DA_VANCI_CODE помогите дешифровать

[Денис Корытов]

Доброго времени суток. Наша организация является пользователем лицензионного KES.

Сегодня девушка схватила шифровальщик da_vinci_code.

Помогите расшифровать файлы. Пример файла прикреплен.

2LaEfv1daa-6xPyeB4HM+f+MycE6+JJ3mipDREcf+dw=.D7DAC6E335DD141BFEE7.rar

[thyrex]

Выполните правила

[Денис Корытов]

Выполните правила

Вот логи.

CollectionLog-2016.11.14-16.47.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Денис Корытов]

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Сделано!

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\hnnladjidikdgfhpendflknomodcbolj [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-09-13]

CHR Extension: (No Name) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-09-13]

CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx

2016-11-14 11:00 - 2016-11-14 14:23 - 00000000 __SHD C:\Users\Все пользователи\Csrss

2016-11-14 11:00 - 2016-11-14 14:23 - 00000000 __SHD C:\ProgramData\Csrss

2016-11-14 10:42 - 2016-11-14 10:42 - 03888054 _____ C:\Users\kuzhuget\AppData\Roaming\CF76911BCF76911B.bmp

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README9.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README8.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README7.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README6.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README5.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README4.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README3.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README2.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README10.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\Public\Desktop\README1.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README9.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README8.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README7.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README6.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README5.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README4.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README3.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README2.txt

2016-11-14 10:42 - 2016-11-14 10:42 - 00004178 _____ C:\Users\kuzhuget\Desktop\README10.txt

2016-11-11 12:36 - 2016-11-14 11:00 - 00000000 __SHD C:\Users\Все пользователи\System32

2016-11-11 12:36 - 2016-11-14 11:00 - 00000000 __SHD C:\ProgramData\System32

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README9.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README8.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README7.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README6.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README5.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README4.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README3.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README2.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README10.txt

2016-11-11 12:36 - 2016-11-11 12:36 - 00004178 _____ C:\README1.txt

2016-11-11 12:25 - 2016-11-14 14:23 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-11-11 12:25 - 2016-11-14 14:23 - 00000000 __SHD C:\ProgramData\Windows

C:\Users\kuzhuget\AppData\Local\Temp\GLB1A2B.EXE

Task: {B436B935-DBB1-41D4-B1F9-89FE45278769} - \Realtek HD Audio -> No File <==== ATTENTION

MSCONFIG\startupreg: Client Server Runtime Subsystem => "C:\ProgramData\Windows\csrss.exe"

MSCONFIG\startupreg: CSRSS => "C:\ProgramData\Drivers\csrss.exe"

MSCONFIG\startupreg: NetworkSubsystem => "C:\ProgramData\Csrss\csrss.exe"

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
  

 

 

[Денис Корытов]

Случайно 2 раза сделал процедуру Fix. Надеюсь ничего страшного? На рабочем столе файл *дата_время* не появлялся.

Fixlog.txt

[mike 1]

Пишите запрос  https://forum.kasperskyclub.ru/index.php?showtopic=48525. Смените все пароли.

[Денис Корытов]

Обязательно запрос через корпоративный сайт создавать? Или можно через my.kaspersky.com ? Просто на корпоративном какие то проблемы с регистрацией.  Я сапортам написал, но когда они ответят - не известно.

[mike 1]

 

 

Наша организация является пользователем лицензионного KES.

У вас корпоративный антивирус используется. 

 

 

 

Просто на корпоративном какие то проблемы с регистрацией.

Какие?

[Денис Корытов]

вот моё письмо в саппорт 

Доброго времени.

Мы являемся пользователями вашего антивируса.

 

Есть необходимость зарегистрироваться на сайте /companyaccount.kaspersky.com для дешифровки наших файлов.

Но после регистрации при переходе по ссылке  из письма, то выходит ошибка приведенная ниже, то спрашивает создание пароля, а после него уже опять выходит ошибка приведенная ниже. в чем проблема? Помогите пожалуйста

 

Произошел неизвестный сбой при активации учетной записи

При активации учетной записи произошел неизвестный сбой. 
Пожалуйста, пройдите по ссылке еще раз. Если проблема повторится, пожалуйста, обратитесь по адресу companyaccount@kaspersky.com

[mike 1]

Попробуйте использовать другую электронную почту при регистрации в Kaspersky Company. 

[Денис Корытов]

Номер запроса.

INC000006969708