Перейти к содержанию

Вчера шифровальщик Да Винчи зашифровал ноут


Рекомендуемые сообщения

Вчера был зашифрован ноут одного нашего сотрудника. Все пользовательские файлы получили расширение .da_vinci_code и не читаемые имены из букв, цифр и символов.

Получили, видимо, по почте. Теневых копий нет.

Заранее спасибо!

CollectionLog-2016.10.25-09.38.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Теневых копий нет

К сожалению в Windows XP их нет по определению.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-10-24 10:23 - 2016-10-24 10:23 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32
2016-10-24 10:22 - 2016-10-24 10:22 - 00004198 _____ C:\README9.txt
2016-10-24 10:22 - 2016-10-24 10:22 - 00004198 _____ C:\README8.txt
2016-10-24 10:22 - 2016-10-24 10:22 - 00004198 _____ C:\README7.txt
2016-10-24 10:22 - 2016-10-24 10:22 - 00004198 _____ C:\README6.txt
2016-10-24 10:22 - 2016-10-24 10:22 - 00004198 _____ C:\README5.txt
2016-10-24 10:22 - 2016-10-24 10:22 - 00004198 _____ C:\README4.txt
2016-10-24 10:22 - 2016-10-24 10:22 - 00004198 _____ C:\README3.txt
2016-10-24 10:22 - 2016-10-24 10:22 - 00004198 _____ C:\README2.txt
2016-10-24 10:22 - 2016-10-24 10:22 - 00004198 _____ C:\README10.txt
2016-10-24 10:22 - 2016-10-24 10:22 - 00004198 _____ C:\README1.txt
2016-10-24 10:21 - 2016-10-24 10:21 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

 

 

Вчера был зашифрован ноут одного нашего сотрудника.

Письмо сохранилось через которое поймали шифровальщика? Если да, то отправьте мне его на почту.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
×
×
  • Создать...