Перейти к содержанию

DA_VINCI_CODE зашифровал файлы на ПК жертвы и сетвом хранилище


Рекомендуемые сообщения

Здравствуйте. Секретарь офиса получила электронное письмо с трояном-шифравальщиком DA_VINCI_CODE. Когда спохватились, было уже поздно. На момент заражения на антивирусе Касперского отсутствовала лицензия. В итоге зашифрованы документы пользователя и документы хранящиеся на сетевом хранилище (на системе пользователя оно заведено в качестве сетевого диска). Вчера все таки был найден ключ для активации антивируса и он радостно выкосил трояна. Прошу Вас помочь с расшифровкой документов.

Логи прилагаются.

 

CollectionLog-2016.07.15-15.37.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2016-07-14 14:40 - 2016-07-14 14:40 - 03148854 _____ C:\Users\Ira\AppData\Roaming\72F40E4272F40E42.bmp
2016-07-14 14:40 - 2016-07-14 14:40 - 00002714 _____ C:\Users\Ira\Desktop\README9.txt
2016-07-14 14:40 - 2016-07-14 14:40 - 00002714 _____ C:\Users\Ira\Desktop\README8.txt
2016-07-14 14:40 - 2016-07-14 14:40 - 00002714 _____ C:\Users\Ira\Desktop\README7.txt
2016-07-14 14:40 - 2016-07-14 14:40 - 00002714 _____ C:\Users\Ira\Desktop\README6.txt
2016-07-14 14:40 - 2016-07-14 14:40 - 00002714 _____ C:\Users\Ira\Desktop\README5.txt
2016-07-14 14:40 - 2016-07-14 14:40 - 00002714 _____ C:\Users\Ira\Desktop\README4.txt
2016-07-14 14:40 - 2016-07-14 14:40 - 00002714 _____ C:\Users\Ira\Desktop\README3.txt
2016-07-14 14:40 - 2016-07-14 14:40 - 00002714 _____ C:\Users\Ira\Desktop\README2.txt
2016-07-14 14:40 - 2016-07-14 14:40 - 00002714 _____ C:\Users\Ira\Desktop\README10.txt
2016-07-14 12:45 - 2016-07-14 15:28 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-07-14 12:45 - 2016-07-14 15:28 - 00000000 __SHD C:\ProgramData\Windows
2013-02-07 15:22 - 2013-02-07 15:22 - 0050330 _____ () C:\Program Files\AntiDust.exe
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • SEcrash63
      От SEcrash63
      Доброго всем времени суток.
      Может быть кто сможет помочь, с такой проблемой.
      Имеется ПК с установленной W7 x64 (без SP1, установить не могу обновление, ругается на поврежденное хранилище)
       
      Случилась проблема что перестали работать многие сетевые службы и другие, ПК перестал выходить в интернет, получать Ip и много чего.
      Частично проблемы удалось исправить, но привести полностью в рабочее состояние так и не удалось. Журнал событий ругается как минимум на две ошибки,  одна из них проблема со службой
      "Служба "Служба политики диагностики" завершена из-за ошибки. Не удается найти указанный файл." 
      И "Не удается найти описание для идентификатора события 0 из источника .NET Runtime. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере. .NET Runtime version : 2.0.50727.8806 - Отладчик не найден.Не указан зарегистрированный отладчик JIT"
       
      Делал сканирование системы SFC \SCANNOW говорит проблемы есть, но починить не могу.
      Делал DISM /Online /Cleanup-Image /ScanHealth - по его логам с доноров пособирал большую часть файлов, часть выкорчевывал из пакетов обновлений, но не все удалось найти. 
      Антивирус был все время Kaspersky, после появления проблем временно все удалил. Сейчас никакого антивируса нет.
      Логи и того и другого прилагаю.
      Подскажите может кто сможет поделится файлами из лога CheckSUR.
      Или может быть подскажете другие пути решения проблемы? (Систему с нуля бы поставил, было бы проще, но в данном случае это не предоставляется возможным, очень важно сохранить рабой вариант текущей)
       
      Заранее спасибо.
       
      CBS.log CheckSUR7.log sfcdetails.txt SFCFix.txt
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Николай Костиков
      От Николай Костиков
      Доброго всем дня !!! Ребята помогите дешефратором , один паразит американских файлы 1 С у меня зашифровал. Пример файлов прикладываю к письму.
      user-192.png.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...