Перейти к содержанию

Шифровальщик Da Vinci Code

Foxcorp
 Поделиться

Рекомендуемые сообщения

Foxcorp

Foxcorp

Опубликовано
Опубликовано
Доброго дня.

Принесли мне компьютер поражённый шифровальщиком Da Vinci Code. Файлы зашифрованы, имеют расширение ".da_vinci_code" На всех дисках появились текстовые файлы README с инструкцией от злодеев с текстом как расшифровать. На рабочем столе предупреждение. Файлы вложены. 

1. c:\Documents and Settings\User\Local Settings\Temp\ - удалил тонну файлов руками.

2. Автозапуск - отключил всё по максимуму в msconfig.

3. Malwarebytes Anti-Malware (MBAM) - пролечил, выгреб тонны файлов и ключей реестра.

4. Dr.Web CureIt! - пролечил.

5. AutoLogger отработал, логи вложил.

Стоял на компе Kaspersky Total Security, но подозреваю что его поставили уже после того как получили проблему. Видимо что-то уже пытались восстанавливать/дешифровать до меня, но поскольку ничего не получилось, принесли мне)

ОС Windows XP, поэтому откатывать версии файлов нет возможности. Далее планирую использовать программы восстановления удалённых файлов типа PhotoRec либо Runtime GetDataBack for NTFS & FAT.

Вирус - это такое - вылечим, удалим, форматнём винт в крайнем случае, а вот восстановить файлы - это задача №1.

README1.txt

post-38955-0-72537000-1466064336_thumb.jpg

CollectionLog-2016.06.16-10.48.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

В логах еще видна адварь. Но если Вы так настроены

форматнём винт в крайнем случае

С расшифровкой помочь не сможем. AFAIK, в ТП тоже пока нет решения.
Foxcorp

Foxcorp

Опубликовано
  • Автор
Опубликовано (изменено)

В логах еще видна адварь. 

 

Спасибо, если нужно будет, её я добью позже. Пока важны файлы.

 

На мыло писали злодеям, сколько хотят?

 

На мыло не писал ибо:

1. Не верю мошенникам (не факт что расшифруют, а деньги возьмут).

2. Мне как ИТ-шнику этот метод не по душе)) Если уж ничего не получится, то в крайнем случае пусть хозяин сам решает  платить ли. 

Изменено пользователем Foxcorp

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • rgdpol@yandex.ru
      как расшифровать файлы зашифрованные вирусом .da vinci code
      Автор rgdpol@yandex.ru
      Здавствуйте!
      По электронной почте неопытный пользователь получил письмо с вирусом и в результате
      файлы с расширениями .doc, docx, .xls, .xlsx, .pdf, .txt, .zip, .rar., а так же файлы 1С 
      на локальных дисках были зашифрованы и переименованы
      (примерно так: 1K6YkiUrk6JRNutksqOVS1hhFPMCPw3nBSUPcwC+eOM=.56E70E5527CC19802649.da_vinci_code)
      и на дисках появились файлы README1.txt, README2.txt с таким содержанием:
       
      /****************************************************************************
      Ваши файлы былu зашuфpoвaны.
      Чтобы pаcшuфpoвaть uх, Вам нeобходuмо oтnpавиmь кoд:
      56E70E5527CC19802649|660|6|8
      нa элеkтpонный адрес Denisieva.Ioannikiya@gmail.com .
      Дaлee вы получите все нeобxодимые инcтpуkцuu.
      Пonытки расшuфpовamь самоcтoятельнo не привeдym нu k чeмy, kромe безвозвpamнoй noтеpu uнфopмaцuu.
      Еcлu вы всё жe xотume nопыmатьcя, тo прeдвaриmeльно сделaйте peзервныe kопuи фaйлов, uначe в cлyчae
      иx измененuя рacшuфрoвkа cтанеm невозмoжной нu при kакuх yсловияx.
      Eсли вы нe полyчили oтвema nо вышеyкaзаннoму адреcу в тeченuе 48 чаcов (и moльkо в эmом слyчаe!),
      воcnoльзyйmecь фоpмой oбрamной cвязи. Этo можнo cделаmь двумя cnocoбaмu:
      1) Ckачайте u yстaновиme Tor Browser по ccылкe: https://www.torproject.org/download/download-easy.html.en
      В адреcной cтpоке Tor Browser-а ввeдuте адрес:
      http://cryptsen7fo43rr6.onion/
      и нaжмиmе Enter. 3arрузuтcя сmpаницa с фoрмой обpатной cвязи.
      2) В любoм браузеpе nepeйдиme пo одномy из aдреcoв:
      http://cryptsen7fo43rr6.onion.to/
      http://cryptsen7fo43rr6.onion.cab/..........
      ********************************************/
      На пораженном компьютере провел следующие операции: 
      1. Провел проверку ПК двумя антивирусами
       
          Kaspersky Virus Removal Tool 2015;     Dr.Web CureIt!. 2. Скачал автоматического сборщика логов и прикрепил файлаы к данному обращению
      CollectionLog-2016.11.22-10.27.zip
      README1.txt
    • Владхелп
      Подвисание и замедление ноута
      Автор Владхелп
      Во время работы в школе подключил "грязную флешку", на след день заметил сильный перегрев и замедление ноутбука
      CollectionLog-2026.02.14-22.35.zip
×
×
  • Создать...