Нужна помощь! Поймали вирус DA_VINCI_CODE. Зашифрованы все файлы

[natalieB]

Поймали вирус. Зашифрованы все файлы формата .doc, .docx. Имеют расширение .da_vinci_code. 

Прикрепляю отчёты программы  Farbar Recovery Scan Tool  

FRST.txt  Addition.txt

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[natalieB]

Добрый вечер. Возникла следующая проблема. Пользователь отрыл неизвестный файл, после чего запустилось шифрование всех файлов на компьютере. У  файлов теперь расширение .da_vinci_code

 

В файлах README следующее сообщение:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

92DCCFDB64AE805BA923|0

на электронный адрес GraceseYoumans1983@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь формой обратной связи. Это можно сделать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en

В адресной строке Tor Browser-а введите адрес:

http://cryptsen7fo43rr6.onion/

и нажмите Enter. Загрузится страница с формой обратной связи.

2) В любом браузере перейдите по одному из адресов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены

CollectionLog-2016.05.19-19.22.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

> Chrome Search

Time tasks

TSearch

Служба автоматического обновления программ

Затем:

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[natalieB]

отчёт  AdwCleaner

AdwCleanerS1.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[natalieB]

1. AdwCleaner

AdwCleanerC2.txt

 

2.Farbar Recovery Scan Tool

Addition.txt   FRST.txt   Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
CHR Extension: (Интернет-магазин Chrome) - C:\Users\sekretar\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-05]
CHR Extension: (Google Search) - C:\Users\sekretar\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-10-28]
CHR Extension: (Интернет-магазин Chrome) - C:\Users\sekretar\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-15]
CHR Extension: (Интернет-магазин Chrome) - C:\Users\sekretar\AppData\Local\Google\Chrome\User Data\Default\Extensions\glcimepnljoholdmjchkloafkggfoijh [2016-05-17]
CHR Extension: (Интернет-магазин Chrome) - C:\Users\sekretar\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp [2015-06-25]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\sekretar\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-04]
OPR Extension: (No Name) - C:\Users\sekretar\AppData\Roaming\Opera Software\Opera Stable\Extensions\gojhnkgdokkakidkhkcbjhfhmnicohfg [2016-05-17]
2016-05-17 10:45 - 2016-05-17 10:45 - 00000000 __SHD C:\Users\sekretar\AppData\Roaming\System32
2016-05-17 11:21 - 2015-05-13 12:13 - 00000000 ____D C:\Users\sekretar\AppData\LocalLow\IObit
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[natalieB]

Лог-файл

Fixlog.txt

[Sandor]

В системе порядок, с расшифровкой не поможем.