

Либо зашифрованный файл поврежден, либо файл readme3.txt относится не к этим зашифрованным файлам.

@Andrey73, для этого типа файлов надо использовать утилиту ShadeDecryptor

Но результат будет тот же.

Либо зашифрованный файл поврежден, либо файл readme3.txt относится не к этим зашифрованным файлам.

Самое печальное что у меня есть все файлы readme(1-10).txt и все зашифрованные файлы, но через программу они не расшифровываться :(
Очень грустно

Userlevel 7
Badge +8

@Andrey73, выложите какой-нибудь другой зашифрованный файл, а лучше несколько.

Для первого файла, ID 91326995E2B354D6AD98|0 (то есть файл readme не от него).

Но для этого ID нет ключа.

@Andrey73, выложите какой-нибудь другой зашифрованный файл, а лучше несколько.

Для первого файла, ID 91326995E2B354D6AD98|0 (то есть файл readme не от него).

Но для этого ID нет ключа.

Добавил в архив файлы, могу еще больше добавить файлов….

@Andrey73, выложите какой-нибудь другой зашифрованный файл, а лучше несколько.

Для первого файла, ID 91326995E2B354D6AD98|0 (то есть файл readme не от него).

Но для этого ID нет ключа.
Эта фотка сделана в день зашифрования компьютера, получается ID не менялся, я не знаю почему касперский не может расшифровать ( 

 

@Andrey73, выложите какой-нибудь другой зашифрованный файл, а лучше несколько.

Для первого файла, ID 91326995E2B354D6AD98|0 (то есть файл readme не от него).

Но для этого ID нет ключа.

Кстати, еще есть файлы с расширением .no_more_ransom
Архив прикрепил

Userlevel 7
Badge +8

@Andrey73, возможно у вас было двойное шифрование. 

Файлы из архива Englishрасшифровываются. 

Положите оба файла из архива в одну папку и запустите decrypt.exe

Декриптор просканирует файлы на всем диске, так что возможно расшифрует что-то еще.

Но учтите, исходники расшифрованных файлов будут удалены. Так что если они вам для чего-то нужны, предварительно сохраните их где-то.

 

Вопросы не к Касперскому, вопросы к злоумышленникам.

Утилита использует ключи, которые разработчики этого шифровальщика некоторое время назад выложили в свободный доступ.

 

 

@Andrey73, возможно у вас было двойное шифрование. 

Файлы из архива расшифровываются. 

Положите оба файла из архива в одну папку и запустите decrypt.exe

Декриптор просканирует файлы на всем диске, так что возможно расшифрует что-то еще.

Но учтите, исходники расшифрованных файлов будут удалены. Так что если они вам для чего-то нужны, предварительно сохраните их где-то.

 

 

Вы говорите у Вас получилось расшифровать файлы которые я вам в архиве скинул ? Пришлите пожалуйста их, если конечно получилось, заранее спасибо ! 

Userlevel 7
Badge +8

@Andrey73, вы можете сами их расшифровать. Я выложил утилиту для дешифровки и ключ для этих файлов.

Но только для файлов с расширением  .no_more_ransom

.xtbl расшифровать не получается.

@Andrey73, возможно у вас было двойное шифрование. 

Файлы из архива Englishрасшифровываются. 

Положите оба файла из архива в одну папку и запустите decrypt.exe

Декриптор просканирует файлы на всем диске, так что возможно расшифрует что-то еще.

Но учтите, исходники расшифрованных файлов будут удалены. Так что если они вам для чего-то нужны, предварительно сохраните их где-то.

 

Вопросы не к Касперскому, вопросы к злоумышленникам.

Утилита использует ключи, которые разработчики этого шифровальщика некоторое время назад выложили в свободный доступ.

 

 

Блин это очень печально :(
У меня антивирус ругается на ваш архив, это нормально ? 

Userlevel 7
Badge +8

@Andrey73, это утилита самих злоумышленников, но она вполне безопасная. 

shadedecriptor эти файлы расшифровать не может, поскольку она не работает с файлами .no_more_ransom

Расшифрованные файлы из архива English.zip

@Andrey73, это утилита самих злоумышленников, но она вполне безопасная. 

shadedecriptor эти файлы расшифровать не может, поскольку она не работает с файлами .no_more_ransom

Расшифрованные файлы из архива English.zip

Я безумно благодарен, сейчас сделаю резервную копию .no_more_ransom и начну дешифрировать.
Очень сильно опечален с файлами XTBL, как эксперт, что вы можете посоветовать с файлами этого расширения ? Я в долгу не останусь! 

У меня в голове мысль пролетела, может быть мошенники зашифровали файлы в формат .no_more_ransom, а потом в xtbl, или наоборот

Userlevel 7
Badge +8

@Andrey73, я не большой специалист по дешифровке.

Попробуйте проконсультироваться на этом форуме (потребуется отдельная регистрация).

Укажите там ссылку на эту тему, чтобы долго не объяснять.

Userlevel 7
Badge +9

shadedecriptor эти файлы расшифровать не может, поскольку она не работает с файлами .no_more_ransom

Лукавите :wink:  Может: https://support.kaspersky.ru/13059
Просто нужно указать корректный readme.txt при включенном интернете и ждать.

Userlevel 7
Badge +8

@Friend, что интересно, я вот сейчас ее запустил и она у меня совершенно по другому сработала. 

До этого она просила указать зашифрованные файлы, а потом файл readme. А .no_more_ransom я ей вообще подсунуть не мог, она его не понимала.

Я же не просто так начал экспериментировать с другой утилитой.

А сейчас и файлы сама нашла и readme не спросила. И при этом .no_more_ransom расшифровала. Но .xtbl все равно не смогла.

Похоже онлайн база была недоступна.

P.S. Там проблема в том, что .xtbl зашифрованы ключем которого нет в слитой базе.

Поэтому thyrex уже послал ТС в техподдержку на ФК.

@Andrey73, для обращения в техподдержку по поводу расшифровки нужно иметь коммерческую лицензию на любой продукт Касперского.

Но гарантий что смогут помочь нет.

Reply