Перейти к содержанию

Вирус переименовал все файлы с расширением .da_vinci_code

AlexeyM
 Share Подписчики 0

Рекомендуемые сообщения

AlexeyM

AlexeyM 0

Опубликовано
Опубликовано

Вирус переименовал все файлы с расширением .da_vinci_code. Появилось много блокнотиков с названием readme со следующим содержанием:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
E70375C8495FD9CF8815|0
на электронный адрес RobertaMacDonald1994@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
воспользуйтесь формой обратной связи. Это можно сделать двумя способами:
1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
В адресной строке Tor Browser-а введите адрес:
и нажмите Enter. Загрузится страница с формой обратной связи.
2) В любом браузере перейдите по одному из адресов:
__________________________________________
 
Прошу о помощи. Логи прикладываю.

CollectionLog-2016.05.20-19.14.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 492

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Koshmanov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\Users\Koshmanov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на сообщение
Поделиться на другие сайты
AlexeyM

AlexeyM 0

Опубликовано
  • Автор
Опубликовано (изменено)

KLAN-4318791566


Прикладываю новые логи:

 

Каковы мои дальнейшие действия?и что делать с зашифрованными файлами?


Так же прикладываю логи FarBar recovery scan tool

CollectionLog-2016.05.23-09.49.zip

frst логи.rar

Изменено пользователем AlexeyM
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 492

Опубликовано
Опубликовано
1. Откройте Блокнот и скопируйте в него приведенный ниже текст



CreateRestorePoint:



2016-05-20 17:29 - 2016-05-20 17:29 - 06220854 _____ C:\Users\Koshmanov\AppData\Roaming\300EE928300EE928.bmp

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README9.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README8.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README7.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README6.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README5.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README4.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README3.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README2.txt

2016-05-20 17:29 - 2016-05-20 17:29 - 00002718 _____ C:\Users\Koshmanov\Desktop\README10.txt

2016-05-20 16:38 - 2016-05-23 08:55 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-05-20 16:38 - 2016-05-23 08:55 - 00000000 __SHD C:\ProgramData\Windows

Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...