Вирус переименовал все файлы с расширением .da_vinci_code

20 мая, 2016

Вирус переименовал все файлы с расширением .da_vinci_code. Появилось много блокнотиков с названием readme со следующим содержанием:

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

E70375C8495FD9CF8815|0

на электронный адрес RobertaMacDonald1994@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь формой обратной связи. Это можно сделать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en

В адресной строке Tor Browser-а введите адрес:

http://cryptsen7fo43rr6.onion/

и нажмите Enter. Загрузится страница с формой обратной связи.

2) В любом браузере перейдите по одному из адресов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

__________________________________________

Прошу о помощи. Логи прикладываю.

CollectionLog-2016.05.20-19.14.zip

21 мая, 2016

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Koshmanov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\Users\Koshmanov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

23 мая, 2016

KLAN-4318791566

Прикладываю новые логи:

Каковы мои дальнейшие действия?и что делать с зашифрованными файлами?

Так же прикладываю логи FarBar recovery scan tool

CollectionLog-2016.05.23-09.49.zip

frst логи.rar

Изменено 23 мая, 2016 пользователем AlexeyM

23 мая, 2016

1. Откройте Блокнот и скопируйте в него приведенный ниже текст



CreateRestorePoint:



2016-05-20 17:29 - 2016-05-20 17:29 - 06220854 _____ C:\Users\Koshmanov\AppData\Roaming\300EE928300EE928.bmp

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README9.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README8.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README7.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README6.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README5.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README4.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README3.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README2.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README10.txt

2016-05-20 16:38 - 2016-05-23 08:55 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-05-20 16:38 - 2016-05-23 08:55 - 00000000 __SHD C:\ProgramData\Windows

Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

24 мая, 2016

Fixlog

Fixlog.rar

24 мая, 2016

С расшифровкой помочь не сможем

Вирус переименовал все файлы с расширением .da_vinci_code

Рекомендуемые сообщения

AlexeyM

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

AlexeyM

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

AlexeyM

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum