Шифровальщик da_vinci_code

[Lavi 0]

Доброго времени суток.
В школе секретарь подхватил шифровальщик Da vinci code

Надеемся на вашу помощь.

CollectionLog-2016.11.09-12.26.zip

Изменено 9 ноября, 2016 пользователем Lavi

[Sandor 1 253]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Lavi 0]

Сделано. KLAN-5317500619

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Данные файлы имеют безопасный формат:
bcqr00001.ini
bcqr00002.ini

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

CollectionLog-2016.11.10-11.14.zip

[Sandor 1 253]

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Lavi 0]

сделано

Addition.txt

FRST.txt

Shortcut.txt

[Sandor 1 253]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-11-09 09:36 - 2016-11-09 09:36 - 06220854 _____ C:\Users\admin\AppData\Roaming\4D48D3624D48D362.bmp
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\Public\Desktop\README9.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\Public\Desktop\README8.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\Public\Desktop\README7.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\Public\Desktop\README6.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\Public\Desktop\README5.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\Public\Desktop\README4.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\Public\Desktop\README3.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\Public\Desktop\README2.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\Public\Desktop\README10.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\Public\Desktop\README1.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\admin\Desktop\README9.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\admin\Desktop\README8.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\admin\Desktop\README7.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\admin\Desktop\README6.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\admin\Desktop\README5.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\admin\Desktop\README4.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\admin\Desktop\README3.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\admin\Desktop\README2.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\admin\Desktop\README10.txt
2016-11-09 09:36 - 2016-11-09 09:36 - 00004190 _____ C:\Users\admin\Desktop\README1.txt
2016-11-08 15:52 - 2016-11-08 15:52 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-11-08 15:52 - 2016-11-08 15:52 - 00000000 __SHD C:\ProgramData\System32
2016-11-08 15:51 - 2016-11-09 11:35 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-11-08 15:51 - 2016-11-09 11:35 - 00000000 __SHD C:\ProgramData\Windows
2016-11-08 15:52 - 2015-08-31 08:39 - 00004190 _____ C:\README9.txt
2016-11-08 15:52 - 2015-08-31 08:39 - 00004190 _____ C:\README8.txt
2016-11-08 15:52 - 2015-08-31 08:39 - 00004190 _____ C:\README7.txt
2016-11-08 15:52 - 2015-08-31 08:39 - 00004190 _____ C:\README6.txt
2016-11-08 15:52 - 2015-08-31 08:39 - 00004190 _____ C:\README5.txt
2016-11-08 15:52 - 2015-08-31 08:39 - 00004190 _____ C:\README4.txt
2016-11-08 15:52 - 2015-08-31 08:39 - 00004190 _____ C:\README3.txt
2016-11-08 15:52 - 2015-08-31 08:39 - 00004190 _____ C:\README2.txt
2016-11-08 15:52 - 2015-08-31 08:39 - 00004190 _____ C:\README10.txt
2016-11-08 15:52 - 2015-08-31 08:39 - 00004190 _____ C:\README1.txt
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Антивирус Касперского 6.0 для Windows Workstations Version: 6.0.4.1424 - версия устаревшая, больше не поддерживается. Обновите до KES10

[Lavi 0]

Сделано.
По поводу Касперского. Обновляется напрямую через программу?
P.S. у нас корпоративный ключ на 6 компьютеров, он не слетит?

Fixlog.txt

[Sandor 1 253]

Обновляется напрямую через программу?

Нет. Если используете KSC, через него сначала удалите старую, затем установите новую. Если нет, делайте то же самое локально на каждом компьютере.

ключ на 6 компьютеров, он не слетит?

Этот же ключ, если не просрочен, подойдет.

 

Создайте запрос на расшифровку.

[Lavi 0]

Запрос на расшифровку создал вчера. Сегодня отослал им зашифрованный файл, ссылку на возможно зараженный файл(который открыли и зашифровали) и "требования" злоумышленника. Ну и все требования которые по стандарту были описаны

[Sandor 1 253]

До завершения не удаляйте папку C:\FRST

[Lavi 0]

Написали что помочь не могут

Присланные файлы были зашифрованы модификацией Trojan-Ransom.Win32.Shade.
В настоящее время, к сожалению, нет возможности расшифровать файлы. При шифровании данных, злоумышленники использовали обновленные алгоритмы шифрования, которые на текущий момент не поддаются расшифровке без уникального ключа, который хранится на серверах злоумышленников.

Изменено 10 ноября, 2016 пользователем Lavi

[Sandor 1 253]

Смените важные пароли.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Ознакомьтесь со статьей.

[Lavi 0]

извиняюсь за столь долгий ответ - не рабочие дни были, 14.11.16г пришлю все что требуется.

[Lavi 0]

Сделано

SecurityCheck.txt

[Sandor 1 253]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Silverlight v.4.0.50401.0 Внимание! Скачать обновления

OpenOffice.org 3.3 v.3.3.9567 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 7 Update 25 v.7.0.250 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u112-windows-i586.exe).

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 10 Plugin v.10.0.32.18 Внимание! Скачать обновления

Adobe Reader X (10.1.3) - Russian v.10.1.3 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.

------------------------------- [ Browser ] -------------------------------

Google Chrome v.54.0.2840.87 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

Mozilla Firefox 8.0 (x86 ru) v.8.0 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

 

 

На заметку: Рекомендации после удаления вредоносного ПО