DA_VINCI_CODE - как удалить вирус и расшифровать файлы

[Artem Metra]

Здравствуйте.

 

Являюсь лицензионным пользователем Kaspersky Small Office Security.

Антивирус среагировал на угрозу, возможно остановил дальнейшее заражение, но все же часть файлов на диске D оказалась зашифрована.

Файлы получили длинные нечитаемые названия с расширением da_vinci_code.

Появились файлы README.TXT следующего содержания:

 

Bашu фaйлы были зaшuфpoваны.

Чmобы pасшuфpoвать ux, Вам необходuмo оmпрaвиmь koд:

7C1305F96D260D5E5DDB|666|6|11

на элеkтронный aдрес gervasiy.menyaev@gmail.com .

Дaлеe вы nолучите все неoбходимыe инcmpуkции.

Пonытkи рacшифровamь сaмостояmельно нe пpuвeдуm нu к чeмy, кpoмe безвозврamнoй nоmeрu uнформации.

Ecлu вы вcё же xoтите nonыmaтьcя, mo прeдвaрuтельно cдeлайme резервные kопиu фaйлов, uнaчe в cлyчaе

uх измененuя раcшuфpoвкa стaнеm невoзмoжной ни пpи kaкиx yсловияx.

Eсли вы нe пoлучuлu отвemа пo вышeykaзaннoму aдрeсy в mечение 48 чacов (и тoльkо в эmoм cлyчае!),

воспoльзyйmесь формой обpaтнoй cвязи. Это можнo cдeлamь двумя сnoсoбaми:

1) Ckачaйте и уcmановuтe Tor Browser пo cсылке: https://www.torproject.org/download/download-easy.html.en

B адресной сmрokе Tor Browser-а ввeдитe aдpec:

http://cryptsen7fo43rr6.onion/

u нажмиmе Enter. 3агрyзumcя сmрaнuца с фopмoй обpатнoй связи.

2) В любом бpayзeрe nеpейдите пo oдномy uз aдрecoв:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

7C1305F96D260D5E5DDB|666|6|11

to e-mail address gervasiy.menyaev@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

If you still want to try to decrypt them by yourself please make a backup at first because

the decryption will become impossible in case of any changes inside the files.

If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),

use the feedback form. You can do it by two ways:

1) Download Tor Browser from here:

https://www.torproject.org/download/download-easy.html.en

Install it and type the following address into the address bar:

http://cryptsen7fo43rr6.onion/

Press Enter and then the page with feedback form will be loaded.

2) Go to the one of the following addresses in any browser:

http://cryptsen7fo43rr6.onion.to/

http://cryptsen7fo43rr6.onion.cab/

 

 

Остался ли вирус у меня на компьютере? 

Почему Касперский среагировал на угрозу не сразу, а спустя некоторое время?

Помогите с расшифровкой пострадавших файлов.

Логи прилагаю.

 

CollectionLog-2016.11.02-03.34.zip

Addition.txt

FRST.txt

Пример зашифрованного файла.rar

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TextEditor

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\vaio\appdata\local\systemdir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\vaio\appdata\local\microsoft\extensions', '*', true, '', 0 ,0);
 QuarantineFile('C:\Users\VAIO\AppData\Local\SystemDir\nethost.exe', '');
 QuarantineFile('C:\Users\VAIO\appdata\local\microsoft\extensions\extsetup.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
 DeleteFile('C:\Users\VAIO\AppData\Local\SystemDir\nethost.exe', '32');
 DeleteFile('C:\Users\VAIO\appdata\local\microsoft\extensions\extsetup.exe', '32');
 DeleteFileMask('c:\users\vaio\appdata\local\systemdir', '*', true);
 DeleteFileMask('c:\users\vaio\appdata\local\microsoft\extensions', '*', true);
 DeleteDirectory('c:\users\vaio\appdata\local\systemdir');
ExecuteSysClean;
 ExecuteRepair(3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Artem Metra]

ответ от newvirus@kaspersky.com [KLAN-5286983619]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

extsetup.exe - not-a-virus:RiskTool.NSIS.ExtInstall.d

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

le

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

log

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

Всё сделал, как Вы посоветовали. Логи прилагаю.

Создал запрос на расшифровку в личном кабинете

Номер запроса: INC000006911124

Есть ли надежда на расшифровку файлов???

 

CollectionLog-2016.11.04-02.34.zip

ClearLNK-04.11.2016_02-09.log

[Sandor]

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Есть ли надежда на расшифровку файлов?

Мы - не сотрудники ЛК. Ждите ответа.

[Artem Metra]

Вы хоть не сотрудники ЛК, но отвечаете оперативно и оказываете реальную помощь, чего не скажешь о самих сотрудниках Лаборатории Касперского(((

Ситуация на данный момент следующая:

1. 4 ноября в 02.18 сделал запрос INC000006911124 в личном кабинете Лаборатории Касперского.

2. Ответили довольно оперативно в 12.54 того же дня, т.е. через 10 часов

3. Далее два дня ушло на то, что запрошенные от меня файлы не доходили до ЛК.

4. 6 ноября файлы наконец-то дошли и я получил такой ответ:

 

Status update for customer

Запрос находится в процессе обработки. Пожалуйста, ожидайте нашего ответа.

Также просим вас не обращать внимание на текст в конце этого письма, в котором сообщается о том, что запрос будет закрыт через 7 дней. Этого не произойдёт.

 

Дальше на мои вопросы перестали реагировать(

 

Делаю вывод: Впустую потерял неделю в надежде на расшифровку файлов. Не понимаю, зачем было запрашивать кучу отчётов, чтобы потом просто перестать реагировать на вопросы. Такое ощущение, что поработал волонтёром на Касперского, чтобы помочь улучшить этот прекрасный сервис...

Могли бы сразу сказать - "Файлы расшифровать невозможно", а не изображать активность...

[Sandor]

Однако, Вы тоже не выполняете все рекомендации:

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.

[Artem Metra]

Не заметил. Прикрепляю отчет.

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Artem Metra]

Сделал все необходимые операции. Отчеты прикрепляю.

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
FF NewTab: Mozilla\Firefox\Profiles\0z84wz0v.default -> yafd:tabs
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\0z84wz0v.default -> @Mail.Ru
OPR Extension: (ShopClick) - C:\Users\VAIO\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-11-01]
2016-11-02 01:58 - 2016-11-02 01:58 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-11-02 01:58 - 2016-11-02 01:58 - 00000000 __SHD C:\ProgramData\System32
2016-11-02 01:57 - 2016-11-02 01:57 - 00004190 _____ C:\README9.txt
2016-11-02 01:57 - 2016-11-02 01:57 - 00004190 _____ C:\README8.txt
2016-11-02 01:57 - 2016-11-02 01:57 - 00004190 _____ C:\README7.txt
2016-11-02 01:57 - 2016-11-02 01:57 - 00004190 _____ C:\README6.txt
2016-11-02 01:57 - 2016-11-02 01:57 - 00004190 _____ C:\README5.txt
2016-11-02 01:57 - 2016-11-02 01:57 - 00004190 _____ C:\README4.txt
2016-11-02 01:57 - 2016-11-02 01:57 - 00004190 _____ C:\README3.txt
2016-11-02 01:57 - 2016-11-02 01:57 - 00004190 _____ C:\README2.txt
2016-11-02 01:57 - 2016-11-02 01:57 - 00004190 _____ C:\README10.txt
2016-11-02 01:57 - 2016-11-02 01:57 - 00004190 _____ C:\README1.txt
2016-11-02 01:56 - 2016-11-02 02:26 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-11-02 01:56 - 2016-11-02 02:26 - 00000000 __SHD C:\ProgramData\Windows
Task: {6AE8C55A-EA1F-45AB-AD44-91D8BD3AD04E} - \{990B773D-81BC-4F4E-9F19-A6A2240C2717} -> No File <==== ATTENTION
Task: {6B574EB0-8795-46E4-A250-66C4B8C398F4} - \nethost task -> No File <==== ATTENTION
Task: {6E8EEF5F-0059-4DC5-A9E7-E24ED6CFFD6B} - \GameNet -> No File <==== ATTENTION
Task: {72482ADB-7105-455D-BE78-1E95B7B90F08} - \FileSystemDriver -> No File <==== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Artem Metra]

Прикрепляю уже не помню какой по счёту отчёт.

Хочу узнать - это хоть как-то мне поможет в расшифровке файлов?

На тех.поддежку Касперского уже не надеюсь, так, может, здесь кто-нибудь поможет?

Готов заплатить столько, сколько будет нужно...

Fixlog.txt

[Sandor]

это хоть как-то мне поможет в расшифровке файлов?

Нет. Это последний отчет, показывающий результат очистки системы от адвари и вымогателя.

На тех.поддежку Касперского уже не надеюсь

Напрасно, продолжайте ждать. До окончания общения с ТП не удаляйте папку C:\FRST, может понадобиться.

Смените важные пароли.

[mike 1]

Дальше на мои вопросы перестали реагировать(

 

KL Support:

 

Этот запрос инженеры эскалировали экспертам 14 ноября. Ему нужно подождать несколько дней, они как правило долго отвечают.

 

[Artem Metra]

Спасибо. Буду ждать, надеяться и верить...

[Artem Metra]

Получил сегодня ответ от Касперского, цитирую:

 

Уважаемый пользователь, мы получили следующий ответ от разработчика:
"Логи содержат события за период (время UTC): 01/11/2016 22:46:07 - 05/11/2016 16:36:31.
Шифрование в логах не зафиксировано.
Судя по зашифрованным файлам, это произошло 1 ноября 23:00 (UTC).

В этот период наблюдается разрыв в сборе логов: 01/11/2016 22:56:00 - 01/11/2016 23:24:07.
В 01/11/2016 23:26:33 был детект PDM:Trojan.Win32.Bazon.a на файл: C:\Users\VAIO\AppData\Roaming\0cd0b27caf582aae56db3f715e11cc66d0a5e9e5.crypt.exe (MD5: cc74cc3b9fb1709458e7aed43e4894a4) за то, что он в зоне Bad по KSN (с 21 октября). По детекту вредоносный процесс был завершён в 01/11/2016 23:24:55 и шифрования не производил.

Присланный Вами вредоносный файл детектируется сигнатурно с 21 октября (Trojan-Ransom.Win32.Shade.kyn), с 24 октября эвристически: HEUR:Trojan.Win32.Generic. Этих детектов в логах не обнаружено, значит на устройстве пользователя антивирусные базы давно не обновлялись."

Уважаемые помощники!

Объясните, пожалуйста, понятным обычному пользователю языком - ждать расшифровки или нет?

Перелопатил все форумы - в одной теме пишут, что через 2 месяца у Касперского будет расшифровка да Винчи.

Но в большинстве тем та же тп касперского утверждает, что у да винчи алгоритм стойкий и его не взломать...

Так кому верить??? 

Поделитесь, у кого есть инфа по этой теме! Очень важно!