Перейти к содержанию

Шифровальщик Da Vinci Code


Рекомендуемые сообщения

Добрый день.

В приложенных файлах собранные логи, а также образец шифрованного файла и файл Readme с информацией от злодеев.

CollectionLog-2016.10.04-06.10.zip

report1.log

report2.log

cBja8eanSeIcrBEhF+j1yQoGXuolZR7bXvmLG5tfiuH6ZZffom-WHKYXz7OSC24H.592F87DC630C381EB174.zip

README5.txt

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\konstantin\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('C:\ProgramData\cNNBiuD', '*', true, '', 0, 0);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk', '');
 QuarantineFile('C:\ProgramData\cNNBiuD\rxcvJBeKJn3.bat', '');
 QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '');
 QuarantineFile('C:\Users\Konstantin\AppData\Local\Hostinstaller\1956498759_monster.exe', '');
 QuarantineFile('C:\Users\Konstantin\AppData\Local\SystemMonitor2016\1956498759.exe', '');
 QuarantineFile('C:\Users\Konstantin\AppData\Roaming\yoursearching\UninstallManager.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{FE3E6DD1-41EC-4F83-B17F-559D77EC036E}" /F', 0, 15000, true);
 DeleteFile('C:\Users\Konstantin\AppData\Roaming\yoursearching\UninstallManager.exe','32');
 DeleteFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '32');
 DeleteFile('C:\Users\Konstantin\AppData\Local\Hostinstaller\1956498759_monster.exe', '32');
 DeleteFile('C:\Users\Konstantin\AppData\Local\SystemMonitor2016\1956498759.exe', '32');
 DeleteFile('C:\ProgramData\cNNBiuD\rxcvJBeKJn3.bat', '');
 DeleteFileMask('C:\ProgramData\cNNBiuD', '*', true);
 DeleteFileMask('c:\users\konstantin\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('c:\users\konstantin\appdata\local\hostinstaller');
 DeleteDirectory('C:\ProgramData\cNNBiuD');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты

[KLAN-5119208941]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

bfpWeeP,
kfxUhrbHzR,
nvIpke,
QjDrYg,
TULLfR

Вредоносный код в файлах не обнаружен.

hGQWqXDvBf,
rxcvJBeKJn3.bat,
Opera.lnk,
Registry.pol

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

 

 

CollectionLog-2016.10.05-12.40.zip

ClearLNK-05.10.2016_12-28.log

Ссылка на комментарий
Поделиться на другие сайты

  • Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
FF Extension: (No Name) - C:\Users\Konstantin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\helper@helper [2016-09-17] [not signed]
FF Extension: (No Name) - C:\Users\Konstantin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-09-17]
FF Extension: (No Name) - C:\Users\Konstantin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-09-17]
FF Extension: (No Name) - C:\Users\Konstantin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-09-17]
FF SearchPlugin: C:\Users\Konstantin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\rsG2ZBpDRdwmzxIH3pPrN64oI343LUmWwTE4af3R1MM=.592F87DC630C381EB174.da_vinci_code [2016-09-17]
FF SearchPlugin: C:\Users\Konstantin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\VX-MUUo9aMff9Uwt7BQ+bQa2c8OISMwaEoojVjn8vcX3qhfSv-1qFnz25p077WIY.592F87DC630C381EB174.da_vinci_code [2016-09-17]
CHR Extension: (Яндекс) - C:\Users\Konstantin\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\bhjcgomkanpkpblokebecknhahgkcmoo [2016-09-17]
CHR Extension: (Яндекс) - C:\Users\Konstantin\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\lgdnilodcpljomelbbnpgdogdbmclbni [2016-09-17]
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
2016-09-17 06:29 - 2016-09-20 08:05 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-09-17 06:29 - 2016-09-20 08:05 - 00000000 __SHD C:\ProgramData\Csrss
2016-09-17 05:13 - 2016-09-17 05:13 - 04320054 _____ C:\Users\Konstantin\AppData\Roaming\DB349A88DB349A88.bmp
2016-09-17 05:13 - 2016-09-17 05:13 - 00004170 _____ C:\Users\Konstantin\Desktop\README9.txt
2016-09-17 05:13 - 2016-09-17 05:13 - 00004170 _____ C:\Users\Konstantin\Desktop\README8.txt
2016-09-17 05:13 - 2016-09-17 05:13 - 00004170 _____ C:\Users\Konstantin\Desktop\README7.txt
2016-09-17 05:13 - 2016-09-17 05:13 - 00004170 _____ C:\Users\Konstantin\Desktop\README6.txt
2016-09-17 05:13 - 2016-09-17 05:13 - 00004170 _____ C:\Users\Konstantin\Desktop\README5.txt
2016-09-17 05:13 - 2016-09-17 05:13 - 00004170 _____ C:\Users\Konstantin\Desktop\README4.txt
2016-09-17 05:13 - 2016-09-17 05:13 - 00004170 _____ C:\Users\Konstantin\Desktop\README3.txt
2016-09-17 05:13 - 2016-09-17 05:13 - 00004170 _____ C:\Users\Konstantin\Desktop\README2.txt
2016-09-17 05:13 - 2016-09-17 05:13 - 00004170 _____ C:\Users\Konstantin\Desktop\README10.txt
2016-09-17 05:13 - 2016-09-17 05:13 - 00004170 _____ C:\Users\Konstantin\Desktop\README1.txt
2016-09-17 02:17 - 2016-09-17 06:29 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-09-17 02:17 - 2016-09-17 06:29 - 00000000 __SHD C:\ProgramData\System32
2016-09-16 17:49 - 2016-09-20 08:05 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-09-16 17:49 - 2016-09-20 08:05 - 00000000 __SHD C:\ProgramData\Windows
2016-09-17 05:06 - 2016-01-21 19:40 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-09-17 05:06 - 2016-01-21 19:40 - 00000000 ____D C:\ProgramData\IObit
2016-09-17 04:23 - 2016-01-21 19:40 - 00000000 ____D C:\Users\Konstantin\AppData\LocalLow\IObit
Task: {2CC98563-161B-45FC-B3BD-7B45FEBEE9C5} - \Style Logo2 -> No File <==== ATTENTION
Task: {8E6D15BB-F69A-43E3-8F93-766F22791AF7} - \Style Logo -> No File <==== ATTENTION
FirewallRules: [{A9F6C652-5376-49CD-B2C3-D972E836E010}] => (Allow) C:\Torrentex\Torrentex.exe
FirewallRules: [{033933BA-6382-4F72-869A-9ACBAE30A051}] => (Allow) C:\Torrentex\Torrentex.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Рекламное ПО и следы вымогателя очищены. С расшифровкой помочь не сможем. При наличии лицензии, обратитесь в ТП Вашего антивируса.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо за помощь.

А с расшифровкой - это в принципе не поможете потому что нереально расшифровать, или не поможете потому что нет вашей лицензии...

Если второе, то может сразу стоило об этом сказать? (я б туда и обратился, т.к. лицензия еще действующая), а теперь все следы вычищены, зацепиться не за что... лицензия drweb`а есть, но они меня просто пошлют теперь на основании что уже было вмешательство...и следов теперь никаких...

Ссылка на комментарий
Поделиться на другие сайты

В папке C:\FRST в карантине находятся удаленные элементы. Все удаленное до FRST, была адварь, к вымогателю отношения не имеющая.

 

потому что нереально расшифровать

На сегодняшний день это именно так.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • FineGad
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
×
×
  • Создать...