Перейти к содержанию

Поймали шифровальщика da_vinchi помогите

Александр Денисов

От Александр Денисов
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Александр Денисов Новичок

Александр Денисов

Опубликовано
Опубликовано (изменено)

Получили письмо на электронную почту и все файлы оказались зашифрованными после открытия файла. Есть ли шанс в расшифровке?

 

Так же прилагаю зашифрованный и расшифрованный файл может поможет

CollectionLog-2016.09.23-20.57.zip

Desktop.rar

Изменено пользователем Александр Денисов
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера.
 

Сделайте новые логи Автологгером. 
 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

CHR StartupUrls: Default -> "hxxp://search.conduit.com/?ctid=CT3324774&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=4&UP=SPE07AE9EB-0B78-47CF-B5BE-013F3FAC2C19&SSPV=","hxxp://mail.ru/cnt/7993/","hxxp://www.portaldosites.com/?utm_source=b&utm_medium=sfps&from=sfps&uid=WDCXWD7500BPVT-22HXZT3_WD-WXA1EB1CUKA7CUKA7&ts=1373045350","hxxp://www.yandex.ru/?win=90&clid=2073737"

CHR Extension: (Calculator) - C:\Users\HOME\AppData\Local\Google\Chrome\User Data\Default\Extensions\pahebbmgmliconiaaaallijbemiioleo [2015-07-09]

2016-09-23 17:24 - 2016-09-23 17:24 - 03148854 _____ C:\Users\HOME\AppData\Roaming\AEBCE908AEBCE908.bmp

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\Public\Desktop\README9.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\Public\Desktop\README8.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\Public\Desktop\README7.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\Public\Desktop\README6.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\Public\Desktop\README5.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\Public\Desktop\README4.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\Public\Desktop\README3.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\Public\Desktop\README2.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\Public\Desktop\README10.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\Public\Desktop\README1.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\HOME\Desktop\README9.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\HOME\Desktop\README8.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\HOME\Desktop\README7.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\HOME\Desktop\README6.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\HOME\Desktop\README5.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\HOME\Desktop\README4.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\HOME\Desktop\README3.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\HOME\Desktop\README2.txt

2016-09-23 17:24 - 2016-09-23 17:24 - 00004170 _____ C:\Users\HOME\Desktop\README10.txt

2016-09-23 16:00 - 2016-09-23 16:00 - 00004170 _____ C:\README9.txt

2016-09-23 16:00 - 2016-09-23 16:00 - 00004170 _____ C:\README8.txt

2016-09-23 16:00 - 2016-09-23 16:00 - 00004170 _____ C:\README7.txt

2016-09-23 16:00 - 2016-09-23 16:00 - 00004170 _____ C:\README6.txt

2016-09-23 16:00 - 2016-09-23 16:00 - 00004170 _____ C:\README5.txt

2016-09-23 16:00 - 2016-09-23 16:00 - 00004170 _____ C:\README4.txt

2016-09-23 16:00 - 2016-09-23 16:00 - 00004170 _____ C:\README3.txt

2016-09-23 16:00 - 2016-09-23 16:00 - 00004170 _____ C:\README2.txt

2016-09-23 16:00 - 2016-09-23 16:00 - 00004170 _____ C:\README10.txt

2016-09-23 16:00 - 2016-09-23 16:00 - 00004170 _____ C:\README1.txt

2016-09-23 15:59 - 2016-09-26 11:06 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-09-23 15:59 - 2016-09-26 11:06 - 00000000 __SHD C:\ProgramData\Windows

C:\Users\HOME\AppData\Local\Temp\0A2D631A.exe

C:\Users\HOME\AppData\Local\Temp\C1BDE05E.exe



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • yarosvent
      поймали шифровальщика
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • LeraB
      Поймали шифровальщика на несколько серверов
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • DeepX
      Поймали шифровальщика ELPACO-team
      От DeepX
      Прилетел шифровальщик elpaco-team. Зашифровал несколько серверов. Удалил теневые копии. Бэкапы Acronis зашифровал. Сервера в основном Windows Server 2008.
      Логи и примеры зашифрованных файлов прикладываю. Требований не обнаружили пока. Спасибо за помощь!
      Addition.txt FRST.txt files.zip
×
×
  • Создать...