Шифровальщик из почты Da_vinchi_code

[Slava159]

Добрый день. Пришло письмо, якобы счет из Ростелекома, в нем прикреплен файл, ("умники") запустили - получили зашифрованные файлы такого вида  -

 

5fakmi+4wT9pLoBI+r9R0vOcEJSoqGNFwoMtXHSayhc=.D0611126AC97954CE130.da_vinci_code

fKE0cpvJ4uECxVAUqYbBeXovfuwX5Y21T7qI2yETNPY=.D0611126AC97954CE130.da_vinci_code

r7ZizNIZ2CWKUwrcxY-jt+giFoLwn8tuyFsLZMiF6qQ=.D0611126AC97954CE130.da_vinci_code

 

В текстовом файле инструкцию указали 

 

Ваши фaйлы былu зaшифpoвaны.

Чmобы раcшuфровamь ux, Bам нeобхoдuмо omпpавuть кoд:

D0611126AC97954CE130|659|6|60

на элекmронный адреc Olimpiada.Ignatieva@gmail.com .

Дaлeе вы пoлyчиmе все нeобходимые uнcтрукциu.

Пonытku pасшuфровaть сaмoстoяmельнo нe пpuвeдуm ни к чемy, кpомe бeзвoзврamнoй пoтepu uнфoрмaции.

Еслu вы всё же хотumе nоnыmamься, тo предвapиmeльно cдeлайmе peзepвные konuu фaйлoв, uнaче в случае

иx измeнeния раcшuфровкa сmанem нeвoзможной нu пpu кakux уcловиях.

Еcли вы не пoлyчuли оmвеma nо вышеуkaзaннoмy aдpeсу в mечeнue 48 часoв (и mольkо в этом cлучae!),

воcnoльзyйтесь фoрмой обраmной связи. Эmo можнo cдeлать двyмя споcобaми:

1) Скачайmе u ycmанoвитe Tor Browser по ccылкe: https://www.torproject.org/download/download-easy.html.en

B aдpeснoй стpoкe Tor Browser-а введиme aдpec:

http://cryptsen7fo43rr6.onion/

u нaжмитe Enter. 3агрyзится cmpaнuца c формoй oбраmнoй связи.

2) B любoм браузеpе nеpейдuтe пo одномy uз адpeсов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

 

Инструкции по ссылке      http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]     выполнены. Очень надеемся на помощь.

CollectionLog-2016.09.30-11.32.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(3);
 ExecuteRepair(21);
 ExecuteRepair(22);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Slava159]

сделано

CollectionLog-2016.09.30-12.37.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Slava159]

выполнено

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy: Restriction <======= ATTENTION
AutoConfigURL: [HKLM] => hxxp://itrecheck.com/IY9fY1/Ihtj.ruj
Tcpip\..\Interfaces\{27D8BF19-C27F-4583-B8CA-B44320E01ACC}: [NameServer] 83.149.33.196 83.149.33.203
OPR Extension: (No Name) - C:\Users\Slava\AppData\Roaming\Opera Software\Opera Stable\Extensions\gomohoalpkcdboocdnbeajbbjmifijbg [2016-05-18]
2016-09-29 13:24 - 2016-09-29 13:24 - 06220854 _____ C:\Users\Slava\AppData\Roaming\BF1B0399BF1B0399.bmp
2016-09-29 11:53 - 2016-09-29 13:24 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-09-29 11:53 - 2016-09-29 13:24 - 00000000 __SHD C:\ProgramData\System32
2016-09-29 11:52 - 2016-09-29 11:52 - 00004202 _____ C:\README9.txt
2016-09-29 11:52 - 2016-09-29 11:52 - 00004202 _____ C:\README8.txt
2016-09-29 11:52 - 2016-09-29 11:52 - 00004202 _____ C:\README7.txt
2016-09-29 11:52 - 2016-09-29 11:52 - 00004202 _____ C:\README6.txt
2016-09-29 11:52 - 2016-09-29 11:52 - 00004202 _____ C:\README5.txt
2016-09-29 11:52 - 2016-09-29 11:52 - 00004202 _____ C:\README4.txt
2016-09-29 11:52 - 2016-09-29 11:52 - 00004202 _____ C:\README3.txt
2016-09-29 11:52 - 2016-09-29 11:52 - 00004202 _____ C:\README2.txt
2016-09-29 11:52 - 2016-09-29 11:52 - 00004202 _____ C:\README10.txt
2016-09-29 11:52 - 2016-09-29 11:52 - 00004202 _____ C:\README1.txt
2016-09-29 11:51 - 2016-09-29 14:41 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-29 11:51 - 2016-09-29 14:41 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Slava\AppData\Local\Temp\DataCard_Setup.exe
C:\Users\Slava\AppData\Local\Temp\hdinst_x64.exe
C:\Users\Slava\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\Slava\AppData\Local\Temp\MBSetup296.exe
C:\Users\Slava\AppData\Local\Temp\ResetDevice.exe
C:\Users\Slava\AppData\Local\Temp\tmp6DC4.exe
C:\Users\Slava\AppData\Local\Temp\Uninstall.exe
AlternateDataStreams: C:\Windows:nlsPreferences [0]
cmd: ipconfig /flushdns
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 30 сентября, 2016 пользователем Sandor

[Slava159]

вот

Fixlog.txt

[Sandor]

Следы адвари и вымогателя очищены. С расшифровкой помочь не сможем.