Перейти к содержанию

Файлы зашифрованы .da_vinci_code. Адрес RobertaMacDonald1994@gmail.com


Рекомендуемые сообщения

Добрый день.

 

На почту пришло письмо следующего содержания: 

 

Тема: Зачиcление_MK560363

Отправитель: Финотдел

metalfabjim@m33access.com

 

Содержание:

 

 

 

 

 

 

Евгений Давиденко-Санкт-Петербург Gilly can stay as long as she likes.

S{с|cannеd with AVG www.avg.com

 

 

 

 

 

Вложение:

 

53590170.gz (прикрепленный файл virus2.rar, пароль: virus)

содержит в себе файл 200516.jse

 

Видимо, кто-то скачал сей архив и запустил скрипт на компьютере 20.05.2016.

 

На ПК стоял Kaspersky Free Antivirus версии 16.0.1.445(с) с регулярно обновляемыми антивирусными базами.

 

После шифрования многие пользовательские файлы оказались переименованы в случайное имя с расширением .da_vinci_code.

На рабочем столе появились обои с содержанием:

 

"Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков"

 

 

Содержание файла README.TXT

 

"Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

2F04754A347F7D9704A6|0

на электронный адрес RobertaMacDonald1994@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь формой обратной связи. Это можно сделать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en

В адресной строке Tor Browser-а введите адрес:

http://cryptsen7fo43rr6.onion/

и нажмите Enter. Загрузится страница с формой обратной связи.

2) В любом браузере перейдите по одному из адресов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/"

 

Так же KAV при проверке обнаружил и поместил в карантин файл csrss.exe, определив его как: Trojan-Ransom.Win32.Shade.xs (прикрепленный файл virus1.rar, пароль: virus)

 

 

Скажите пожалуйста, есть ли в данный момент способ расшифровать файлы после воздействия данного вируса?

Строгое предупреждение от модератора Ely

 

Не размещайте вредоносное ПО на форуме!

CollectionLog-2016.05.23-10.37.zip

Изменено пользователем Elly
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png

 

 

На ПК стоял Kaspersky Free Antivirus версии 16.0.1.445(с) с регулярно обновляемыми антивирусными базами.

Лицензионное соглашение запрещает использование его в организации.

Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CloseProcesses:
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs [2016-05-20] ()
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs
2016-05-20 23:10 - 2016-05-20 23:10 - 02359350 _____ C:\Users\admin\AppData\Roaming\D2EE2938D2EE2938.bmp
2016-05-20 16:31 - 2016-05-23 10:51 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-05-20 16:31 - 2016-05-23 10:51 - 00000000 __SHD C:\ProgramData\Windows



  • ​Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

С расшифровкой не поможем.

 

Для повышения уровня компьютерной грамотности ознакомьтесь с этим:
 
Ссылка на комментарий
Поделиться на другие сайты

Для Kaspersky Free техподдержка не оказывается, а потому в техподдержку обратиться вы не можете. 

Ссылка на комментарий
Поделиться на другие сайты

Для Kaspersky Free техподдержка не оказывается, а потому в техподдержку обратиться вы не можете. 

Готовы приобрести лицензию, если это поможет с расшифровкой. 

Вопрос в том, а поможет ли?  =\

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • Max132
      От Max132
      Добрый день! Не могу найти функцию добавления нежелательного почтового ящика, с которого осуществляется спам-рассылка, в ksc 13.2
      Есть ли там функция спам-фильтра не только для файлов, но и для почтовых адресов?
      По сути нужно просто заблокировать почту , но я не вижу подходящего раздела
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
×
×
  • Создать...