DA_VINCI_CODE - как удалить вирус и расшифровать файлы

[mike 1 1 093]

• Запустите Farbar Recovery Scan Tool двойным щелчком от имени Администратора.

• Когда программа запустится, скопируйте следующую информацию в окно поиска:

*.da_vinci_code

• Нажмите кнопку Search Files и подождите.

• Программа создаст лог-файл (Search.txt). Пожалуйста, прикрепите его в следующем сообщении!

 

 

 

Объясните, пожалуйста, понятным обычному пользователю языком - ждать расшифровки или нет?

Спросите в своем запросе в личном кабинете.

 

Так кому верить??? 

Техподдержке. Каждый случай индивидуален. Если кого-то расшифровали, то не думайте, что всех можно расшифровать. 

 

[Artem Metra 0]

я не видел ни одного человека кому расшифровали да винчи

реально так сложно или просто все молчат?

[mike 1 1 093]

 

 

реально так сложно или просто все молчат?

Не все считают нужным отписываться у себя в теме. Отчет пришлите.

[Artem Metra 0]

Высылаю отчет

Search.txt

[mike 1 1 093]

Сколько файлов на диске D зашифрованных? 

[Artem Metra 0]

Только на D и зашифрованы. Пока этот комп не под рукой. Вечером подсчитаю и напишу.

Скажите, пожалуйста, а расшифровка возможна если мониторинг активности был включен или он бы просто не дал вирусу зашифровать?

[mike 1 1 093]

Я не могу ответить на этот вопрос, пока не буду знать точное количество зашифрованных файлов. 

[Artem Metra 0]

Точное количество зашифрованных файлов 12 300, все на диске D. 

[mike 1 1 093]

В этот период наблюдается разрыв в сборе логов: 01/11/2016 22:56:00 - 01/11/2016 23:24:07.

В 01/11/2016 23:26:33 был детект PDM:Trojan.Win32.Bazon.a на файл: C:\Users\VAIO\AppData\Roaming\0cd0b27caf582aae56db3f715e11cc66d0a5e9e5.crypt.exe (MD5: cc74cc3b9fb1709458e7aed43e4894a4) за то, что он в зоне Bad по KSN (с 21 октября). По детекту вредоносный процесс был завершён в 01/11/2016 23:24:55 и шифрования не производил.

Из этого можно сделать вывод, что в период 01/11/2016 22:56:00 - 01/11/2016 23:20:00 антивирус не был включен, либо были отключены важные модули антивируса. 

 

если мониторинг активности был включен или он бы просто не дал вирусу зашифровать?

Этот модуль откатывает действия вредоносной программы и из резервных копий восстанавливает файлы, но возможна погрешность в несколько зашифрованных файлов. Работает это все дело примерно так:

 

[Artem Metra 0]

Спасибо! Теперь понятно.

В некоторых постах Вы говорите, что решение будет через 2 месяца.

Стоит ли ждать?

[mike 1 1 093]

Я нигде не писал, что через два месяца будет расшифровка.

[Artem Metra 0]

спасибо за консультацию!

обзвонил несколько фирм, предлагающих расшифровку файлов.

отмёл тех, кто просит предоплату. Приехал мастер и всё расшифровал за 3 часа.

кому нужно - пишите в личку, поделюсь.

[mike 1 1 093]

Вы лучше напишите сколько с вас денег взяли.

[Andrewww 0]

Получил сегодня ответ от Касперского, цитирую:

 

Уважаемый пользователь, мы получили следующий ответ от разработчика:

"Логи содержат события за период (время UTC): 01/11/2016 22:46:07 - 05/11/2016 16:36:31....

 

- И 1 ноября 23:00 входит в указанный интервал!

 

 

Шифрование в логах не зафиксировано.

Судя по зашифрованным файлам, это произошло 1 ноября 23:00 (UTC).

 

В этот период наблюдается разрыв в сборе логов: 01/11/2016 22:56:00 - 01/11/2016 23:24:07.

- Вполне достаточно для работы шифровальщика - около 30 минут!

 

 

Artem Metra сказал(а) 25 Ноя 2016 - 19:15:

В 01/11/2016 23:26:33 был детект PDM:Trojan.Win32.Bazon.a на файл: C:\Users\VAIO\AppData\Roaming\0cd0b27caf582aae56db3f715e11cc66d0a5e9e5.crypt.exe (MD5: cc74cc3b9fb1709458e7aed43e4894a4) за то, что он в зоне Bad по KSN (с 21 октября). По детекту вредоносный процесс был завершён в 01/11/2016 23:24:55 и шифрования не производил.

 

- А теперь: внимание! Детект-то был зафиксирован... Но примерно на две с половиной минуты позже окончания работы шифровальщика (= возобновления логов). 

И ещё одно внимание! Завершение по детекту произошло на полторы минуты раньше самогО детекта (!!)

 

 

Artem Metra сказал(а) 25 Ноя 2016 - 19:15:

Присланный Вами вредоносный файл детектируется сигнатурно с 21 октября (Trojan-Ransom.Win32.Shade.kyn), с 24 октября эвристически: HEUR:Trojan.Win32.Generic. Этих детектов в логах не обнаружено, значит на устройстве пользователя антивирусные базы давно не обновлялись."

 

- Я так считаю: если этих детектов в логах не обнаружено, надо предположить, что вредоносный процесс может отключать ведение логов! После этого всё выглядит гораздо логичнее и - проще! Иначе откуда взялись 12,3 тысячи зашифрованных файлов?! Это совсем не похоже на мультфильм из 24-го поста...

 

PS Прошу извинить за столь сбивчивое цитирование.  Поправил, как мог. И опечатки!

Изменено 2 декабря, 2016 пользователем Andrewww

[mike 1 1 093]

 

 

- Вполне достаточно для работы шифровальщика - около 30 минут!

Судя по тому, что пишет сотрудник техподдержки, то логично предположить, что в этот период времени антивирус был отключен, либо был отключен ключевой модуль защиты "Мониторинг активности". 

 

 

 

- А теперь: внимание! Детект-то был зафиксирован... Но примерно на две с половиной минуты позже окончания работы шифровальщика (= возобновления логов). 

Возможно после того как вы или кто другой заметил, что шифровальщик отработал до конца, просто включили антивирус. 

 

 

 

- Я так считаю: если этих детектов в логах не обнаружено, надо предположить, что вредоносный процесс может отключать ведение логов! После этого всё выглядит гораздо логичнее и - проще! Иначе откуда взялись 12,5 тысяч зашифрованных файлов?

Не может. Самозащита антивируса не даст этого сделать (если конечно вы ее не отключили в антивирусе).

 

Если не верите, то можете восстановить файл шифровальщика из карантина и я в новом видео на примере вашего присланного файла это наглядно покажу.