Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

DA_VINCI_CODE - как удалить вирус и расшифровать файлы

Artem Metra
 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано
  • Запустите Farbar Recovery Scan Tool двойным щелчком от имени Администратора.
  • Когда программа запустится, скопируйте следующую информацию в окно поиска:
*.da_vinci_code
  • Нажмите кнопку Search Files и подождите.
  • Программа создаст лог-файл (Search.txt). Пожалуйста, прикрепите его в следующем сообщении!
 
 
 

Объясните, пожалуйста, понятным обычному пользователю языком - ждать расшифровки или нет?

Спросите в своем запросе в личном кабинете.

 

Так кому верить??? 

Техподдержке. Каждый случай индивидуален. Если кого-то расшифровали, то не думайте, что всех можно расшифровать. 

 

Artem Metra

Artem Metra

Опубликовано
  • Автор
Опубликовано

я не видел ни одного человека кому расшифровали да винчи

реально так сложно или просто все молчат?

mike 1

mike 1

Опубликовано
Опубликовано

 

 

реально так сложно или просто все молчат?

Не все считают нужным отписываться у себя в теме. Отчет пришлите.

Artem Metra

Artem Metra

Опубликовано
  • Автор
Опубликовано

Только на D и зашифрованы. Пока этот комп не под рукой. Вечером подсчитаю и напишу.


Скажите, пожалуйста, а расшифровка возможна если мониторинг активности был включен или он бы просто не дал вирусу зашифровать?

mike 1

mike 1

Опубликовано
Опубликовано

Я не могу ответить на этот вопрос, пока не буду знать точное количество зашифрованных файлов. 

Artem Metra

Artem Metra

Опубликовано
  • Автор
Опубликовано

Точное количество зашифрованных файлов 12 300, все на диске D. 

mike 1

mike 1

Опубликовано
Опубликовано

В этот период наблюдается разрыв в сборе логов: 01/11/2016 22:56:00 - 01/11/2016 23:24:07.

В 01/11/2016 23:26:33 был детект PDM:Trojan.Win32.Bazon.a на файл: C:\Users\VAIO\AppData\Roaming\0cd0b27caf582aae56db3f715e11cc66d0a5e9e5.crypt.exe (MD5: cc74cc3b9fb1709458e7aed43e4894a4) за то, что он в зоне Bad по KSN (с 21 октября). По детекту вредоносный процесс был завершён в 01/11/2016 23:24:55 и шифрования не производил.

Из этого можно сделать вывод, что в период 01/11/2016 22:56:00 - 01/11/2016 23:20:00 антивирус не был включен, либо были отключены важные модули антивируса. 

 

если мониторинг активности был включен или он бы просто не дал вирусу зашифровать?

Этот модуль откатывает действия вредоносной программы и из резервных копий восстанавливает файлы, но возможна погрешность в несколько зашифрованных файлов. Работает это все дело примерно так:

 

Artem Metra

Artem Metra

Опубликовано
  • Автор
Опубликовано

Спасибо! Теперь понятно.

В некоторых постах Вы говорите, что решение будет через 2 месяца.

Стоит ли ждать?

mike 1

mike 1

Опубликовано
Опубликовано

Я нигде не писал, что через два месяца будет расшифровка.

Artem Metra

Artem Metra

Опубликовано
  • Автор
Опубликовано
спасибо за консультацию!

обзвонил несколько фирм, предлагающих расшифровку файлов.

отмёл тех, кто просит предоплату. Приехал мастер и всё расшифровал за 3 часа.

кому нужно - пишите в личку, поделюсь.
Andrewww

Andrewww

Опубликовано
Опубликовано (изменено)

Получил сегодня ответ от Касперского, цитирую:

 

Уважаемый пользователь, мы получили следующий ответ от разработчика:

"Логи содержат события за период (время UTC): 01/11/2016 22:46:07 - 05/11/2016 16:36:31....

 

- И 1 ноября 23:00 входит в указанный интервал!

 

 

Шифрование в логах не зафиксировано.

Судя по зашифрованным файлам, это произошло 1 ноября 23:00 (UTC).

 

В этот период наблюдается разрыв в сборе логов: 01/11/2016 22:56:00 - 01/11/2016 23:24:07.

- Вполне достаточно для работы шифровальщика - около 30 минут!

 

 

Artem Metra сказал(а) 25 Ноя 2016 - 19:15:

В 01/11/2016 23:26:33 был детект PDM:Trojan.Win32.Bazon.a на файл: C:\Users\VAIO\AppData\Roaming\0cd0b27caf582aae56db3f715e11cc66d0a5e9e5.crypt.exe (MD5: cc74cc3b9fb1709458e7aed43e4894a4) за то, что он в зоне Bad по KSN (с 21 октября). По детекту вредоносный процесс был завершён в 01/11/2016 23:24:55 и шифрования не производил.

 

- А теперь: внимание! Детект-то был зафиксирован... Но примерно на две с половиной минуты позже окончания работы шифровальщика (= возобновления логов). 

И ещё одно внимание! Завершение по детекту произошло на полторы минуты раньше самогО детекта (!!)

 

 

Artem Metra сказал(а) 25 Ноя 2016 - 19:15:

Присланный Вами вредоносный файл детектируется сигнатурно с 21 октября (Trojan-Ransom.Win32.Shade.kyn), с 24 октября эвристически: HEUR:Trojan.Win32.Generic. Этих детектов в логах не обнаружено, значит на устройстве пользователя антивирусные базы давно не обновлялись."

 

- Я так считаю: если этих детектов в логах не обнаружено, надо предположить, что вредоносный процесс может отключать ведение логов! После этого всё выглядит гораздо логичнее и - проще! Иначе откуда взялись 12,3 тысячи зашифрованных файлов?! Это совсем не похоже на мультфильм из 24-го поста...

 

PS Прошу извинить за столь сбивчивое цитирование.  Поправил, как мог. И опечатки!

Изменено пользователем Andrewww
mike 1

mike 1

Опубликовано
Опубликовано

 

 

- Вполне достаточно для работы шифровальщика - около 30 минут!

Судя по тому, что пишет сотрудник техподдержки, то логично предположить, что в этот период времени антивирус был отключен, либо был отключен ключевой модуль защиты "Мониторинг активности". 

 

 

 

- А теперь: внимание! Детект-то был зафиксирован... Но примерно на две с половиной минуты позже окончания работы шифровальщика (= возобновления логов). 

Возможно после того как вы или кто другой заметил, что шифровальщик отработал до конца, просто включили антивирус. 

 

 

 

- Я так считаю: если этих детектов в логах не обнаружено, надо предположить, что вредоносный процесс может отключать ведение логов! После этого всё выглядит гораздо логичнее и - проще! Иначе откуда взялись 12,5 тысяч зашифрованных файлов?

Не может. Самозащита антивируса не даст этого сделать (если конечно вы ее не отключили в антивирусе).

 

Если не верите, то можете восстановить файл шифровальщика из карантина и я в новом видео на примере вашего присланного файла это наглядно покажу.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vovans
      xtbl
      Автор vovans
      Здравствуйте! Вирус шифровальщик зашифровал весь домашний фото и видеоархив.Сын удалил все вирусы и переустановил Винду.
      Название вируса не сохранил,не знаю что делать. Может есть какая надежда. Стоит Anti-virus 6.0 1688-000451-1CAB33D7.
      ++ESOAXTI-mH+-uhRET6nBLflYWVIDFR6Q7o9t-sNgI=.56697943D750721BF718.xtbl.zip
    • avanGARd62
      Вирус зашифровал файлы в *XTBL
      Автор avanGARd62
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL. На рабочем столе создалось несколько файлов README, в которых содержится призыв отправить злоумышленникам на e-mail код для получения дальнейших инструкций.
      Прикрепляю лог, полученный при сканировании (согласно инструкции).
       
      Пожалуйста, помогите.
      CollectionLog-2015.08.13-23.13.zip
    • Людмила 84
      Файлы зашифрованы в формат XTBL
      Автор Людмила 84
      Файлы зашифрованы в формат XTBL, нужен,как вернуть их в прежний формат. Проблема появилась после скачивания книги с непонятным форматом. Вкладываю в сообщение файл протоколов (логов) CollectionLog-2015.08.15-11.17.zip. Обнаружен файл txt с текстом: Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 77CF48B1169A0CBE123D|79|2|2 на электронный адрес decodefiles1@gmail.com или decodefiles@india.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 77CF48B1169A0CBE123D|79|2|2 to e-mail address decodefiles1@gmail.com or decodefiles@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your dat CollectionLog-2015.08.15-11.17.zip
    • wild_difi
      файлы зашифрованы в *XTBL
      Автор wild_difi
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL.Так же на рабочем столе присутствуют файлы readme с инструкцией отправки кода но почту!Прикрепляю лог, полученный при сканировании (согласно инструкции).
      Помогите
      CollectionLog-2015.08.15-02.47.zip
    • warg24
      Шифровка всех важных файлов компьютера неведомой заразой.
      Автор warg24
      Ребята кто нибудь, помогите. Включил вечером комп. начались проблемы. Сначала не удавалось к сети интернет подключиться, все запрашивал пароль от wi-fi. Потом через некоторое время появилась черная заставка с неприятным текстом от том что все файлы были зашифрованы((( все они теперь с расширением xtbl... Также имеются текстовые файлы с таким вот текстом. 
       
       Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: FAA4417C82D5F25AC88F|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: FAA4417C82D5F25AC88F|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     Что делать? Подскажите!
×
×
  • Создать...