Файлы зашифрованы шифровальщиком Да Винчи Код

[volkins]

Добрый день!

Сотрудник открыл поступившие электронное письмо. Чуть позже заметили, что происходит шифрование файлов находящихся на локальном компьютере. Данный компьютер оперативно был отключен от сети. Однако файлы на общих сетевых дисках также оказались зашифрованы. Заражение произошло 10.05.2016.

Выдержка из файла READ.ME:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

889FDFEFADBEB9D6A021|0

на электронный адрес VladimirScherbinin1991@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

их изменения расшифровка станет невозможной ни при каких условиях.

Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

воспользуйтесь формой обратной связи

.....

 

За прошедшее время часть данных была восстановлена из архивов, часть документов создана заново вручную.

Особого внимания требуют файлы, зашифрованные на общем сетевом ресурсе. 

 

В качестве антивируса использовался Антивирус касперского

версия 16.0.1.445

дата последнего обновления БД - 24,05,2016

 

Прикладываю логи.

CollectionLog-2016.05.26-00.12.zip

Изменено 26 мая, 2016 пользователем volkins

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[volkins]

Дополнительно выкладываю логи Farbar Recovery Scan Tool

Addition.txt

FRST.txt

[mike 1]

В качестве антивируса использовался Антивирус касперского

версия 16.0.1.445

дата последнего обновления БД - 24,05,2016

Судя по отчетам антивирус вы установили уже после заражения шифровальщиком. Шифровальщик отработал 10 мая

 

2016-05-10 14:12 - 2016-05-10 14:12 - 00002722 _____ C:\Users\Public\Desktop\README.txt

2016-05-10 09:53 - 2016-05-10 09:53 - 00002722 _____ C:\README1.txt

Антивирус был установлен 15 мая

 

2016-05-15 10:06 - 2016-05-26 20:54 - 00000000 ____D C:\Users\Все пользователи\Kaspersky Lab

2016-05-15 10:06 - 2016-05-26 20:54 - 00000000 ____D C:\ProgramData\Kaspersky Lab

2016-05-15 10:06 - 2016-05-15 10:06 - 00002025 _____ C:\Users\Public\Desktop\Kaspersky Anti-Virus.lnk

2016-05-15 10:06 - 2016-05-15 10:06 - 00000000 ____D C:\Windows\ELAMBKUP

2016-05-15 10:06 - 2016-05-15 10:06 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Anti-Virus

2016-05-15 10:06 - 2016-05-15 10:06 - 00000000 ____D C:\Program Files\Kaspersky Lab

2016-05-15 10:05 - 2016-05-15 21:56 - 00776624 _____ (AO Kaspersky Lab) C:\Windows\system32\Drivers\klif.sys

2016-05-15 10:05 - 2015-12-11 17:27 - 00145800 _____ (AO Kaspersky Lab) C:\Windows\system32\Drivers\klflt.sys

2016-05-15 09:55 - 2016-05-15 09:56 - 165380024 _____ (Лаборатория Касперского) C:\Users\admin\Downloads\kav16.0.1.445ru-ru_full.exe

 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
2016-05-13 23:18 - 2016-05-13 23:18 - 00000000 ____D C:\Users\admin\AppData\Roaming\Imagine

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

[volkins]

Дату начала работы шифровальщика установил по дате создания зашифрованных файлов.

Сведения об антивирусном ПО  - это первое на что обратил внимание в начале анализа сложившейся ситуации. И как раз озадачился вопросом когда реально было установлено антивирусное ПО. В ходе просмотра логов, сформированных рекомендованной программой Farbar Recovery Scan Tool, обратил внимание на дату установки Антивируса Касперского - 15 мая. Пользователь начал предпринимать попытки предотвращения угроз уже после факта заражения компьютера.

 Кроме того, на проблемной рабочей станции обнаружены следы программ по чистке от вредоносного ПО и попытки расшифровать файлы при помощи утилит с сайта http://support.kaspersky.ru:XoristDecryptor, RectorDecryptor.

Выкладываю  файл, созданный программой (Fixlog.txt) по результатам выполнения команды Fix.Архив upload.zip не создался.

Fixlog.txt

[mike 1]

С расшифровкой помочь не сможем.