Перейти к содержанию

Шифровальщик Da Vinci Code


Рекомендуемые сообщения

Здравствуйте уважаемые!

 

Пользователь собственноручно запустил шифрование из вложения эл.письма.

 

Хотелось бы вычистить "хвосты адвари", а также узнать - расшифровка возможна?

 

 

CollectionLog-2016.10.10-13.12.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

1. Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

2. Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Video Plugin

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
CHR Extension: (News Tab) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2016-08-18]
CHR Extension: (Geek Safe) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-10-07]
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck [2016-10-01]
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-09-21]
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb [2016-08-18]
OPR Extension: (Geek Safe) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\npknnddabjhdijgmmbocdicnknegobkm [2016-10-07]
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-09-27]
S2 MPCProtectService; "C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe" [X] <==== ATTENTION
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-08-16] (DotC United Inc) <==== ATTENTION
2016-10-07 08:20 - 2016-10-07 08:20 - 04320054 _____ C:\Users\User\AppData\Roaming\92EA8C7D92EA8C7D.bmp
2016-10-06 13:51 - 2016-10-07 08:23 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-06 13:51 - 2016-10-07 08:23 - 00000000 __SHD C:\ProgramData\Windows
Task: {114E6055-8300-42D9-ADA3-0F431D0F029B} - \Microsoft\Windows\8AC109B25FDDAAA44117B7F58A56A3AD -> No File <==== ATTENTION
Task: {1323AB49-E184-4655-AC44-51FA3FA428F6} - \Microsoft\Windows\AE5C1CCA0-8055-4063-89C7-237557D932EE -> No File <==== ATTENTION
Task: {603660CD-9FD4-4ECE-9EBC-5867C5B107B7} - \MailRuUpdater -> No File <==== ATTENTION
Task: {6B66B4C0-8C37-4252-901C-BCC084D5DD05} - \Microsoft\Windows\8AC109B25FDDAAA44117B7F58A56A3ADSB -> No File <==== ATTENTION
Task: {B977CFCF-02E5-4487-AF80-9A4712DB9FDA} - \Microsoft\8AC109B25FDDAAA44117B7F58A56A3AD -> No File <==== ATTENTION
Task: {C54A35CF-F98B-4518-8F29-CC666D811035} - \Microsoft\8AC109B25FDDAAA44117B7F58A56A3ADSB -> No File <==== ATTENTION
FirewallRules: [{2FA9AE63-25FC-4FD3-BEFB-A1130305806A}] => (Allow) C:\Users\User\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{3AE17D6B-76D8-49A5-A8B1-32F5B7E9B40D}] => (Allow) C:\Program Files\VideoPlugin\FilterService\VideoPlugin.FilterServer.exe
FirewallRules: [{EA6FC573-187D-436F-B23D-4C38B48B35C5}] => (Allow) C:\Users\User\AppData\Local\Temp\MPCOnline\MPCDownload.exe
FirewallRules: [{59E2BF2E-1EC7-4F99-BF85-754CB3192C5D}] => (Allow) C:\Users\User\AppData\Local\Temp\MPCOnline\MPCDownload.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  • Подробнее читайте в руководстве Как подготовить лог UVS.
Ссылка на комментарий
Поделиться на другие сайты

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v3.87.6 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v388c
    SREG
    zoo %Sys32%\DRIVERS\MPCKPT.SYS
    bl 26EDB33E64748246DCD3CFF7C66DC4A3 60136
    addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A43B3AF29BD80D317C2573E559D492B80849F461C48FA4D6FE87295DAB12C2D77A42FC7062273 64 MPC
    
    delall %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\MPCPROTECTSERVICE.EXE
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CNAIBNEHBBINOOHHJAFKNIHMLOPDHHIP\230.1.2.35\NEWS TAB
    deldir %SystemDrive%\PROGRAM FILES (X86)\MPC CLEANER\
    
    chklst
    delvir
    
    czoo
    areg
    
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Подробнее читайте в этом руководстве.
Повторите контрольный образ автозапуска uVS (как в сообщении №8)
Ссылка на комментарий
Поделиться на другие сайты

  •  на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Повторите контрольный образ автозапуска uVS (как в сообщении №8)

 

 

 

 
  •  
  • WIN-9VOKQSNRM7B_2016-10-10_15-23-17.zip

WIN-9VOKQSNRM7B_2016-10-10_15-23-17.zip

Ссылка на комментарий
Поделиться на другие сайты

Если письмо сохранилось, то отправьте мне его на почту

Отправили?

 

Адварь и следы вымогателя очищены. С расшифровкой помочь не сможем. Смените важные пароли.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • FineGad
      От FineGad
      26.12.24 На файловом сервере (комп с Debian) в расшареных каталогах заметил текстовый файл !want_to_cry.txt 
      Просканировал все каталоги доступные по сети (SMB) зашифрованные файлы с расширением .want_to_cry по времени создания файлов видно что шифровальщик проработал примерно с 24.12.24 20:05  по 25.12.24 03:05 после чего сервер "завис". Сейчас шифровщик не активен (новые шифрованные файлы не появляются). Доступа к сети извне нет, кроме SSH с ключом шифрования. В сети кроме моего во время активности были еще 2 компьютера под управление Windows.
       
      !want_to_cry.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
×
×
  • Создать...