Перейти к содержанию

Шифровальщик "Код Да Винчи"

Sergey Puchkov
 Share

Рекомендуемые сообщения

Sergey Puchkov Новичок

Sergey Puchkov

Опубликовано
Опубликовано

Инспекция гостехнадзора по Костромской области (коммерческая лицензия на 33 компьютера на 373 дня, действительна с 07.04.2016 по 15.04.2017), подверглась вирусной атаке 22.09.2016. На данный момент заражение выявлено на одном компьютере. Все файлы на компьютере зашифрованы и имеют расширение da_vinci_code. Источником заражения скорей всего является сеть интернет, возможно вирус был запущен из почты. Была проведена проверка компьютера программой Kaspersky Virus Removal Tool 2015, и проанализирована ОС с помощью утилиты AutoLogger.exe. 

CollectionLog-2016.09.23-12.04.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

коммерческая лицензия на 33 компьютера

Только на этом компьютере устаревшая и не поддерживаемая версия, в которой нет защиты от подобных инцидентов.

 

возможно вирус был запущен из почты

Это наиболее вероятно.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AVG PC TuneUp 2015

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sergey Puchkov Новичок

Sergey Puchkov

Опубликовано
  • Автор
Опубликовано

Возможно нашли письмо, текст такой :

 

Новый счет во вложенных файлах.


С уважением

Артем Симонов
Менеджер компании Ростелеком 

 

вложенный файл ворд. 

 

(Есть ли рекомендации по дешифровке файлов?) 

Shortcut.txt

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-09-22 15:48 - 2016-09-22 15:48 - 02359350 _____ C:\Documents and Settings\Ирина Олеговна\Application Data\D8100FC7D8100FC7.bmp
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\Ирина Олеговна\Рабочий стол\README9.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\Ирина Олеговна\Рабочий стол\README8.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\Ирина Олеговна\Рабочий стол\README7.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\Ирина Олеговна\Рабочий стол\README6.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\Ирина Олеговна\Рабочий стол\README5.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\Ирина Олеговна\Рабочий стол\README4.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\Ирина Олеговна\Рабочий стол\README3.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\Ирина Олеговна\Рабочий стол\README2.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\Ирина Олеговна\Рабочий стол\README10.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\Ирина Олеговна\Рабочий стол\README1.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-09-22 15:48 - 2016-09-22 15:48 - 00004198 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-09-22 14:23 - 2016-09-22 14:23 - 00004198 _____ C:\README9.txt
2016-09-22 14:23 - 2016-09-22 14:23 - 00004198 _____ C:\README8.txt
2016-09-22 14:23 - 2016-09-22 14:23 - 00004198 _____ C:\README7.txt
2016-09-22 14:23 - 2016-09-22 14:23 - 00004198 _____ C:\README6.txt
2016-09-22 14:23 - 2016-09-22 14:23 - 00004198 _____ C:\README5.txt
2016-09-22 14:23 - 2016-09-22 14:23 - 00004198 _____ C:\README4.txt
2016-09-22 14:23 - 2016-09-22 14:23 - 00004198 _____ C:\README3.txt
2016-09-22 14:23 - 2016-09-22 14:23 - 00004198 _____ C:\README2.txt
2016-09-22 14:23 - 2016-09-22 14:23 - 00004198 _____ C:\README10.txt
2016-09-22 14:23 - 2016-09-22 14:23 - 00004198 _____ C:\README1.txt
2016-09-22 14:23 - 2016-09-22 14:23 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32
2016-09-22 14:22 - 2008-01-01 00:38 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Подскажите, какие файлы могут оказаться полезными для вирусной лаборатории? 

Файл Readme.txt и несколько зашифрованных файлов. На компьютере меняйте все пароли.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • huper9th
      Код ошибки 39
      От huper9th
      Я купил через подарочный код Apple подписку на 1 месяц.
      И вылезает ошибка, ошибка 39 и трафик лимитный как и выбор сервера.
      Деньги у меня забрали.
      Я попробовал переустановить программу, и перезапустить телефон, но не получается.
       
      Приложение Kaspersky secure connection
    • KL FC Bot
      Технология для проверки QR-кодов на фишинг | Блог Касперского
      От KL FC Bot
      В попытке обойти механизмы защитных решений злоумышленники все чаще прячут вредоносные и фишинговые ссылки внутрь QR-кодов. Поэтому в решение [KSMG placeholder] Kaspersky Secure Mail Gateway [/placeholder] мы добавили технологию, способную «читать» QR-коды (в том числе и спрятанные внутрь PDF-файлов), доставать из них ссылки и проверять их до того, как они окажутся в почтовом ящике сотрудника компании. Рассказываем, как это работает.
      Пример фишингового QR-кода внутри PDF-файла
       
      View the full article
    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • KL FC Bot
      Вредоносный код в поддельных репозиториях в Github | Блог Касперского
      От KL FC Bot
      Можете представить себе мир, в котором каждый раз, прежде чем куда-либо поехать, вам нужно придумывать колесо и собирать вручную велосипед? Мы — нет. Зачем что-то придумывать, если оно уже давно успешно существует? Точно такая же логика работает и в программировании: разработчикам ежедневно приходится сталкиваться с типовыми задачами и вместо придумывания колес и велосипедов собственного производства (которые могут быть еще и некачественными), они просто берут уже готовый велосипед код из открытого репозитория в Github.
      Доступно такое решение абсолютно для всех, в том числе и для злоумышленников, которые используют бесплатный шикарный самый лучший в мире открытый код в качестве приманки. Подтверждений этому тезису много и вот свежайшее: наши эксперты обнаружили активную вредоносную кампанию GitVenom, направленную на пользователей GitHub.
      Что такое GitVenom
      Так мы назвали вредоносную кампанию, в ходе которой неизвестными были созданы более 200 репозиториев, содержащие фейковые проекты с вредоносным кодом: боты для Telegram, инструменты для взлома игры Valorant, автоматизации действий в Instagram и управления кошельками Bitcoin. На первый взгляд все репозитории выглядят легитимно, особенно выделяется хорошо оформленный файл-гайд по работе с кодом README.MD с подробными инструкциями на нескольких языках мира.
      Злоумышленники использовали искусственный интеллект для написания подробнейших инструкций на разных языках
       
      View the full article
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...