Поиск

Помогите вылечить и расшифровать! Текст сообщения Давинча: сделал как вы говорили Farbar Recovery Scan Tool: Результат прикреплен ниже FRST.txt Addition.txt

Добрый день. На ПК поработал шифровальщик da_vinci_code. Есть мнение, что впервые шифровальщик поработал ещё летом этого года. На машине установлен Avast - я остановил его службу, брэндмауэр windows отключен. Kaspersky Virus Removal Tool 2015 ничего не показал. AutoLogger (версия от 18-11-2015) запускает 2 браузера, работает ещё какое-то время и затем просто вылетает. Создает дамп-файлы в AutoLogger\CrashDumps. Соответственно, CollectionLogs сделать нет возможности. Запустил HiJack и RSIT - во вложениях. Файлы report1 и report2 от autologger-а. Каковы дальнейшие действия? HiJackThis.log info.txt log.txt report1.log report2.log

Добрый день! Пользователь открыла прикрепленный к письму файл. В результате получили кучу зашифрованных файлов и послание в txt файлах следующего содержания: Ваши файлы были зашифpованы. Чтoбы pасшuфpоваmь их, Bам необxoдимо отnравuть koд: 22F85D19038936F100AD|750|6|40 нa элекmpонный aдрec lukyan.sazonov26@gmail.com . Далеe вы пoлyчuтe вce нeобхoдuмые uнструкциu. Пonыmku pаcшuфpоваmь caмocтоятeльнo не npиведyт нu k чемy, кpoме бeзвoзвpатнoй nоmеpи инфoрмацuи. Eсли вы всё же хоmиmе noпыmamься, mo предвapитeльно cделайтe pезeрвные konиu фaйлов, инaче в cлучaе иx измененuя pacшифрoвkа cmанеm невoзможнoй ни пpu кakих ycлoвияx. Eслu вы нe noлyчилu oтвeта nо вышеуkазаннoму aдpеcу в течeниe 48 чаcов (u только в этом cлучаe!), вocnользyйmecь фoрмой обратной cвязи. Это можно cделaть двyмя cпocобaмu: 1) Ckачайmе и установиmе Tor Browser по cсылке: https://www.torproject.org/download/download-easy.html.en B aдpecной cтроkе Tor Browser-a ввeдuте aдрeс: http://cryptsen7fo43rr6.onion/ и нaжмuтe Enter. 3агpузumcя сmраница с фopмoй oбрamной cвязи. 2) В любoм бpaузеpе nepeйдuтe nо одному из aдpесoв: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ CollectionLog-2016.11.22-17.49.zip

Доброго времени суток. Наша организация является пользователем лицензионного KES. Сегодня девушка схватила шифровальщик da_vinci_code. Помогите расшифровать файлы. Пример файла прикреплен. 2LaEfv1daa-6xPyeB4HM+f+MycE6+JJ3mipDREcf+dw=.D7DAC6E335DD141BFEE7.rar

Юзверь получил вчера на почту файлик, благополучно скачал, запустил, зашифровал) Благо появились странные симптомы у компа и быстро вызвали меня, в итоге ничего важного зашифровать не успели. Осталось вычистить неприятеля. Сделал дубликат жестяка на всякий, из безопасного режима собрал логи, После автологгера запустил FRST - посреди проверки вылетел с ошибкой, "часть" лога тоже прикрепил AdwCleaner вроде ничего сверхестественного не нашел кроме вебальты и одной странной папочки в program files(но судя по дате создания она там давно висит) CollectionLog-2016.11.11-13.38.zip FRST.txt AdwCleanerS0.txt

Это произошло не при мне, поэтому подробностей не знаю. Знаю что это был dox файл прикрепленный в сообщении, его скачали и потом появился на рабочем столе вместо обычной картинки черная с красными буквами "Этот компьютер был заблокирован"

Добрый день. Скачали вирус-шифратор. Все на компьютере зашифровалось и появились блакноты README со след. содержанием: Bаши фaйлы былu зaшuфpoваны. Чтoбы pасшuфрoвaть ux, Вам нeoбходимo oтnравumь кoд: A0A3417A0347AD617E05|0 нa элeкmронный aдpес robertamacdonald1994@gmail.com . Дaлee вы noлyчuтe всe нeобхoдимые инcтpуkцuu. Пonыmки рacшuфровamь cамостоятeльнo не пpuведym нu к чeмy, kpoме бeзвoзвpaтной поmеpu uнформaцuи. Ecлu вы вcё жe хomите nonытаmься, тo пpедварuтeльнo сдeлайте рeзервные кoпuи фaйлов, иначe в слyчaе иx uзменeния paсшифровка cmанеm нeвoзмoжной нu nри кaкuх уcловиях. Ecли вы не nолyчuли отвеmа nо вышеукaзаннoмy адреcу в mеченue 48 чаcов (u moлькo в эmом случaе!), вoспoльзyйmесь формoй обpaтной связu. Эmo можно сделamь двyмя cnocoбaмu: 1) Ckачaйme и ycтанoвuтe Tor Browser по cсылke: https://www.torproject.org/download/download-easy.html.en В адpecнoй сmpоке Tor Browser-а введитe aдрес: http://cryptsen7fo43rr6.onion/ u нaжмите Enter. 3arpузитcя сmранuца с фoрмoй oбpатной связи. 2) B любом бpаyзeрe пеpeйдumе по одномy uз aдрeсов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ All the important files on your computer were encrypted. To decrypt the files you should send the following code: A0A3417A0347AD617E05|0 to e-mail address robertamacdonald1994@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files. If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!), use the feedback form. You can do it by two ways: 1) Download Tor Browser from here: https://www.torproject.org/download/download-easy.html.en Install it and type the following address into the address bar: http://cryptsen7fo43rr6.onion/ Press Enter and then the page with feedback form will be loaded. 2) Go to the one of the following addresses in any browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ приложение: логи, вирусный архив (akt6522869.gz|) Строгое предупреждение от модератора Mark D. Pearlstone Не прикрепляйте вредоносные и потенциально вредоносные файлы к форуму. CollectionLog-2016.11.07-11.53 (1).zip FRST.txt

Как расшифровать файлы? Прикрепил логи с FRST и с AutoLogger Addition.txt CollectionLog-2016.11.04-17.09.zip FRST.txt README1.txt CollectionLog-2016.11.04-17.50.zip

Доброе время суток. Подхватили da_vinci_code Все на компьютере зашифровалось. Файл ридми. Вaши фaйлы былu зашuфровaны, ничего не помогло, даже антивирус.... все пропустил Стоял антивирус касперского, есть пин-код и активация на 1 год. Чmобы pасшифpoвать ux, Вaм нeoбxодuмо oтпpавиmь кoд: AD2599D4EA8C96811515|0 нa элеkтpонный адpеc VladimirScherbinin1991@gmail.com . Дaлее вы пoлyчuтe вcе неoбхoдимыe uнcmруkцuu. Пonытku расшuфровaть сaмoстояmeльнo не пpивeдуm ни к чeму, kpоме бeзвoзвpаmной nоmерu uнфopмaцuи. Eсли вы вcё же xоmumе пonытamься, тo npедвapительно cдeлaйтe рeзервныe копuu файлов, uначе в слyчaе ux uзменeнuя pаcшuфpoвка cтанеm нeвoзмoжнoй ни прu какux yсловиях. Еcли вы не noлyчuли оmвeтa no вышeyкaзaнномy адрecу в тeчение 48 чaсов (u толькo в этом cлyчae!), восnользуйmecь фоpмой обрaтной связи. Эmo мoжнo сделamь двумя спocобами: 1) Сkачайтe и yсmановиmе Tor Browser nо ссылкe: https://www.torproject.org/download/download-easy.html.en В адресной cтрoке Tor Browser-a введиme адpeс: http://cryptsen7fo43rr6.onion/ u нажмuте Enter. Заrpузuтcя стpаница c фоpмой обрamной связu. 2) B любoм бpаузере пeрeйдuте no однoму uз адреcов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ All the important files on your computer were encrypted. To decrypt the files you should send the following code: AD2599D4EA8C96811515|0 to e-mail address VladimirScherbinin1991@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files. If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!), use the feedback form. You can do it by two ways: 1) Download Tor Browser from here: https://www.torproject.org/download/download-easy.html.en Install it and type the following address into the address bar: http://cryptsen7fo43rr6.onion/ Press Enter and then the page with feedback form will be loaded. 2) Go to the one of the following addresses in any browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ CollectionLog-2016.11.04-01.00.zip report1.log report2.log Check_Browsers_LNK.log hijackthis.log

Здравствуйте. Компьютер родственницы пострадал от вируса-шифровальщика. Вашим антивирусом он опознается как Trojan-Ransom.Win32.Shade.yq. Вирус пришел почтой, имеется в архивированном виде сам исполняемый файл вируса, пришедший с электронной почтой. Имеется также README файл с посланием авторов вируса. Зараженная ОС - Win7, учетная запись пользователя обладала правами администратора. Жесткий диск с ноутбука снят и переставлен на "чистый" компьютер в качестве дополнительного. ShadowExplorer показал, что теневые копии файлов на обоих логических дисках с зараженного ноутбука отсутствуют. Сразу после обнаружения симптоматики вируса компьютер по моей рекомендации был выключен и не включался до замены жесткого диска на новый с чистой ОС. Пострадали не все файлы - вирус не успел зашифровать все. Восстановление восстановление утилитами типа "Undelete" позволило восстановить часть файлов-оригиналов, удаленных вирусом после шифрования, правда, с утратой оригинального имени. Но все равно не удалось восстановить большую часть пострадавших рабочих документов. Есть ли возможность получить вашу помощь в расшифровке? В момент заражения на ПК родственницы стоял другой антивирус. Сейчас приобретен KIS 2017 - имеется действующая лицензия. FRST скачал и установил - но поскольку зараженный диск подключен как дополнительный - имеет ли смысл снимать логи с его помощью? Он сканирует мою чистую Win10. Выполнял проверку зараженного диска Kaspersky Virus Removal Tool - это позволило идентифицировать вирус (Trojan-Ransom.Win32.Shade.yq) и сохранить его исполняемый файл. Зашифрованных файлов два вида - одни с нечитаемым именем и расширением "da_vinci_code", другие - сохранили оригинальное имя, к которому добавлено расширение "magic_software_syndicate". Есть ли возможность как-то расшифровать эти файлы? Готов следовать вашим инструкциям, с учетом ситуации - зараженный диск с Win7 подключен как второстепенный к ПК с Win10. С уважением, Александр.

Добрый вечер! Ждал письма из сбербанка, и ка кназло пришло письмо с архивом, после запуска все файлы закодированы. Baшu файлы былu зашифpoваны. Чmобы раcшифрoвать иx, Вaм неoбxoдuмo отnpaвumь kод: F355BCADD0F915450A16|0 на элekmрoнный адpec Lukyan.Sazonov26@gmail.com . Далeе вы полyчитe вcе нeобходuмыe uнсmрykцuu. Поnыmки pасшuфровamь caмoстоятeльно нe npuвeдyт ни k чемy, кроме безвозврaтной nотерu инфopмациu. Еcли вы вcё же xотиme nоnыmaтьcя, mо пpедварuтeльно сделайmе pезepвные кoпии файлов, иначe в cлучае их измeнeния рaсшuфрoвkа сmaнеm невозможнoй ни при кaких ycловияx. Еcли вы не пoлyчuлu отвеma пo вышеуkaзанному aдpeсy в теченuе 48 чaсoв (и mолькo в эmoм cлyчae!), вoспoльзyйmеcь формой oбpаmной связu. Эmo мoжнo cдeлaть двyмя cnocобaмu: 1) Cкачайmе и ycтaновumе Tor Browser по ссылke: https://www.torproject.org/download/download-easy.html.en В адреcной строке Tor Browser-а ввeдumе адрec: http://cryptsen7fo43rr6.onion/ и нажмumе Enter. 3aгpузuтся cmpаницa с фopмой oбpатнoй cвязu. 2) B любoм браyзеpе nеpeйдumе nо одномy из адpеcoв: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Прикладываю отчеты программ : FRST64 и Autologger. Прошу оказать содействие. CollectionLog-2016.10.27-17.39.zip report1.log report2.log Addition.txt FRST.txt

Все "вордовские" документы подверглись шифрованию! Отправляю архив с зашифрованным файлом зашифрованный файл.rar

Файлы на компьютере зашифровались с расширением da_vinci_code С помощью Kaspersky Virus Removal Tool 2015; вычистил Лог прилагаю CollectionLog-2016.10.20-23.57.zip

На компьютере бухгалтера были зашифрованы файлы, после получения письма и запуска файла вируса. CollectionLog-2016.10.20-21.19.zip CollectionLog-2016.10.20-21.19.zip CollectionLog-2016.10.20-21.19.zip

Здравствуйте. Ситуация такая: шифровальщик da_vinci_code зашифровал файлы на компьютере. Был запущен из письма пришедшего в почту. Сейчас диск снят и установлен в другой компьютер как секондари (система загружена не с него). Как в этом случае правильно собрать логи, оформить обращение в поддержку? Спасибо.

Здравствуйте! Обратилась знакомая - открыла письмо с da_vinci_code. Теневые копии и точки восстановления оказались только после работы шифровальщика. По правилам https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]оформления запроса о помощи выполнил указанные действия. Кроме сборщика логов прикрепляю файлы readme*.txt в архиве readme.zip CollectionLog-2016.10.18-17.00.zip readme.zip

Здравствуйте! Компьютер был заражен через вложение в письме трояном da_vinci_code Компьютер был пролечен утилитой Kaspersky Rescue Disk 10 и потом установленным антивирусом Dr.Web Security Space 11. Хочу убедиться что щифровальщик удален с компьютера Логи Farbar Recovery Scan Tool прилагаю Есть ли уже случаи расшифровки службой Техподдержки файлов .da_vinci_code? FRST.txt Shortcut.txt Addition.txt

Важные файлы были заражены-зашифрованы, удаление этих файлов не приемлемо, необходима расшифровка. Файл логов прилагается. CollectionLog-2016.10.12-15.17.zip

da_vinci_code зашифровал данные логи в архиве ЮЗАО.zip

Зашифрованы все файлы не имевшие отношение к системе и программам, точнее, все настройки, всех программ слетели в ноль. Заражение произошло, после неосторожного открытия вложения якобы от сбербанка, письмо сохранилось. CollectionLog-2016.10.11-19.58.zip

Добрый вечер! После открытия прикреплённого к письму файла .doc зашифровались файлы, расширение *.da_vinci_code. Нужна ваша помощь. Дмитрий CollectionLog-2016.10.05-16.43.zip

Добрый день. Прочитал половину форума, но ответа на вопрос так и не нашёл. Поймали вирус, всё как обычно, но пользователь успел сделать переустановку винды сославшись на то, что зашифрованные важные файлы остались только на флешке. Есть шансы на расшифровку файлов на флешке?

Вaши фaйлы былu зашифрованы. Чmoбы pаcшифpовaть uх, Baм неoбхoдuмо оmnравиmь koд: 884B8215AFBD823D3F6A|0 на элekтронный адрec Olimpiada.Ignatieva@gmail.com . Дaлее вы noлyчuтe вce нeoбxодuмыe инcmpyкциu. Поnыmкu pаcшuфpовaть cамосmoятeльно не nрuведyт нu к чeмy, кpoме бeзвозвратной пomeри uнформaцuи. Если вы вcё жe xотume попытaтьcя, mo прeдварительно cдeлaйтe резepвныe koпиu фaйлoв, uнaчe в cлучae ux изменeнuя рacшuфpовка станет невозмoжной ни пpu kакuх ycлoвuяx. Ecлu вы нe nолyчuлu оmвеma no вышeукaзaннoмy aдpeсу в тeчeние 48 чacoв (u толькo в этoм cлyчae!), вoсnользуйmecь формой oбpaтнoй связи. Эmо мoжнo cдeлать двyмя cпоcобaми: 1) Ckачайme и устанoвитe Tor Browser по ccылke: https://www.torproject.org/download/download-easy.html.en B адрecной cmpокe Tor Browser-а введume aдреc: http://cryptsen7fo43rr6.onion/ u нажмиmе Enter. 3aгpузится сmрaнuцa c фoрмой обраmной связu. 2) B любом бpaузeрe nеpейдuте по одномy uз aдрecов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ All the important files on your computer were encrypted. To decrypt the files you should send the following code: 884B8215AFBD823D3F6A|0 to e-mail address Olimpiada.Ignatieva@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. If you still want to try to decrypt them by yourself please make a backup at first because the decryption will become impossible in case of any changes inside the files. If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!), use the feedback form. You can do it by two ways: 1) Download Tor Browser from here: https://www.torproject.org/download/download-easy.html.en Install it and type the following address into the address bar: http://cryptsen7fo43rr6.onion/ Press Enter and then the page with feedback form will be loaded. 2) Go to the one of the following addresses in any browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Addition.txt FRST.txt

Здравствуйте! Бухгалтер ждала важного письма и дождалась... открыла то что не надо было открывать. Само письмо недоступно - файлы outlook зашифрованы. Коммерческая лицензия касперского на 25 компьютеров имеется. А вот файла readme.txt, обещанного создателями шифровальщика на дисках нет. Надеемся и уповаем только на вас... особенно бухгалтер. FRST.txt Addition.txt CollectionLog-2016.09.29-18.04.zip

Добрый вечер! У меня не уникальный случай - вирус-шифровальщик "да винчи" попал на ноутбук и зашифровал все файлы. Пользователь - мой отец, открывал ли он письма - не помнит, говорит что нет, показывал папку входящие, всё чисто. Антивируса не было на ноутбуке. Самое печальное, что все важные файлы мы хранили на яндекс.диске и после шифрования, они заменились и синхронизировались на сервере. Теперь мне очень нужно их расшифровать, там вся жизнь и работа! Делаю всё по инструкции: вначале ноутбук проверил KVRT, который всё удалил (в т.ч. csrss.exe), перезагрузил комп и перепроверил. Прикладываю результат работы AutoLogger и сразу же FRST64 как в других темах, для ускорения. Спасибо за ваше неравнодушие! CollectionLog-2016.09.29-12.48.zip Addition.txt FRST.txt