Шифровальщик .da_vinci_code

[lazzuren]

Здравствуйте.

После открытия письма были зашифрованы файлы и переименованы с расширением .da_vinci_code.

 

Появились текстовые файлы:

 

Bашu фaйлы были зaшифpованы.

Чmoбы pаcшuфpовamь ux, Bам нeобхoдuмо omnравuть кoд:

26E441317E2D43B5CCEF|0

нa элекmрoнный aдрес VladimirScherbinin1991@gmail.com .

Далee вы пoлучuтe всe неoбxодuмые инсmрyкцuи.

Пonыmku рacшuфрoвamь самоcтояmельно нe пpuвeдуm нu k чемy, kрoмe бeзвoзвратнoй пomeрu uнфopмацuu.

Eсли вы вcё жe xoтume nonытаться, mо предварительнo сделайme рeзeрвныe коnиu фaйлов, инaче в слyчae

иx uзмeненuя расшифpовкa станеm невoзможнoй ни при kaкиx ycлoвияx.

Если вы нe пoлучuлu отвema nо вышeykазaнному aдреcy в meчeние 48 чаcов (и тольko в этoм cлучае!),

вocnoльзуйтeсь формoй обpаmнoй связu. Этo можнo cдeлaть двyмя cпocoбами:

1) Сkачaйme u yстановиme Tor Browser no ccылke: https://www.torproject.org/download/download-easy.html.en

B aдpеcной стpoке Tor Browser-а введuте адpеc:

http://cryptsen7fo43rr6.onion/

u нaжмиme Enter. Зarpузumcя cmpаницa c фopмoй oбратнoй связu.

2) В любом бpayзерe neрейдume пo однoму uз aдpесов:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

CollectionLog-2016.10.04-12.28.zip

[Sandor]

Здравствуйте!

 

На момент заражения эта настройка была включена?

 

Дополнительно:

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[lazzuren]

Нет.

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[lazzuren]

Сделано

FRST.txt

Addition.txt

Shortcut.txt

AdwCleanerC0.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
2016-10-03 18:02 - 2016-10-03 18:02 - 00004186 _____ C:\Users\Secretar\Desktop\README9.txt
2016-10-03 18:02 - 2016-10-03 18:02 - 00004186 _____ C:\Users\Secretar\Desktop\README8.txt
2016-10-03 18:02 - 2016-10-03 18:02 - 00004186 _____ C:\Users\Secretar\Desktop\README7.txt
2016-10-03 18:02 - 2016-10-03 18:02 - 00004186 _____ C:\Users\Secretar\Desktop\README6.txt
2016-10-03 18:02 - 2016-10-03 18:02 - 00004186 _____ C:\Users\Secretar\Desktop\README5.txt
2016-10-03 18:02 - 2016-10-03 18:02 - 00004186 _____ C:\Users\Secretar\Desktop\README4.txt
2016-10-03 18:02 - 2016-10-03 18:02 - 00004186 _____ C:\Users\Secretar\Desktop\README3.txt
2016-10-03 18:02 - 2016-10-03 18:02 - 00004186 _____ C:\Users\Secretar\Desktop\README2.txt
2016-10-03 18:02 - 2016-10-03 18:02 - 00004186 _____ C:\Users\Secretar\Desktop\README10.txt
2016-10-03 18:02 - 2016-10-03 18:02 - 00004186 _____ C:\Users\Secretar\Desktop\README1.txt
2016-10-03 17:58 - 2016-10-03 17:58 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-10-03 17:58 - 2016-10-03 17:58 - 00000000 __SHD C:\ProgramData\System32
2016-10-03 16:48 - 2016-10-03 16:48 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-03 16:48 - 2016-10-03 16:48 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\admin\AppData\Local\Temp\73098-91095-heart-of-darkness.exe
C:\Users\admin\AppData\Local\Temp\nagrest.exe
C:\Users\Secretar\AppData\Local\Temp\drzxzfjxl.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[lazzuren]

Готово

Fixlog.txt

[Sandor]

Пишите запрос на расшифровку.