Перейти к содержанию

Шифровщик DA_VINCI, поймали вирус через почту


Рекомендуемые сообщения

Здравствуйте меня зовут Михаил, на адрес нашей фирмы пришло письмо, с предложением тендера в теме, наш руководитель решил ознакомиться и как оказалось схватил вирус. Все файлы имеют разрешение "давинчи". Как я понял это свежая проблема(((. После случившегося, я снес наш антивирус (панда) и установил пробную Касперский тотал секьюрити, провел проверку и удалил вирусы (5 троянов). Но с расшифровкой это естественно не помогло. Один мой друг работает в Касперском, он посоветовал зайти сюда на форум и посмотреть, есть ли здесь такая тема, может кто поможет. 


Прошу посодействуйте с проблемой, на данном ноутбуке у нас хранится важная информация, будет очень проблемно ее потерять.


Заранее спасибо, с уважением Михаил


Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте, меня зовут Михаил.

 

           На данном ноутбуке мы поймали вирус через почту.

В теме письма было указано "Тендер", поэтому у нашего

директора не возникло подозрений, но после открытия

письма произошла шифровка, сменились обои рабочего 

стола и письмо самоудалилось. Также был отключен наш

антивирус Панда.

Прошу помогите, т.к. данные на ноутбуке очень важны для

нашей фирмы.

 

С уважением Михаил

CollectionLog-2016.05.19-10.58.zip

Отдельно логи.7z

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CloseProcesses:
HKLM-x32\...\RunOnce: [{943FE9F0-9F26-4BC6-91F1-49910FCC41D0}] => cmd.exe /C start /D "C:\Temp" /B {943FE9F0-9F26-4BC6-91F1-49910FCC41D0}.cmd
2016-05-17 19:07 - 2016-05-17 19:07 - 04320054 _____ C:\Users\Пользователь\AppData\Roaming\2B59D8142B59D814.bmp
2016-05-17 17:21 - 2016-05-18 13:24 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-05-17 17:21 - 2016-05-18 13:24 - 00000000 __SHD C:\ProgramData\Windows



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

.


Здравствуйте еще раз, директор проверил еще одну почту,

там висит такое же письмо, если Вам оно необходимо для

работы, мы можем его переслать, дайте адрес куда присылать

С уважением Михаил

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Мне оно не нужно потому что я знаю, что даже если Антивирус Касперского его не сможет опознать сигнатурно, то он его просто поймает по поведению, как в этом случае:

 

 

 

У Вас Касперский был установлен уже после заражения шифровальщиком и я это вижу по отчетам. 

 

Пишите запрос  http://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Директору ознакомиться с этим:

 

 

 

==================== Restore Points =========================

 
28-04-2016 17:11:33 Запланированная контрольная точка
10-05-2016 17:35:23 Запланированная контрольная точка
19-05-2016 11:14:18 Запланированная контрольная точка

 

+ Часть данных может быть сможете вытащить из теневых копий. 

Ссылка на комментарий
Поделиться на другие сайты

Спасибо,заранее, за помощь! Тоже поймал вирус "Код да Винчи", открыв письмо в почте. Если можете помогите.

FRST.txt

Addition.txt

Изменено пользователем ArtemLihosherst
Ссылка на комментарий
Поделиться на другие сайты

Сделал по инструкции сканирование.

по какой? Как минимум 2 пункта из 4 не выполнены http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]
Ссылка на комментарий
Поделиться на другие сайты

Спасибо,заранее, за помощь! Тоже поймал вирус "Код да Винчи". Сделал по инструкции сканирование. Высылаю в ваш адрес отчет.

А создать свою тему не догадались?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Vklass
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
    • Albert2025
      Автор Albert2025
      Добрый день.
      Подозреваю, что сегодня с флэшки случайно запустил вирус.
      Проверки файлов на флэшке через opentip.kaspersky.com выдает результаты HEUR:Trojan.Win64.Convagent.gen и Trojan.VBS.Starter.pl
      На компьютере при этом в Диспетчере задач есть какие-то неизвестные запущенные процессы.
      Но при этом проверка KVRT и DrWeb CureIt результатов не приносит, ничего не обнаруживается.
      Боюсь, что сидит какой-нибудь шифровальщик или троян, собирающий данные (пароли и т.д.).
        Прошу помочь разобраться, что делает этот вирус и как избавиться от него, во вложении архив с флэшки, пароль virus.
      Также в директории был еще файл *.dat, но он слишком большого размера, при помещении его в архив он превышает допустимый размер.
      P.S. Также приложил логи.
      rootdir1.rar
      CollectionLog-2025.05.20-11.45.zip
    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • Константин174
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • ruina
      Автор ruina
      Добрый день. Прошу помощи, перCollectionLog-2025.05.22-12.57.zipеименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp
×
×
  • Создать...