Просьба на расшифровку файлов da_vinchi_code

[Maria Serova]

Добрый день! После прочтения письма на почте, все файлы оказались зашифрованы с расширением da_vinchi_code, также везде были созданы текстовые документы со следующим содержанием: 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

9E4212BEAF975A079BA5|0

на электронный адрес RobertaMacDonald1994@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь формой обратной связи. Это можно сделать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en

В адресной строке Tor Browser-а введите адрес:

http://cryptsen7fo43rr6.onion/

и нажмите Enter. Загрузится страница с формой обратной связи.

2) В любом браузере перейдите по одному из адресов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

Возможно ли расшифровать файлы?

CollectionLog-2016.05.22-13.57.zip

[Sandor]

Здравствуйте!

 

Два антивируса - много

avast! Free Antivirus

Kaspersky Free

Один оставьте, один удалите.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Амиго

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\x.vbs', '');
 QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\Ярлыки\Internet Explorer.lnk', '');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет 2inf.net.lnk', '');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\aEG2n7gHGNAc-8uX9dshZQ==.9E4212BEAF975A079BA5.da_vinci_code', '');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\aEG2n7gHGNAc-8uX9dshZQ==.9E4212BEAF975A079BA5.da_vinci_code', '32');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\x.vbs', '32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет 2inf.net.lnk', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lmxqplqylk');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Maria Serova]

Постаралась сделать все, как Вы сказали. Спасибо за внимание к моей проблеме.

report1.log

CollectionLog-2016.05.22-15.59.zip

report2.log

[Sandor]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Maria Serova]

Выполнила. Файлы прикрепляю.

FRST.txt

Shortcut.txt

Addition.txt

[Sandor]

Один оставьте, один удалите.

Так и не выполнили.

 

 

Включите Восстановление системы.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-2000478354-1677128483-682003330-500\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://hi.ru/search/?q={searchTerms}
Toolbar: HKU\S-1-5-21-2000478354-1677128483-682003330-500 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
FF Extension: No Name - C:\Users\ZverAdmin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\elemhidehelper@adblockplus.org.xpi [not found]
FF Extension: No Name - C:\Users\ZverAdmin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}.xpi [not found]
FF Extension: No Name - C:\Users\ZverAdmin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{1BC9BA34-1EED-42ca-A505-6D2F1A935BBB} [not found]
FF Extension: No Name - C:\Users\ZverAdmin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}.xpi [not found]
FF Extension: No Name - C:\Users\ZverAdmin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{582195F5-92E7-40a0-A127-DB71295901D7}.xpi [not found]
FF Extension: No Name - C:\Users\ZverAdmin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} [not found]
FF Extension: No Name - C:\Users\ZverAdmin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{cd617375-6743-4ee8-bac4-fbf10f35729e}.xpi [not found]
FF Extension: No Name - C:\Users\ZverAdmin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [not found]
FF Extension: No Name - C:\Users\ZverAdmin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\{dc572301-7619-498c-a57d-39143191b318}.xpi [not found]
FF Extension: No Name - C:\Users\ZverAdmin\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\e67f8350-7edf-11e3-baa7-0800200c9a66@fri-gate.org.xpi [not found]
2016-05-21 11:02 - 2016-05-21 11:02 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\Unity
2016-05-21 10:53 - 2016-05-21 10:53 - 00352488 _____ (Mail.Ru) C:\Documents and Settings\Admin\Рабочий стол\amigo_setup.exe
2016-05-21 03:10 - 2016-05-21 03:10 - 03932214 _____ C:\Documents and Settings\Admin\Application Data\E1EEFC7BE1EEFC7B.bmp
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\Admin\Рабочий стол\README9.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\Admin\Рабочий стол\README8.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\Admin\Рабочий стол\README7.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\Admin\Рабочий стол\README6.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\Admin\Рабочий стол\README5.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\Admin\Рабочий стол\README4.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\Admin\Рабочий стол\README3.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\Admin\Рабочий стол\README2.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\Admin\Рабочий стол\README10.txt
2016-05-21 03:10 - 2016-05-21 03:10 - 00002718 _____ C:\Documents and Settings\Admin\Рабочий стол\README1.txt
2016-05-20 16:07 - 2016-05-22 06:15 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2016-05-20 16:07 - 2016-05-20 16:07 - 00002718 _____ C:\README9.txt
2016-05-20 16:07 - 2016-05-20 16:07 - 00002718 _____ C:\README8.txt
2016-05-20 16:07 - 2016-05-20 16:07 - 00002718 _____ C:\README7.txt
2016-05-20 16:07 - 2016-05-20 16:07 - 00002718 _____ C:\README6.txt
2016-05-20 16:07 - 2016-05-20 16:07 - 00002718 _____ C:\README5.txt
2016-05-20 16:07 - 2016-05-20 16:07 - 00002718 _____ C:\README4.txt
2016-05-20 16:07 - 2016-05-20 16:07 - 00002718 _____ C:\README3.txt
2016-05-20 16:07 - 2016-05-20 16:07 - 00002718 _____ C:\README2.txt
2016-05-20 16:07 - 2016-05-20 16:07 - 00002718 _____ C:\README10.txt
2016-05-20 16:07 - 2016-05-20 16:07 - 00002718 _____ C:\README1.txt
2016-05-22 15:21 - 2015-02-07 12:12 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\Amigo
Task: C:\WINDOWS\Tasks\MailRuUpdateTask.job => C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe/scheduler C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Maria Serova]

Сделала. Прикрепляю. А поводу антивирусника Вы писали, что один надо удалить, так я пробовала - он как с ума сошел. Ни через панель управления, ни вручную, ни из диспетчера задач не убирался. Пришлось виртуальный виндоус загружать и оттуда его удалять вручную. Корректно не смогла.

Fixlog.txt

[Sandor]

ни вручную, ни из диспетчера задач не убирался

Нужно было так и сказать. Вот инструкция.

 

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

[Maria Serova]

Спасибо. Я обязательно приобрету лицензию в ближайшее время и создам запрос. Скажите, пожалуйста, надежда на расшифровку есть?

[Sandor]

Пока - очень призрачная, к сожалению.

[Maria Serova]

Понятно. А на како

А на какой конкретно продукт приобретать лицензию?

Internet security?

[Sandor]

Не важно, главное - коммерческий, а не бесплатный.

[Sandor]

@Maria Serova, если еще не удалили

 

Файл quarantine.zip из папки с распакованной утилитой AVZ

отправьте, пожалуйста, с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.