Зашифрованы файлы шифровальщиком Da_Vinci

[Aleksandr Fadeev]

Добрый день!

 

Пользователю на почту пришло письмо якобы от Сбербанка. Письмо естественно пользователь открыл и при последующей загрузке на след.день увидел на рабочем столе черный экран с красной надписью: "Ваши файлы зашифрованы..." и все документы имеют названия с рандомным набором символов. Прошу помощи! Логи прикрепил.

 

Спасибо!

CollectionLog-2016.10.28-11.44.zip

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Aleksandr Fadeev]

Лог от Farbar Recovery Scan Tool прикрепил

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Ran by l.siluanova (ATTENTION: The user is not administrator) on IEFB-AOEI-07 (28-10-2016 12:19:02)

Переделайте, пожалуйста, от имени администратора.

[Aleksandr Fadeev]

Извините, запутался. Переделал от администратора. )

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
Toolbar: HKU\S-1-5-21-1952704856-2546709951-1734210786-128045 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
2016-10-26 09:29 - 2016-10-26 09:29 - 03932214 _____ C:\Users\l.siluanova\AppData\Roaming\0D612AFE0D612AFE.bmp
2016-10-26 09:29 - 2016-10-26 09:29 - 00004162 _____ C:\Users\l.siluanova\Desktop\README9.txt
2016-10-26 09:29 - 2016-10-26 09:29 - 00004162 _____ C:\Users\l.siluanova\Desktop\README8.txt
2016-10-26 09:29 - 2016-10-26 09:29 - 00004162 _____ C:\Users\l.siluanova\Desktop\README7.txt
2016-10-26 09:29 - 2016-10-26 09:29 - 00004162 _____ C:\Users\l.siluanova\Desktop\README6.txt
2016-10-26 09:29 - 2016-10-26 09:29 - 00004162 _____ C:\Users\l.siluanova\Desktop\README5.txt
2016-10-26 09:29 - 2016-10-26 09:29 - 00004162 _____ C:\Users\l.siluanova\Desktop\README4.txt
2016-10-26 09:29 - 2016-10-26 09:29 - 00004162 _____ C:\Users\l.siluanova\Desktop\README3.txt
2016-10-26 09:29 - 2016-10-26 09:29 - 00004162 _____ C:\Users\l.siluanova\Desktop\README2.txt
2016-10-26 09:29 - 2016-10-26 09:29 - 00004162 _____ C:\Users\l.siluanova\Desktop\README10.txt
2016-10-26 09:29 - 2016-10-26 09:29 - 00004162 _____ C:\Users\l.siluanova\Desktop\README1.txt
2016-10-26 09:14 - 2016-10-28 08:58 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-10-26 09:14 - 2016-10-28 08:58 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\l.pyatukhina\AppData\Local\Temp\downloader.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Aleksandr Fadeev]

Фикслог прикрепил.

Fixlog.txt

[Sandor]

Следы вымогателя и адвари очищены. С расшифровкой, увы, не сможем помочь.

Смените важные пароли.

[Aleksandr Fadeev]

Следы вымогателя и адвари очищены. С расшифровкой, увы, не сможем помочь.

Смените важные пароли.

Понял. Спасибо.

[re-pak]

так что нашли как расшифровать файлы? я их скопировал на жёсткий внешений. жду где бы найти дешифратор

[mike 1]

так что нашли как расшифровать файлы? я их скопировал на жёсткий внешений. жду где бы найти дешифратор

В техподдержку