Файлы зашифрованы с расширением da_vinci_code

[flemeng]

Добрый день. 27 июля 2016 на почту одного из сотрудников пришло письмо с жалобой и прикрепленным файлом. Сотрудник скачал файл и запустил его. После запуска файла компьютер завис примерно на 20 минут и фон рабочего стола поменялся на черный с красной надписью "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы", а так же появилось 10 текстовых документов README1 - README10. Прошу помочь с расшифровкой файлов. Необходимые логи, копии зашифрованных файлов и копии файлов вирусов которые пришли на почту прикрепил к данной теме.

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не используйте красный цвет текста и не прикрепляйте вредоносные файлы. Сообщение отредактировано.

Readme1-10.rar

примеры зашифрован. файлов.rar

CollectionLog-2016.07.30-13.00.zip

[mike 1]

Деинсталлируйте:

Guard@Mail.Ru []-->"C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe" /uninstall
Homepager []-->"C:\Documents and Settings\User\Application Data\Homepager\Homepager.exe" /uninstall
Kometa [20150630]-->"C:\Documents and Settings\User\Local Settings\Application Data\Kometa\Application\45.0.2454.101\Installer\setup.exe" --uninstall
Mail.Ru Спутник 2.4.0.516 []-->C:\Program Files\Mail.Ru\Sputnik\mailrusputnik.exe uninstall
TuneUp Utilities 2013 []-->C:\Program Files\TuneUp Utilities 2013\Uninstall.exe
Unity Web Player [2016/04/11 11:43:09]-->C:\Documents and Settings\User\Local Settings\Application Data\Unity\WebPlayer\Uninstall.exe /CurrentUser
Амиго [20140501]-->"C:\Documents and Settings\User\Local Settings\Application Data\Amigo\Application\47.5.2526.111\Installer\setup.exe" --uninstall
Боковая панель - Комета [2015/10/28 13:38:02]-->"C:\Documents and Settings\User\Local Settings\Application Data\Kometa\Panel\1.0.0.775\panelremove.exe"
Браузер Otchet.uz, версия 1.4.1 []-->"C:\Program Files\YTSoftware\unins000.exe"
Дополнительные апплеты []-->"C:\WINDOWS\system32\CPLDAPU\unins000.exe"
Интернет [20140114]-->"C:\Documents and Settings\User\Local Settings\Application Data\Xpom\Application\28.1.1500.75\Installer\setup.exe" --uninstall
Служба автоматического обновления программ [2016/07/01 16:39:13]-->C:\Documents and Settings\User\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe uninstall

•  

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

[flemeng]

файл отчет AdwCleaner

AdwCleanerS1.txt

Изменено 30 июля, 2016 пользователем flemeng

[mike 1]

Удалите все найденное в AdwCleaner.

[flemeng]

удалил

AdwCleanerS2.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.