Перейти к содержанию

DA_VANCI_CODE помогите дешифровать

Денис Корытов

Автор Денис Корытов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Денис Корытов

Денис Корытов

Опубликовано
Опубликовано

Доброго времени суток. Наша организация является пользователем лицензионного KES.

Сегодня девушка схватила шифровальщик da_vinci_code.

Помогите расшифровать файлы. Пример файла прикреплен.

2LaEfv1daa-6xPyeB4HM+f+MycE6+JJ3mipDREcf+dw=.D7DAC6E335DD141BFEE7.rar

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
Денис Корытов

Денис Корытов

Опубликовано
  • Автор
Опубликовано

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

Сделано!

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\hnnladjidikdgfhpendflknomodcbolj [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-09-13]

CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx

2016-11-14 11:00 - 2016-11-14 14:23 - 00000000 __SHD C:\Users\Все пользователи\Csrss

2016-11-14 11:00 - 2016-11-14 14:23 - 00000000 __SHD C:\ProgramData\Csrss

2016-11-14 10:42 - 2016-11-14 10:42 - 03888054 _____ C:\Users\kuzhuget\AppData\Roaming\CF76911BCF76911B.bmp

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README9.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README8.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README7.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README6.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README5.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README4.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README3.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README2.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README10.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README1.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README9.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README8.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README7.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README6.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README5.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README4.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README3.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README2.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README10.txt

2016-11-11 12:36 - 2016-11-14 11:00 - 00000000 __SHD C:\Users\Все пользователи\System32

2016-11-11 12:36 - 2016-11-14 11:00 - 00000000 __SHD C:\ProgramData\System32

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README9.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README8.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README7.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README6.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README5.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README4.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README3.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README2.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README10.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README1.txt

2016-11-11 12:25 - 2016-11-14 14:23 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-11-11 12:25 - 2016-11-14 14:23 - 00000000 __SHD C:\ProgramData\Windows

C:\Users\kuzhuget\AppData\Local\Temp\GLB1A2B.EXE

Task: {B436B935-DBB1-41D4-B1F9-89FE45278769} - \Realtek HD Audio -> No File <==== ATTENTION

MSCONFIG\startupreg: Client Server Runtime Subsystem => "C:\ProgramData\Windows\csrss.exe"

MSCONFIG\startupreg: CSRSS => "C:\ProgramData\Drivers\csrss.exe"

MSCONFIG\startupreg: NetworkSubsystem => "C:\ProgramData\Csrss\csrss.exe"



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты
Денис Корытов

Денис Корытов

Опубликовано
  • Автор
Опубликовано

Случайно 2 раза сделал процедуру Fix. Надеюсь ничего страшного? На рабочем столе файл *дата_время* не появлялся.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Денис Корытов

Денис Корытов

Опубликовано
  • Автор
Опубликовано

Обязательно запрос через корпоративный сайт создавать? Или можно через my.kaspersky.com ? Просто на корпоративном какие то проблемы с регистрацией.  Я сапортам написал, но когда они ответят - не известно.

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

 

 

Наша организация является пользователем лицензионного KES.

У вас корпоративный антивирус используется. 

 

 

 

Просто на корпоративном какие то проблемы с регистрацией.

Какие?

Ссылка на комментарий
Поделиться на другие сайты
Денис Корытов

Денис Корытов

Опубликовано
  • Автор
Опубликовано

вот моё письмо в саппорт 

Доброго времени.
Мы являемся пользователями вашего антивируса.
 
Есть необходимость зарегистрироваться на сайте /companyaccount.kaspersky.com для дешифровки наших файлов.
Но после регистрации при переходе по ссылке  из письма, то выходит ошибка приведенная ниже, то спрашивает создание пароля, а после него уже опять выходит ошибка приведенная ниже. в чем проблема? Помогите пожалуйста
 
Произошел неизвестный сбой при активации учетной записи

При активации учетной записи произошел неизвестный сбой. 
Пожалуйста, пройдите по ссылке еще раз. Если проблема повторится, пожалуйста, обратитесь по адресу companyaccount@kaspersky.com

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Андрей007090
      Помогите поймал шифровальщика плиссс
      Автор Андрей007090
      Помогите пожалуйста поймал шифровальщика 
      С и Д диски оба зашифрованы 
      С - переустановил 
      Д остался там все данные что нужны 
      Помогите  пожалуйста фото прикрепил 
       
      Что надо сделать что бы приложить суда коды ошибок или что именно зип архив ? 

    • HOUSEDause
      Помогите удалить вирус taskhost.exe
      Автор HOUSEDause
      Удалял вирус полностью и через безопасный режим, как только не пытался.
      Самовосстанавливается эта падлюка, хз, что делать, когда удаляю вирус и перезапускаю ПК, вижу, появляются много окон типа для запуска майнера, как я понял, powershell — одно из названий окон.
      Скорее всего подцепил когда устанавливал WORD ругался антивирус винды.
      ПОМОГИТИ
      Не скачиваются антивирусы
    • Jonnoton
      MEM:Trojan.Win64.Shellcode.gen помогите с удалением
      Автор Jonnoton
      Здравствуйте! Поймал в интернете указанный MEM:Trojan.Win64.Shellcode.gen. Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
       
      CollectionLog-2025.07.31-10.14.zip
    • Drozdovanton
      Помогите расшифровать данные cry lock
      Автор Drozdovanton
      Помогите пожалуйста расшифровать данные, прикрепить данные не могу так как ограничение по расширению файлов
    • w0r9en
      помогите с майнером Tool.BtcMine.2714
      Автор w0r9en
      Добрый день! Нашел и обезвредил с помощь cureit, потом сделал лог CollectionLog-2025.07.13-15.39.zip
×
×
  • Создать...