mike 1 1 044 Опубликовано 25 ноября, 2016 Share Опубликовано 25 ноября, 2016 Запустите Farbar Recovery Scan Tool двойным щелчком от имени Администратора. Когда программа запустится, скопируйте следующую информацию в окно поиска: *.da_vinci_code Нажмите кнопку Search Files и подождите. Программа создаст лог-файл (Search.txt). Пожалуйста, прикрепите его в следующем сообщении! Объясните, пожалуйста, понятным обычному пользователю языком - ждать расшифровки или нет? Спросите в своем запросе в личном кабинете. Так кому верить??? Техподдержке. Каждый случай индивидуален. Если кого-то расшифровали, то не думайте, что всех можно расшифровать. Ссылка на сообщение Поделиться на другие сайты
Artem Metra 0 Опубликовано 26 ноября, 2016 Автор Share Опубликовано 26 ноября, 2016 я не видел ни одного человека кому расшифровали да винчи реально так сложно или просто все молчат? Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 26 ноября, 2016 Share Опубликовано 26 ноября, 2016 реально так сложно или просто все молчат? Не все считают нужным отписываться у себя в теме. Отчет пришлите. Ссылка на сообщение Поделиться на другие сайты
Artem Metra 0 Опубликовано 26 ноября, 2016 Автор Share Опубликовано 26 ноября, 2016 Высылаю отчет Search.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 26 ноября, 2016 Share Опубликовано 26 ноября, 2016 Сколько файлов на диске D зашифрованных? Ссылка на сообщение Поделиться на другие сайты
Artem Metra 0 Опубликовано 26 ноября, 2016 Автор Share Опубликовано 26 ноября, 2016 Только на D и зашифрованы. Пока этот комп не под рукой. Вечером подсчитаю и напишу. Скажите, пожалуйста, а расшифровка возможна если мониторинг активности был включен или он бы просто не дал вирусу зашифровать? Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 26 ноября, 2016 Share Опубликовано 26 ноября, 2016 Я не могу ответить на этот вопрос, пока не буду знать точное количество зашифрованных файлов. Ссылка на сообщение Поделиться на другие сайты
Artem Metra 0 Опубликовано 26 ноября, 2016 Автор Share Опубликовано 26 ноября, 2016 Точное количество зашифрованных файлов 12 300, все на диске D. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 26 ноября, 2016 Share Опубликовано 26 ноября, 2016 В этот период наблюдается разрыв в сборе логов: 01/11/2016 22:56:00 - 01/11/2016 23:24:07.В 01/11/2016 23:26:33 был детект PDM:Trojan.Win32.Bazon.a на файл: C:\Users\VAIO\AppData\Roaming\0cd0b27caf582aae56db3f715e11cc66d0a5e9e5.crypt.exe (MD5: cc74cc3b9fb1709458e7aed43e4894a4) за то, что он в зоне Bad по KSN (с 21 октября). По детекту вредоносный процесс был завершён в 01/11/2016 23:24:55 и шифрования не производил. Из этого можно сделать вывод, что в период 01/11/2016 22:56:00 - 01/11/2016 23:20:00 антивирус не был включен, либо были отключены важные модули антивируса. если мониторинг активности был включен или он бы просто не дал вирусу зашифровать? Этот модуль откатывает действия вредоносной программы и из резервных копий восстанавливает файлы, но возможна погрешность в несколько зашифрованных файлов. Работает это все дело примерно так: Ссылка на сообщение Поделиться на другие сайты
Artem Metra 0 Опубликовано 27 ноября, 2016 Автор Share Опубликовано 27 ноября, 2016 Спасибо! Теперь понятно. В некоторых постах Вы говорите, что решение будет через 2 месяца. Стоит ли ждать? Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 27 ноября, 2016 Share Опубликовано 27 ноября, 2016 Я нигде не писал, что через два месяца будет расшифровка. Ссылка на сообщение Поделиться на другие сайты
Artem Metra 0 Опубликовано 28 ноября, 2016 Автор Share Опубликовано 28 ноября, 2016 спасибо за консультацию! обзвонил несколько фирм, предлагающих расшифровку файлов. отмёл тех, кто просит предоплату. Приехал мастер и всё расшифровал за 3 часа. кому нужно - пишите в личку, поделюсь. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 28 ноября, 2016 Share Опубликовано 28 ноября, 2016 Вы лучше напишите сколько с вас денег взяли. Ссылка на сообщение Поделиться на другие сайты
Andrewww 0 Опубликовано 2 декабря, 2016 Share Опубликовано 2 декабря, 2016 (изменено) Получил сегодня ответ от Касперского, цитирую: Уважаемый пользователь, мы получили следующий ответ от разработчика: "Логи содержат события за период (время UTC): 01/11/2016 22:46:07 - 05/11/2016 16:36:31.... - И 1 ноября 23:00 входит в указанный интервал! Шифрование в логах не зафиксировано. Судя по зашифрованным файлам, это произошло 1 ноября 23:00 (UTC). В этот период наблюдается разрыв в сборе логов: 01/11/2016 22:56:00 - 01/11/2016 23:24:07. - Вполне достаточно для работы шифровальщика - около 30 минут! Artem Metra сказал(а) 25 Ноя 2016 - 19:15: В 01/11/2016 23:26:33 был детект PDM:Trojan.Win32.Bazon.a на файл: C:\Users\VAIO\AppData\Roaming\0cd0b27caf582aae56db3f715e11cc66d0a5e9e5.crypt.exe (MD5: cc74cc3b9fb1709458e7aed43e4894a4) за то, что он в зоне Bad по KSN (с 21 октября). По детекту вредоносный процесс был завершён в 01/11/2016 23:24:55 и шифрования не производил. - А теперь: внимание! Детект-то был зафиксирован... Но примерно на две с половиной минуты позже окончания работы шифровальщика (= возобновления логов). И ещё одно внимание! Завершение по детекту произошло на полторы минуты раньше самогО детекта (!!) Artem Metra сказал(а) 25 Ноя 2016 - 19:15: Присланный Вами вредоносный файл детектируется сигнатурно с 21 октября (Trojan-Ransom.Win32.Shade.kyn), с 24 октября эвристически: HEUR:Trojan.Win32.Generic. Этих детектов в логах не обнаружено, значит на устройстве пользователя антивирусные базы давно не обновлялись." - Я так считаю: если этих детектов в логах не обнаружено, надо предположить, что вредоносный процесс может отключать ведение логов! После этого всё выглядит гораздо логичнее и - проще! Иначе откуда взялись 12,3 тысячи зашифрованных файлов?! Это совсем не похоже на мультфильм из 24-го поста... PS Прошу извинить за столь сбивчивое цитирование. Поправил, как мог. И опечатки! Изменено 2 декабря, 2016 пользователем Andrewww Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 2 декабря, 2016 Share Опубликовано 2 декабря, 2016 - Вполне достаточно для работы шифровальщика - около 30 минут! Судя по тому, что пишет сотрудник техподдержки, то логично предположить, что в этот период времени антивирус был отключен, либо был отключен ключевой модуль защиты "Мониторинг активности". - А теперь: внимание! Детект-то был зафиксирован... Но примерно на две с половиной минуты позже окончания работы шифровальщика (= возобновления логов). Возможно после того как вы или кто другой заметил, что шифровальщик отработал до конца, просто включили антивирус. - Я так считаю: если этих детектов в логах не обнаружено, надо предположить, что вредоносный процесс может отключать ведение логов! После этого всё выглядит гораздо логичнее и - проще! Иначе откуда взялись 12,5 тысяч зашифрованных файлов? Не может. Самозащита антивируса не даст этого сделать (если конечно вы ее не отключили в антивирусе). Если не верите, то можете восстановить файл шифровальщика из карантина и я в новом видео на примере вашего присланного файла это наглядно покажу. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти