Вирус переименовал все файлы с расширением .da_vinci_code

[AlexeyM]

Вирус переименовал все файлы с расширением .da_vinci_code. Появилось много блокнотиков с названием readme со следующим содержанием:

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

E70375C8495FD9CF8815|0

на электронный адрес RobertaMacDonald1994@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь формой обратной связи. Это можно сделать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en

В адресной строке Tor Browser-а введите адрес:

http://cryptsen7fo43rr6.onion/

и нажмите Enter. Загрузится страница с формой обратной связи.

2) В любом браузере перейдите по одному из адресов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

__________________________________________

 

Прошу о помощи. Логи прикладываю.

CollectionLog-2016.05.20-19.14.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Koshmanov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\Users\Koshmanov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[AlexeyM]

KLAN-4318791566

Прикладываю новые логи:

 

Каковы мои дальнейшие действия?и что делать с зашифрованными файлами?

Так же прикладываю логи FarBar recovery scan tool

CollectionLog-2016.05.23-09.49.zip

frst логи.rar

Изменено 23 мая, 2016 пользователем AlexeyM

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:



2016-05-20 17:29 - 2016-05-20 17:29 - 06220854 _____ C:\Users\Koshmanov\AppData\Roaming\300EE928300EE928.bmp

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README9.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README8.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README7.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README6.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README5.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README4.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README3.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README2.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README10.txt

2016-05-20 16:38 - 2016-05-23 08:55 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-05-20 16:38 - 2016-05-23 08:55 - 00000000 __SHD C:\ProgramData\Windows

Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[AlexeyM]

Fixlog

Fixlog.rar

[thyrex]

С расшифровкой помочь не сможем