Шифровальщик da_vinci_code

[xas]

Здравствуйте.

Со слов работника 27.07.2016 приблизительно в 16:50 им на почту пришло письмо с какой то  жалобой в их адрес и вложением, которое им не удалось открыть по этому  письмо они удалили, а вложение осталось в корзине компьютера. К  18:00 компьютер был выключен. На следующий день  у них перестала работать программа Ирбис 64. У меня не было времени  проверить,  к обеду выяснилось что документы на компьютере были зашифрованы.

Addition_FRST.rar

1.rar

Изменено 29 июля, 2016 пользователем mike 1
Карантин в теме

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[xas]

не было времени выложить раньше.

FRST.rar

CollectionLog-2016.07.29-20.03.zip

Shortcut.txt

[Roman_Five]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

AlternateDataStreams: C:\Users\User\Local Settings:wa [178]
AlternateDataStreams: C:\Users\User\AppData\Local:wa [178]
AlternateDataStreams: C:\Users\User\AppData\Local\Application Data:wa [178]
SearchScopes: HKU\S-1-5-21-758332810-491325033-2114956595-1000 -> DefaultScope yandex.ru-103214 URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-758332810-491325033-2114956595-1000 -> yandex.ru-103214 URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\dldcbakcjliccckkmfjcblhciilpdcil [2014-03-19]
CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\hogcmekenbnjjlohecbeljhlejalnbdb [2013-10-03]
CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
2016-07-27 15:37 - 2016-07-27 15:37 - 00002730 _____ C:\README9.txt
2016-07-27 15:37 - 2016-07-27 15:37 - 00002730 _____ C:\README8.txt
2016-07-27 15:37 - 2016-07-27 15:37 - 00002730 _____ C:\README7.txt
2016-07-27 15:37 - 2016-07-27 15:37 - 00002730 _____ C:\README6.txt
2016-07-27 15:37 - 2016-07-27 15:37 - 00002730 _____ C:\README5.txt
2016-07-27 15:37 - 2016-07-27 15:37 - 00002730 _____ C:\README4.txt
2016-07-27 15:37 - 2016-07-27 15:37 - 00002730 _____ C:\README3.txt
2016-07-27 15:37 - 2016-07-27 15:37 - 00002730 _____ C:\README2.txt
2016-07-27 15:37 - 2016-07-27 15:37 - 00002730 _____ C:\README10.txt
2016-07-27 15:37 - 2016-07-27 15:37 - 00002730 _____ C:\README1.txt
2016-07-27 15:27 - 2016-07-28 10:52 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-07-27 15:27 - 2016-07-28 10:52 - 00000000 __SHD C:\ProgramData\Windows

Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Что мешало своевременно обновить КАВ 6 до KES 10?

[xas]

После установки  КАВ 6 у нас не было проблем, полностью устраивал. Учитывая данные обстоятельства думаю можно и обновить.

Fixlog.txt

ClearLNK-30.07.2016_01-26.log

[xas]

Возможно будит расшифровать файлы или нет? Мне лень было проверять что осталось не тронутым, но фотографий/видео с мероприятий + не особо нужных документов около 500+ гигабайт.

Тут я тему создал лишь по тому, что в ЛК https://companyaccount.kaspersky.com/   при добавлении файла ключа, выходит сообщение.

«Файл 4B52F9A8.key не является файлом ключа.

Файл ключа - это файл вида ххххххxх.key, содержащий служебную информацию, необходимую для полнофункциональной работы продуктов Лаборатории Касперского. (ARNOTE 1770000016)»

 

Решил найти сам архив с ключами где есть пдф лист лицензии, второй ключ добавился в ЛК  4B52F9A7.key  Kaspersky Security Center.

Изменено 30 июля, 2016 пользователем xas

[Roman_Five]

 

 

Возможно будит расшифровать файлы или нет?

если и поможет, то только ТП ЛК
я так понял, файл ключа все-таки прикрепился.
создавайте запрос на расшифровку в компаниаккаунте
 

[xas]

Спасибо за помощь, запрос на расшифровку создан, завтра отправлю в ЛК требуемые файл.