Перейти к содержанию

Файлы зашифрованы .da_vinci_code. Адрес RobertaMacDonald1994@gmail.com


Рекомендуемые сообщения

Добрый день.

 

На почту пришло письмо следующего содержания: 

 

Тема: Зачиcление_MK560363

Отправитель: Финотдел

metalfabjim@m33access.com

 

Содержание:

 

 

 

 

 

 

Евгений Давиденко-Санкт-Петербург Gilly can stay as long as she likes.

S{с|cannеd with AVG www.avg.com

 

 

 

 

 

Вложение:

 

53590170.gz (прикрепленный файл virus2.rar, пароль: virus)

содержит в себе файл 200516.jse

 

Видимо, кто-то скачал сей архив и запустил скрипт на компьютере 20.05.2016.

 

На ПК стоял Kaspersky Free Antivirus версии 16.0.1.445(с) с регулярно обновляемыми антивирусными базами.

 

После шифрования многие пользовательские файлы оказались переименованы в случайное имя с расширением .da_vinci_code.

На рабочем столе появились обои с содержанием:

 

"Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков"

 

 

Содержание файла README.TXT

 

"Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

2F04754A347F7D9704A6|0

на электронный адрес RobertaMacDonald1994@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь формой обратной связи. Это можно сделать двумя способами:

1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en

В адресной строке Tor Browser-а введите адрес:

http://cryptsen7fo43rr6.onion/

и нажмите Enter. Загрузится страница с формой обратной связи.

2) В любом браузере перейдите по одному из адресов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/"

 

Так же KAV при проверке обнаружил и поместил в карантин файл csrss.exe, определив его как: Trojan-Ransom.Win32.Shade.xs (прикрепленный файл virus1.rar, пароль: virus)

 

 

Скажите пожалуйста, есть ли в данный момент способ расшифровать файлы после воздействия данного вируса?

Строгое предупреждение от модератора Ely

 

Не размещайте вредоносное ПО на форуме!

CollectionLog-2016.05.23-10.37.zip

Изменено пользователем Elly
Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png

 

 

На ПК стоял Kaspersky Free Antivirus версии 16.0.1.445(с) с регулярно обновляемыми антивирусными базами.

Лицензионное соглашение запрещает использование его в организации.

Ссылка на сообщение
Поделиться на другие сайты
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CloseProcesses:
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs [2016-05-20] ()
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs
2016-05-20 23:10 - 2016-05-20 23:10 - 02359350 _____ C:\Users\admin\AppData\Roaming\D2EE2938D2EE2938.bmp
2016-05-20 16:31 - 2016-05-23 10:51 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-05-20 16:31 - 2016-05-23 10:51 - 00000000 __SHD C:\ProgramData\Windows



  • ​Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на сообщение
Поделиться на другие сайты

С расшифровкой не поможем.

 

Для повышения уровня компьютерной грамотности ознакомьтесь с этим:
 
Ссылка на сообщение
Поделиться на другие сайты

Для Kaspersky Free техподдержка не оказывается, а потому в техподдержку обратиться вы не можете. 

Готовы приобрести лицензию, если это поможет с расшифровкой. 

Вопрос в том, а поможет ли?  =\

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Максим М
      От Максим М
      Добрый день.
      Во вложении отчёты от FRST64, два зашифрованных файла, письмо вымогателя, ключи и .hta фаил, из-за которого я поставил архив на известный вам пароль. 
      BlackHunt2.zip
    • yaregg
      От yaregg
      Добрый день. Поймал шифровальщика. ПК на ночь остаётся на экране логина в учётку, однако утром был выключен. При запуске были определённые проблемы в связи с побитыми .ini.
      Текстовики и картинки поменяли расширение на .HELL. Также к имени файла добавилось [ID-GZKK2_Mail-HellCity@Tuta.io
      Примеры файлов и лог FRST прилагаю.
      Arch.zip Addition.txt FRST.txt Shortcut.txt
    • intessence
      От intessence
      Здравствуйте, шансы есть?
      vir.zip
    • Максим М
      От Максим М
      Добрый день.
      Во вложении отчёты от FRST64, два зашифрованных файла и письмо вымогателя. 
      Буду рад любой помощи.
      Vypt.zip
    • iLuminate
      От iLuminate
      Здраствуйте, если есть возможность и желание помогите пожалуйста. Заразились через почту либо флешку. Все зашифровано.

      Addition.txt FRST.txt HOW TO DECRYPT FILES.txt ЗАШИФРОВАННЫЕ ФАЙЛЫ.zip
×
×
  • Создать...