Перейти к содержанию

DA_VANCI_CODE помогите дешифровать

Денис Корытов

Автор Денис Корытов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Денис Корытов

Денис Корытов

Опубликовано
Опубликовано

Доброго времени суток. Наша организация является пользователем лицензионного KES.

Сегодня девушка схватила шифровальщик da_vinci_code.

Помогите расшифровать файлы. Пример файла прикреплен.

2LaEfv1daa-6xPyeB4HM+f+MycE6+JJ3mipDREcf+dw=.D7DAC6E335DD141BFEE7.rar

mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Денис Корытов

Денис Корытов

Опубликовано
  • Автор
Опубликовано

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

Сделано!

Addition.txt

FRST.txt

mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\hnnladjidikdgfhpendflknomodcbolj [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-09-13]

CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx

2016-11-14 11:00 - 2016-11-14 14:23 - 00000000 __SHD C:\Users\Все пользователи\Csrss

2016-11-14 11:00 - 2016-11-14 14:23 - 00000000 __SHD C:\ProgramData\Csrss

2016-11-14 10:42 - 2016-11-14 10:42 - 03888054 _____ C:\Users\kuzhuget\AppData\Roaming\CF76911BCF76911B.bmp

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README9.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README8.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README7.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README6.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README5.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README4.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README3.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README2.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README10.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README1.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README9.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README8.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README7.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README6.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README5.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README4.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README3.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README2.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README10.txt

2016-11-11 12:36 - 2016-11-14 11:00 - 00000000 __SHD C:\Users\Все пользователи\System32

2016-11-11 12:36 - 2016-11-14 11:00 - 00000000 __SHD C:\ProgramData\System32

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README9.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README8.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README7.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README6.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README5.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README4.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README3.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README2.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README10.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README1.txt

2016-11-11 12:25 - 2016-11-14 14:23 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-11-11 12:25 - 2016-11-14 14:23 - 00000000 __SHD C:\ProgramData\Windows

C:\Users\kuzhuget\AppData\Local\Temp\GLB1A2B.EXE

Task: {B436B935-DBB1-41D4-B1F9-89FE45278769} - \Realtek HD Audio -> No File <==== ATTENTION

MSCONFIG\startupreg: Client Server Runtime Subsystem => "C:\ProgramData\Windows\csrss.exe"

MSCONFIG\startupreg: CSRSS => "C:\ProgramData\Drivers\csrss.exe"

MSCONFIG\startupreg: NetworkSubsystem => "C:\ProgramData\Csrss\csrss.exe"



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Денис Корытов

Денис Корытов

Опубликовано
  • Автор
Опубликовано

Случайно 2 раза сделал процедуру Fix. Надеюсь ничего страшного? На рабочем столе файл *дата_время* не появлялся.

Fixlog.txt

Денис Корытов

Денис Корытов

Опубликовано
  • Автор
Опубликовано

Обязательно запрос через корпоративный сайт создавать? Или можно через my.kaspersky.com ? Просто на корпоративном какие то проблемы с регистрацией.  Я сапортам написал, но когда они ответят - не известно.

mike 1

mike 1

Опубликовано
Опубликовано

 

 

Наша организация является пользователем лицензионного KES.

У вас корпоративный антивирус используется. 

 

 

 

Просто на корпоративном какие то проблемы с регистрацией.

Какие?

Денис Корытов

Денис Корытов

Опубликовано
  • Автор
Опубликовано

вот моё письмо в саппорт 

Доброго времени.
Мы являемся пользователями вашего антивируса.
 
Есть необходимость зарегистрироваться на сайте /companyaccount.kaspersky.com для дешифровки наших файлов.
Но после регистрации при переходе по ссылке  из письма, то выходит ошибка приведенная ниже, то спрашивает создание пароля, а после него уже опять выходит ошибка приведенная ниже. в чем проблема? Помогите пожалуйста
 
Произошел неизвестный сбой при активации учетной записи

При активации учетной записи произошел неизвестный сбой. 
Пожалуйста, пройдите по ссылке еще раз. Если проблема повторится, пожалуйста, обратитесь по адресу companyaccount@kaspersky.com

mike 1

mike 1

Опубликовано
Опубликовано

Попробуйте использовать другую электронную почту при регистрации в Kaspersky Company. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AdMec-Shambler
      шифровальщик da_vinci_code
      Автор AdMec-Shambler
      Добрый день.
      На ПК поработал шифровальщик da_vinci_code. Есть мнение, что впервые шифровальщик поработал ещё летом этого года.
      На машине установлен Avast - я остановил его службу, брэндмауэр windows отключен.
      Kaspersky Virus Removal Tool 2015 ничего не показал. AutoLogger (версия от 18-11-2015) запускает 2 браузера, работает ещё какое-то время и затем просто вылетает. Создает дамп-файлы в AutoLogger\CrashDumps.
       
      Соответственно, CollectionLogs сделать нет возможности. Запустил HiJack и RSIT - во вложениях. 
      Файлы report1 и report2 от autologger-а.
      Каковы дальнейшие действия?
      HiJackThis.log
      info.txt
      log.txt
      report1.log
      report2.log
    • devital
      Поймал код да винчи
      Автор devital
      Поймал код да винчи.
      После скана на предмет вирусов обнаружился csrss.exe .
      Я его удалил.
      Все файлы на всех дисках закодированы.
      Просил помощи у virusinfo ,выполнял их рекомендации.
      Но после всех манипуляция , сканирования и отсылки логов они сказали , что помочь не могут.
      Обратился к "деятелям" кто запустил эту гадость , они сказали что расшифровка стоит денег , просили прислать пробный ф-л для раскодировки, выслал ф-л  , они раскодировали.
      Оплатил лицензию на пакет антивирус Касперского.
      Прошу помочь.
       
      Письмо от ублюдков в приложении и один из закодированных файлов тоже.
      README1.txt
    • Gelenna
      Шифровальщик "DA_VINCI_CODE"
      Автор Gelenna
      Здравствуйте! 8 ноября 2016 года на мою корпоративную почту пришло письмо от "БУХГАЛТЕРИЯ", и я раскрыла это письмо, сразу распаковалась программка и на компе до выключения ничего не случилось, а только на следующий день все файлы оказались зашифрованными, но комп был не очень важным и мы его переформатировали и все, но к нему был подключен - внешний жесткий диск на террабайт памяти и вот он тоже зашифровался и с ним ничего сделать не смогли, пока в мастерской не подсказали, что в Лаборатории Касперского могут помочь. Как быть? Спасибо.
      CollectionLog-2017.01.10-11.47.zip
    • Elly
      Викторина по шифровальщикам и дешифровке. Правила
      Автор Elly
      Друзья! 
       
      На нашем форуме существует отдельный раздел для борьбы с шифровальщиками, куда нередко обращаются пострадавшие пользователи. Для повышения информированности о данной теме мы создали викторину, посвященную шифровальщикам и методам их дешифровки.
      Данная викторина – это интерактивный тест, который поможет вам разобраться в угрозах, связанных с шифровальщиками. Готовы проверить свои знания и умения в области информационной безопасности? У вас есть возможность помериться силами с другими участниками и узнать, насколько хорошо вы знакомы с утилитами "Лаборатории Касперского" от вирусов-шифровальщиков, указанных на сайте Noransom. Исследуйте разнообразные вопросы о механизмах работы шифровальщиков и приемах, используемых для их нейтрализации. Идеально подходит как для новичков, так и для более опытных пользователей, желающих обновить свои знания.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1500 баллов Одна ошибка — 1000 баллов Две ошибки — 700 баллов  
      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 20:00 27.01.2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @kmscom(пользователей @Friend и @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответ будет дан в рамках созданной переписки, коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • Monkkka
      Зашифрованы файлы , trojan.ransom.generic
      Автор Monkkka
      Вирус :trojan.ransom.generic зашифровал файлы. Файлы стали иметь расширение , которые представляет собой набор букв и цирф. (.odkf .3y64 .7412 и тп.). Пробовал обращаться в тех. поддержку, юзать разные дешифраторы - не помогло. README.txt ниже. Как расшифровать данные файлы?!


      На китайский язык не обращайте внимания, я поставил его сам, в личных целях

×
×
  • Создать...