Перейти к содержанию

Зашифровал da_vinci_code

Blackserg
 Поделиться

Рекомендуемые сообщения

Blackserg

Blackserg

Опубликовано
Опубликовано

Здравствуйте, из почты словили давинчи.

 

Все полезные файлы стали с расширением .code_da_vinchi

Антивирус Касперский стоит, но видимо старые оболочки не успевают срабатывать.

Прилагаю логи автологера ну и само письмо

 

Спасибо.

CollectionLog-2016.06.21-15.20.zip

doc..eml.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\autorun.inf', '');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3129168197-3016434877-757893137-1639\Software\Microsoft\Windows\CurrentVersion\Run','sbfxupzthj');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Утилита FRST обновлена. Скачайте, пожалуйста, заново и соберите логи.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Blackserg

Blackserg

Опубликовано
  • Автор
Опубликовано (изменено)

добрый день. сделал логи, высылаю.

так же наткнулся на флешке на файлы readme, прикладываю их тоже.

 

Загрузки.zip

Archive.zip

Изменено пользователем Blackserg
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Ran by Бурлачук (ATTENTION: The user is not administrator)

Утилиту следует запускать правой кнопкой от имени администратора. Переделайте, пожалуйста.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ProxyServer: [S-1-5-21-3129168197-3016434877-757893137-1171] => 127.0.0.1:8080
AutoConfigURL: [S-1-5-21-3129168197-3016434877-757893137-1171] => 127.0.0.1:8080
ProxyServer: [S-1-5-21-3129168197-3016434877-757893137-1639] => 127.0.0.1:8080
AutoConfigURL: [S-1-5-21-3129168197-3016434877-757893137-1639] => 127.0.0.1:8080
FF NetworkProxy: "type", 0
FF Extension: No Name - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2016-06-20] [not signed]
2016-06-20 16:24 - 2016-06-20 18:46 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2016-05-20 15:55 - 2016-05-20 15:55 - 00000000 ____D C:\Documents and Settings\Бурлачук\Application Data\Tencent
2016-05-20 15:55 - 2016-05-20 15:55 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Tencent
2016-05-20 15:49 - 2016-05-20 15:49 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Rising
2016-05-20 15:41 - 2016-06-06 09:11 - 00000000 ____D C:\Documents and Settings\Бурлачук\Application Data\ProShopper
2016-04-13 16:48 - 2016-06-22 08:59 - 00000362 _____ C:\WINDOWS\Tasks\MailRuUpdater.job
2016-04-13 16:46 - 2016-04-13 16:46 - 00000000 ____D C:\Documents and Settings\Бурлачук\Local Settings\Application Data\Unity
2016-04-13 16:43 - 2016-04-13 16:43 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\KRB Updater Utility
2016-04-13 16:39 - 2016-04-13 16:39 - 00000000 ____D C:\Documents and Settings\Бурлачук\Application Data\ImageCropResize
2016-04-13 16:35 - 2016-06-06 09:11 - 00000000 ____D C:\Documents and Settings\Бурлачук\Local Settings\Application Data\SearchGo
2016-04-13 16:34 - 2016-06-20 17:14 - 00000000 ____D C:\Documents and Settings\Бурлачук\Application Data\MailProducts
2016-04-13 16:34 - 2016-05-13 09:30 - 00000000 ____D C:\Documents and Settings\Бурлачук\Local Settings\Application Data\Mail.Ru
2016-04-13 16:34 - 2016-04-13 17:48 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Mail.Ru
Task: C:\WINDOWS\Tasks\MailRuUpdater.job => C:\Documents and Settings\Бурлачук\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
dima744

dima744

Опубликовано
Опубликовано

Извините, что вмешался в дисскуссию

просто судя по 

 

так же наткнулся на флешке на файлы readme, прикладываю их тоже.

 

у меня точно такой же вирус

антивирус не написал его названия?

 

или это абсолютно новый вирус?

Ссылка на комментарий
Поделиться на другие сайты
Blackserg

Blackserg

Опубликовано
  • Автор
Опубликовано

@dima744,

Касперский потом нашел его, в логах написал:

Удалено троянская программа Trojan-Downloader.JS.Cryptoload.yf    [From:"Ростелеком" <isaev.s@siqd.rt.ru>][subject:[?? Probable Spam]  doc.][Time:2016/06/20 14:19:02]/21.zip/317.zip/31.js    21.06.2016 9:41:44
 


Результаты работы фарбара, прикладываю Fixlog

Fixlog.txt

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
dima744

dima744

Опубликовано
Опубликовано (изменено)

@Blackserg

 

Спасибо, если будете платить за восстановление, не сочтите за труд результат написать можно в личку

Изменено пользователем dima744
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского)

Версия устарела и больше не поддерживается. Обновите до актуальной.

 

С расшифровкой не поможем.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Blackserg

Blackserg

Опубликовано
  • Автор
Опубликовано

@Sandor,

Спасибо за старания.

да версия устарела, тут надо вместе с компьютером надо менять...

 

ну тоесть никак не получится с расшифровкой? или чего не хватает для расшифровки?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Денис А
      Все файлы зашифрованы шифровальщиком
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • alexchernobylov
      Зашифровали диски на уровне разделов
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • astraoren
      Зашифровались файлы, расширение .enc
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Файлы зашифрованы с расширением .ant_dec
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • Media-Box
      KOZANOSTRA зашифровано
      Автор Media-Box
      Помогите пожалуйста😪 У меня также шифровальщик проник на два компьютера. Практически 11Тб фильмов и сериалов были испорчены. Это потеря потерь
      Файлы.zip
       
      Сообщение от модератора kmscom Сообщение перенесено из темы KOZANOSTRA зашифровано 2 ПК
×
×
  • Создать...