ransom.shade как расшифровать файлы зашифрованные вирусом .da vinci code

[rgdpol@yandex.ru]

Здавствуйте!
По электронной почте неопытный пользователь получил письмо с вирусом и в результате

файлы с расширениями .doc, docx, .xls, .xlsx, .pdf, .txt, .zip, .rar., а так же файлы 1С 

на локальных дисках были зашифрованы и переименованы

(примерно так: 1K6YkiUrk6JRNutksqOVS1hhFPMCPw3nBSUPcwC+eOM=.56E70E5527CC19802649.da_vinci_code)

и на дисках появились файлы README1.txt, README2.txt с таким содержанием:

 

/****************************************************************************

Ваши файлы былu зашuфpoвaны.
Чтобы pаcшuфpoвaть uх, Вам нeобходuмо oтnpавиmь кoд:
56E70E5527CC19802649|660|6|8
нa элеkтpонный адрес Denisieva.Ioannikiya@gmail.com .
Дaлee вы получите все нeобxодимые инcтpуkцuu.
Пonытки расшuфpовamь самоcтoятельнo не привeдym нu k чeмy, kромe безвозвpamнoй noтеpu uнфopмaцuu.
Еcлu вы всё жe xотume nопыmатьcя, тo прeдвaриmeльно сделaйте peзервныe kопuи фaйлов, uначe в cлyчae
иx измененuя рacшuфрoвkа cтанеm невозмoжной нu при kакuх yсловияx.
Eсли вы нe полyчили oтвema nо вышеyкaзаннoму адреcу в тeченuе 48 чаcов (и moльkо в эmом слyчаe!),
воcnoльзyйmecь фоpмой oбрamной cвязи. Этo можнo cделаmь двумя cnocoбaмu:
1) Ckачайте u yстaновиme Tor Browser по ccылкe: https://www.torproject.org/download/download-easy.html.en
В адреcной cтpоке Tor Browser-а ввeдuте адрес:
http://cryptsen7fo43rr6.onion/
и нaжмиmе Enter. 3arрузuтcя сmpаницa с фoрмой обpатной cвязи.
2) В любoм браузеpе nepeйдиme пo одномy из aдреcoв:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/..........

********************************************/

На пораженном компьютере провел следующие операции: 
1. Провел проверку ПК двумя антивирусами

 

•     Kaspersky Virus Removal Tool 2015;
•     Dr.Web CureIt!.

2. Скачал автоматического сборщика логов и прикрепил файлаы к данному обращению

CollectionLog-2016.11.22-10.27.zip

README1.txt

[mike 1]

А еще более старые логи не нашлись?

[rgdpol@yandex.ru]

Сделать новые?

[mike 1]

А сами как думаете?

[rgdpol@yandex.ru]

 Здравствуйте!
Сделал новые логи и прикрепил к этому сообщению!

CollectionLog-2017.01.18-11.25.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[rgdpol@yandex.ru]

Здравствуйте! Прикрепил файлы после сканирования!

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  2016-11-10 14:31 - 2016-11-10 16:02 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32
  2016-11-10 14:31 - 2016-11-10 14:31 - 00004202 _____ C:\README9.txt
  2016-11-10 14:31 - 2016-11-10 14:31 - 00004202 _____ C:\README8.txt
  2016-11-10 14:31 - 2016-11-10 14:31 - 00004202 _____ C:\README7.txt
  2016-11-10 14:31 - 2016-11-10 14:31 - 00004202 _____ C:\README6.txt
  2016-11-10 14:31 - 2016-11-10 14:31 - 00004202 _____ C:\README5.txt
  2016-11-10 14:31 - 2016-11-10 14:31 - 00004202 _____ C:\README4.txt
  2016-11-10 14:31 - 2016-11-10 14:31 - 00004202 _____ C:\README3.txt
  2016-11-10 14:31 - 2016-11-10 14:31 - 00004202 _____ C:\README2.txt
  2016-11-10 14:31 - 2016-11-10 14:31 - 00004202 _____ C:\README10.txt
  2016-11-10 14:31 - 2016-11-10 14:31 - 00004202 _____ C:\README1.txt
  2016-11-10 14:21 - 2016-11-15 13:58 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  2016-11-10 15:03 - 2016-11-10 15:03 - 03932214 _____ C:\Documents and Settings\user\Application Data\BDBF9AD2BDBF9AD2.bmp
  2016-11-10 16:02 - 2016-11-11 11:05 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Drivers
  2016-11-10 16:02 - 2016-11-11 11:05 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Csrss
  2016-11-11 10:01 - 2016-11-16 18:47 - 00000069 _____ C:\Documents and Settings\All Users\Application Data\Csrss-Возможно-сам вирус.rar
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[rgdpol@yandex.ru]

Здравствуйте! Прикрепил файл.

Fixlog.txt

[mike 1]

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

[rgdpol@yandex.ru]

Спасибо!
Напишу запрос.

[rgdpol@yandex.ru]

Здравствуйте!

Зарегистрировался на портале для корпоративных пользователей Kaspersky CompanyAccount: https://companyaccount.kaspersky.com 
Мой Company ID: 
Адрес электронной почты на который был зарегистрирован CompanyAccount: 
Создал Запрос на расшифровку файлов: INC000007316803
Пока ещё запрос висит открытым.
Спасибо!

Изменено 2 февраля, 2017 пользователем mike 1
Светить свою почту не надо