Вирус шифровальщик "da_vinci_code"

[7208021 0]

Получили письмо со вложенным файлом ява-скрипта, запустили вложение ... все файлы на ПК зашифрованы. Есть само письмо, вложение (сам скрипт), куча зашифрованных файлов. Что делать ? Есть способ борьбы с этим злом ? Хотелось бы вернуть информацию на место. Есть письмо с вариантом оплаты, в общем, все есть в исходном варианте на ПК, пока ничего не трогали. Ждем помощи. ПК офисный.

 

Во вложении есть и сам скрипт, расширение изменили на "txt" c "js".

 

Просят денег на адрес :

"1.5 биткоина по адресу Address: 169fAwcbqPrnipaPKBjK3HwoJeqBUYXM2R"

 

Письмо :

"Стоимость дешифровки 45000р. Пришлите 1 файл(бесплатно расшифровываю 1 файл весом до 10 мб,не содержащий важной информации, только для того чтобы вы смогли опознать, что это ваш файл, 

никаких отчетностей, дипломов, курсовых, презентаций бесплатно расшифровываться не будет и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены).

В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было. 

Не пытайтесь восстановить данные с помощью антивирусных утилит, испортите все файлы

Если хотите попробывать, пробуйте на другом ПК и минимум файлов, иначе потом даже я не смогу помочь.

И помните пожалуйста, что цена каждый день растет."

 

Код для связи "C7A8CAE9B49EA720A206|0" на адрес :  graceseyoumans1983@gmail.com

 

Пока все.

CollectionLog-2016.09.01-14.23.zip

Изменено 1 сентября, 2016 пользователем thyrex
удалил скрипт

[thyrex 1 497]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[7208021 0]

Все сделали как сказали ...

Файлы после Farbar вложены.

Так же во вложении папка "Май" с 4-мя файлами внутри ... до и после изменения вирусом-шифровальщиком.

Май.zip

Сбор логов.zip

[thyrex 1 497]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2016-08-31 16:30 - 2016-09-01 12:28 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Csrss
2016-08-31 16:29 - 2016-08-31 16:29 - 06220854 _____ C:\Documents and Settings\user01\Application Data\BE44D9EBBE44D9EB.bmp
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\user01\Рабочий стол\README9.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\user01\Рабочий стол\README8.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\user01\Рабочий стол\README7.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\user01\Рабочий стол\README6.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\user01\Рабочий стол\README5.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\user01\Рабочий стол\README4.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\user01\Рабочий стол\README3.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\user01\Рабочий стол\README2.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\user01\Рабочий стол\README10.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\user01\Рабочий стол\README1.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-08-31 16:29 - 2016-08-31 16:29 - 00002714 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-08-31 13:49 - 2016-09-01 10:49 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2016-08-31 13:49 - 2016-08-31 13:49 - 00002714 _____ C:\README9.txt
2016-08-31 13:49 - 2016-08-31 13:49 - 00002714 _____ C:\README8.txt
2016-08-31 13:49 - 2016-08-31 13:49 - 00002714 _____ C:\README7.txt
2016-08-31 13:49 - 2016-08-31 13:49 - 00002714 _____ C:\README6.txt
2016-08-31 13:49 - 2016-08-31 13:49 - 00002714 _____ C:\README5.txt
2016-08-31 13:49 - 2016-08-31 13:49 - 00002714 _____ C:\README4.txt
2016-08-31 13:49 - 2016-08-31 13:49 - 00002714 _____ C:\README3.txt
2016-08-31 13:49 - 2016-08-31 13:49 - 00002714 _____ C:\README2.txt
2016-08-31 13:49 - 2016-08-31 13:49 - 00002714 _____ C:\README10.txt
C:\Documents and Settings\user01\Local Settings\Temp\1AA371C9.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[7208021 0]

Все сделали как сказали ...

Файл во вложении

 

Готовы подождать или как ... идти домой до утра ?

Fixlog.txt

[thyrex 1 497]

С расшифровкой помочь не сможем

[7208021 0]

Сложный вариант ? Вроде и файлы есть до и после ... Нам бы только вордовские и экселевские файлы, базы 1С у нас сохранены и нет проблем.

Начали переустановку системы на другой диск, но этот диск пока не трогали, останется пока как "архив нападения".

Вариантов нет окончательно, не зависимо от времени ? Смотрю на форуме за последний день несколько таких же "счастливых". Может куда заявление написать ?

[thyrex 1 497]

Все новые версии Shade расшифровке не подлежат

[7208021 0]

Все равно спасибо за попытку и желание помочь. Платить не будем, это не метод. Усилим контроль за сохранением данных своевременном, т.е. backup и еще раз backup и ... будем поднимать уровень знаний и ответственности персонала.