Файлы зашифрованы .da_vinci_code. Адрес RobertaMacDonald1994@gmail.com

[zeratul7x]

Добрый день.

 

На почту пришло письмо следующего содержания: 

 

Тема: Зачиcление_MK560363

Отправитель: Финотдел

metalfabjim@m33access.com

 

Содержание:

 

 

 

 

 

 

Евгений Давиденко-Санкт-Петербург Gilly can stay as long as she likes.

S{с|cannеd with AVG www.avg.com

 

 

 

 

 

Вложение:

 

53590170.gz (прикрепленный файл virus2.rar, пароль: virus)

содержит в себе файл 200516.jse

 

Видимо, кто-то скачал сей архив и запустил скрипт на компьютере 20.05.2016.

 

На ПК стоял Kaspersky Free Antivirus версии 16.0.1.445(с) с регулярно обновляемыми антивирусными базами.

 

После шифрования многие пользовательские файлы оказались переименованы в случайное имя с расширением .da_vinci_code.

На рабочем столе появились обои с содержанием:

 

"Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков"

 

 

Содержание файла README.TXT

 

"Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

2F04754A347F7D9704A6|0

на электронный адрес RobertaMacDonald1994@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь формой обратной связи. Это можно сделать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en

В адресной строке Tor Browser-а введите адрес:

http://cryptsen7fo43rr6.onion/

и нажмите Enter. Загрузится страница с формой обратной связи.

2) В любом браузере перейдите по одному из адресов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/"

 

Так же KAV при проверке обнаружил и поместил в карантин файл csrss.exe, определив его как: Trojan-Ransom.Win32.Shade.xs (прикрепленный файл virus1.rar, пароль: virus)

 

 

Скажите пожалуйста, есть ли в данный момент способ расшифровать файлы после воздействия данного вируса?

Строгое предупреждение от модератора Ely

 

Не размещайте вредоносное ПО на форуме!

CollectionLog-2016.05.23-10.37.zip

Изменено 23 мая, 2016 пользователем Elly

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

На ПК стоял Kaspersky Free Antivirus версии 16.0.1.445(с) с регулярно обновляемыми антивирусными базами.

Лицензионное соглашение запрещает использование его в организации.

[zeratul7x]

Готово.

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CloseProcesses:

Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs [2016-05-20] ()

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs

2016-05-20 23:10 - 2016-05-20 23:10 - 02359350 _____ C:\Users\admin\AppData\Roaming\D2EE2938D2EE2938.bmp

2016-05-20 16:31 - 2016-05-23 10:51 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-05-20 16:31 - 2016-05-23 10:51 - 00000000 __SHD C:\ProgramData\Windows

• ​Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[zeratul7x]

Готово.

Fixlog.txt

Изменено 23 мая, 2016 пользователем zeratul7x

[mike 1]

С расшифровкой не поможем.

 

Для повышения уровня компьютерной грамотности ознакомьтесь с этим:

 

1. https://forum.kaspersky.com/index.php?showtopic=314866

2. http://forum.kasperskyclub.ru/index.php?app=blog&module=display&section=blog&blogid=320&showentry=2083

[zeratul7x]

 

С расшифровкой не поможем.

 

Совсем никак?

И вероятности того, что способ расшифровки появится - тоже нет?

[mike 1]

Для Kaspersky Free техподдержка не оказывается, а потому в техподдержку обратиться вы не можете. 

[zeratul7x]

Для Kaspersky Free техподдержка не оказывается, а потому в техподдержку обратиться вы не можете. 

Готовы приобрести лицензию, если это поможет с расшифровкой. 

Вопрос в том, а поможет ли?  =\

[mike 1]

Гарантий никаких нет. Дальше решайте сами.