Помогите расшифровать .da_vinchi_code вирус не успел доработать [Shade Ransomware]

[Improg]

Вирус создал кучу файлов с раширением da_vinchi_code. Доработать не успел, был удален через диспетчер задач, а затем удален файл вируса в C:\Users\All Users\Application Data\windows.

Естественно, бекапов никто не делал. Диск C: не пострадал, вирус начал с логического диска D:, на котором 90 Гб рабочей информации, преимущественно - .doc файлы. Пострадала какая-то часть.

Установленная тут же пробная копия eset nod32 вирус не видит в упор, даже если файл вируса записывать в каталог в единичном экземпляре и проверять. CurIt похоже тоже его не нашел.

Если надо, могу файл вируса закинуть отдельно архивом.

Есть ли возможность расшифровать файлы? При поиске eset нашел кучу файлов в C:\Users\All Users\Microsoft\Crypto\RSA\MachineKeys к которым нет доступа. Может оно и есть, есть, чем расшифровывать?

CollectionLog-2016.11.17-14.17.zip

[mike 1]

Скрипт из письма упакуйте в архив с паролем virus и отправьте мне на почту.

 

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[Improg]

Вирус в почту закинул. По дальнейшему исследованию компьютера - откладывается до вечера, так как произошло это на компьютере у начальника, он уже работает дальше.

[mike 1]

Я скрипт просил прислать на почту. 

[Improg]

Тогда что есть скрипт?

Выполнено. Заразы очищать в advcleaner?

AdwCleanerS0.txt

[mike 1]

Выполните этот  http://safezone.cc/threads/kak-polnostju-ustranit-problemu-svjazannuju-s-nastrojkami-avtomaticheskogo-obnovlenija.9188/ скрипт.

 

 

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[Improg]

Извините за задержку, только сейчас получил доступ к этому компьютеру.

Расшифровка файлов после давинчи по прежнему актуальна.

AdwCleanerC0.txt

Correct_wuauserv&BITS.log

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Improg]

Сделано.

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CloseProcesses:
  S2 Update lookinglink; "C:\Program Files (x86)\lookinglink\updatelookinglink.exe" [X]
  2016-11-17 10:49 - 2016-11-17 14:23 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2016-11-17 10:49 - 2016-11-17 14:23 - 00000000 __SHD C:\ProgramData\Windows
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[Improg]

Архивов после перезагрузки на рабочем столе не обнаружено.

Fixlog.txt

[mike 1]

Восстанавливайте что сможете  http://virusinfo.info/showthread.php?t=156188&p=1252582&viewfull=1#post1252582

 

AV: ESET NOD32 Antivirus 10.0.369.1 (Enabled - Up to date) {EC1D6F37-E411-475A-DF50-12FF7FE4AC70}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку своего вендора.

[Improg]

Резервное копирование на логическом диске D не было включено. Эти способы расшифровки, как и поиск удаленных файлов, я пробовал до обращения на этот форум.

Кроме того, теперь начальник пожаловался, что отказала почта. Включил комп посмотреть - он не грузится.

[mike 1]

Кроме того, теперь начальник пожаловался, что отказала почта. Включил комп посмотреть - он не грузится.

Судя по сообщению №11 проблем с загрузкой у вас не было после выполнения скрипта.

 

Резервное копирование на логическом диске D не было включено. Эти способы расшифровки, как и поиск удаленных файлов, я пробовал до обращения на этот форум.

За расшифровкой обращайтесь в техподдержку своего вендора. 

[Improg]

Кто есть вендор?