Перейти к содержанию

Шифровальщик (.da_vinci_code)


Рекомендуемые сообщения

Доброго времени суток !!!!

Помогите пожалуйста с расшифровкой файлов если возможно.

Вчера пользователь поймал шифровальщика по почте, да еще и само письмо удалил....

какие действия нужно выполнить? 

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты

Деинсталлируйте:

Currency calc
etranslator
Video Saver
  •  
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
Ссылка на комментарий
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
HKLM\...\RunOnce: [AVZ] => cmd /c start " " "C:\Users\444\Desktop\Новая папка\Антивирусы\Новая папка\2 способ решения шифровальщика\AutoLogger\AVZ\avz.exe" Script="C:\Users\444\Desktop\Новая папка\Антивирусы\Новая папка\2 спосо (the data entry has 64 more characters).
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3083157901-582763870-2872466928-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3083157901-582763870-2872466928-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3083157901-582763870-2872466928-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR Extension: (Adobe Flash Player) - C:\Users\444\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\lomnoakmkbnceknadikncppomoalbiel [2015-09-03]
CHR Extension: (Adobe Flash Player) - C:\Users\444\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\nonodemgnpfmmhbnkecpjjdkfmaifoni [2015-09-03]
CHR HKLM\...\Chrome\Extension: [aapcjgafljhokjfbeebpiddfjpjjcdem] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [akkhkcocfnopiccplnimkefmaejepdlj] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [bagkmcapnndnncpcocmfplbdejejlgig] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hbpohbeflieibmcmohdnhfkigfmkmfgd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lomnoakmkbnceknadikncppomoalbiel] - C:\Program Files\Adobe Flash Player 10.0\adobeflashplayer-kt.crx [2013-11-25]
CHR HKLM\...\Chrome\Extension: [lonndeeklpobbkjaacljjjkddafbbbfa] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nonodemgnpfmmhbnkecpjjdkfmaifoni] - C:\Program Files\Adobe Flash Players 10.0\adobeflashplayer-sk.crx [2013-11-26]
CHR HKLM\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (__MSG_appName__) - C:\Users\444\AppData\Roaming\Opera Software\Opera Stable\Extensions\hjlmfejeepodkfiapgfhkniokjdcmkfo [2015-08-27]
OPR Extension: (AdsGuard for Google Chrome™) - C:\Users\444\AppData\Roaming\Opera Software\Opera Stable\Extensions\jnchjfllgfgeplbacilpkfedokmoeabb [2014-08-18]
OPR Extension: (__MSG_appName__) - C:\Users\444\AppData\Roaming\Opera Software\Opera Stable\Extensions\objoaichchnolncdebkiiipkjlligamm [2015-06-29]
S3 ukxcqzui; no ImagePath
S3 clfqvxkg; no ImagePath
2016-09-23 09:54 - 2016-09-23 09:54 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-09-23 09:54 - 2016-09-23 09:54 - 00000000 __SHD C:\ProgramData\System32
2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README9.txt
2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README8.txt
2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README7.txt
2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README6.txt
2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README5.txt
2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README4.txt
2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README3.txt
2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README2.txt
2016-09-23 09:54 - 2016-09-23 09:54 - 00004198 _____ C:\README10.txt
2014-08-19 11:17 - 2014-08-19 11:17 - 0000137 _____ () C:\Program Files\punto.bat
2014-08-19 11:17 - 2014-08-19 11:17 - 0000140 _____ () C:\Program Files\unins000.bat
2013-11-21 16:22 - 2013-11-21 16:22 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2014-03-14 08:35 - 2014-08-18 09:21 - 0000000 _____ () C:\Users\444\AppData\Roaming\smw_inst
2014-08-19 11:17 - 2014-08-19 11:17 - 0000120 _____ () C:\ProgramData\help.bat
Task: {2A1B9883-9D4C-48D1-AE50-5C2E650020DC} - \{FB413AD5-FC61-4B46-B375-FA9536AA5565} -> No File <==== ATTENTION
Task: {4454D1CC-E68E-4AC1-8BF2-3471BD4CBB1C} - \{1FC8189E-ABE3-421F-A1E2-FFD61954128E} -> No File <==== ATTENTION
Task: {458D27F8-0154-40F4-95B8-91ED964C84B1} - \recovery tool for video saver 22 -> No File <==== ATTENTION
Task: {4BEE7F49-B144-4DDD-BDC9-653D53EDBCD6} - \Kinoroom Browser -> No File <==== ATTENTION
Task: {84E43011-2050-4E7F-B2C5-D2E75DAE753C} - \{435BF7A3-BD87-422F-9617-B569F084AE7F} -> No File <==== ATTENTION
Task: {98838423-6024-42F5-8965-D4A6E0E6FF55} - \{7A4A7C97-C07E-453F-94B8-A46D74049422} -> No File <==== ATTENTION
Task: {9F3B3201-F42A-4A58-8F10-E6186A0D72F1} - \{3DD15B09-3931-4995-8C46-44F8453646D0} -> No File <==== ATTENTION
Task: {A926F852-3802-4C81-A93A-225D62C96DC0} - \{F263BE9F-282C-4335-A4A6-97A5DEA22C3C} -> No File <==== ATTENTION
Task: {B708BF04-71DE-4A81-AB25-03658B7C2ADD} - \{7FFB182E-B533-45F2-8D5F-2D1D0577B1EC} -> No File <==== ATTENTION
Task: {BF1C7CCD-344D-4ACB-98E5-A371DF7B1DAB} - \{4E10DC8D-C66D-4F1D-A6A8-38D849EE9F63} -> No File <==== ATTENTION
Task: {C583A024-EB49-44FF-A58C-83455DF28E82} - \{02CD58B6-1180-414C-ABA4-8E06C3431469} -> No File <==== ATTENTION
Task: {C8089C1B-09F4-45B6-828D-8043FC5FFDBA} - \recovery tool for video saver 2 -> No File <==== ATTENTION
Task: {CDE2F063-9F8F-42FC-8303-5DAE9AA53759} - \{F5C28986-3C66-40D7-B9E2-95A774B286EA} -> No File <==== ATTENTION
Task: {D02E9E50-C113-4A0D-A432-E918B58E0E24} - \{C6180989-FE75-4B85-9A53-E9B0B231ADD7} -> No File <==== ATTENTION
Task: {D5C408AE-B190-4A45-A6C6-1BDDFD53456E} - \{36C31E94-E027-41AC-ACD2-0056B5B7282D} -> No File <==== ATTENTION
Task: {E0B97B34-482D-4DB9-B028-926AA7D9AC01} - \MailRuUpdateTask -> No File <==== ATTENTION
Task: {EF403C4E-0006-4B2D-B7B0-BAA1475FE693} - \{E8D12722-F7C6-488C-9DA4-40FD2E7878EA} -> No File <==== ATTENTION
Task: {F77C1D39-0A5B-47F3-86F3-D3E302BFA6C1} - \{63B00B00-1E26-4BAE-8099-71D24FE97662} -> No File <==== ATTENTION



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

Смените все пароли.

 

 

AV: Avast Antivirus (Disabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}

За расшифровкой обращайтесь в техподдержку своего вендора.

Ссылка на комментарий
Поделиться на другие сайты

Помощь в расшифровке (если она возможна) оказывается Лабораторией Касперского только лицензионным пользователям Антивируса Касперского. Вы пользуйтесь другим антивирусом. 

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • FineGad
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
×
×
  • Создать...