Вирус шифровальщик *.da_vinci_code

[symrak009]

Пришло письмо с вирусом, пользователь прошел по ссылке. В итоге имеются очень много зашифрованных файлов.

Проверил компьютер с лайвсд касперский removal tool, был обнаружены и удалены:

HEUR:Trojan.Script.Agent.gen

Trojan-Ransom.Win32.Shade.lcp

Сделал логи "автоматическим сборщиком логов"

сделал логи Farbar Recovery Scan Tool

 

PS: на компьютере установлен Kaspersky Endpoint Security 10, c лиц коммерчески ключем на 60 ПК

PSS: отправил Вредоносное письмо на mike1_ат_avp.su

CollectionLog-2016.11.21-13.36.zip

Addition.txt

FRST.txt

report1.log

report2.log

Изменено 21 ноября, 2016 пользователем symrak009

[Sandor]

Здравствуйте!

 

на компьютере установлен Kaspersky Endpoint Security 10

На момент заражения эта настройка была включена?

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1353386153-1077443216-686241373-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README9.txt
2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README8.txt
2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README7.txt
2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README6.txt
2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README5.txt
2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README4.txt
2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README3.txt
2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README2.txt
2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README10.txt
2016-11-10 13:48 - 2016-11-10 13:48 - 00004154 _____ C:\README1.txt
2016-11-10 13:47 - 2016-11-10 14:23 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-11-10 13:47 - 2016-11-10 14:23 - 00000000 __SHD C:\ProgramData\Windows
2014-12-10 11:15 - 2015-10-05 11:16 - 0026820 _____ () C:\Users\Паршутин\AppData\Roaming\iexplorer.exe.tmp
Task: {626625AB-2BD8-4CFC-A341-686EA77C4BF2} - \chrome_daily -> No File <==== ATTENTION
Task: {9BEFD9EF-EC9F-478B-B88C-389A26382ABF} - \chrome_logon -> No File <==== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[symrak009]

произвел действия с fixlist

Fixlog.txt

[Sandor]

На момент заражения эта настройка была включена?

Не ответили.

 

Создайте запрос на расшифровку.

[symrak009]

ответ службы поддержки:

"Присланные файлы были зашифрованы модификацией Trojan-Ransom.Win32.Shade.
В настоящее время, к сожалению, нет возможности расшифровать файлы. При шифровании данных, злоумышленники использовали обновленные алгоритмы шифрования, которые на текущий момент не поддаются расшифровке без уникального ключа, который хранится на серверах злоумышленников. "

Алексей, если расшифровка станет возможна, мы предоставим Вам утилиту в новом запросе. По возможности сохраните образцы зашифрованных файлов.

"Мы сохраняем информацию о запросах, в которых не удалось расшифровать данные (номер инцидента, образцы зашифрованных файлов, дополнительные данные). Если расшифровка станет возможна, мы переоткроем обращение и пришлём Вам утилиту-декриптор."