-
Junior Member (OID)
- Вес репутации
- 29
Вирус троян da_vinci_code зашифровал кучу документов
Добрый день!
Пришло пересланное письмо от коллеги, открыл приложенный "архив" (спешил и не обратил внимание на расширение).
В итоге троян зашифровал кучу нужных документов.
Dr.Web его не опознал, только 360 Total Security.
Текст README-файлов, которые он оставил по всем дискам, где успел полазить, ниже.
удалено
Зашифрованный файл - https://cloud.mail.ru/public/9LJZ/87x5v8UgC
virusinfo_syscheck.zip
hijackthis.log
Последний раз редактировалось regist; 28.07.2016 в 13:51.
Причина: вирусная ссылка
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Станислав Берко, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
-
-
Junior Member (OID)
- Вес репутации
- 29
Сообщение от
mike 1
Прошу прощения. Приложил файлы. Согласно инструкции пропустил п.1, т.к Windows 7x64
-
Spy Hunter деинсталлируйте.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
-
-
Junior Member (OID)
- Вес репутации
- 29
Прилагаю результат работы FRST
FRST.txt
Addition.txt
-
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
- Временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-07-27] ()
2016-07-27 18:17 - 2016-07-27 18:17 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys
2016-07-27 12:24 - 2016-07-27 18:03 - 00000000 __SHD C:\Users\Все пользователи\Windows_bak
2016-07-27 12:24 - 2016-07-27 18:03 - 00000000 __SHD C:\ProgramData\Windows_bak
- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
- Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
-
-
Junior Member (OID)
- Вес репутации
- 29
-
С расшифровкой не поможем. Смените все пароли.
-
-
Junior Member (OID)
- Вес репутации
- 29
А есть теоретический шанс в будущем расшифровать? Понятно, что ключ у автора стойкий, но со временем наверно как-то словят его алгоритмы?
Все пароли - сохраненные в браузерах, Skype и на саму Windows? Или вообще все?
-
Все пароли - сохраненные в браузерах, Skype и на саму Windows?
Да.
А есть теоретический шанс в будущем расшифровать?
Маловероятно.
Понятно, что ключ у автора стойкий, но со временем наверно как-то словят его алгоритмы?
Алгоритм шифрования уже известен.
-
-
Junior Member (OID)
- Вес репутации
- 29
То есть, алгоритм и ключ такие стойкие, что без ключа никак не расшифровать?
Печально.
Кстати, написал автору. Письма его лаконичны - сначала дал конфиг системы (ПО, параметры компьютера), во втором письме видимо назначил цену - 14000.
Это для информации будущим жертвам.
-
То есть, алгоритм и ключ такие стойкие, что без ключа никак не расшифровать?
Алгоритм RSA используется для шифрования файлов. Более того, если на момент заражения есть выход в интернет, то публичный ключ берется с сервера. Если доступа в интернет нет, то берется произвольный ключ из тушки шифровальщика (если не ошибаюсь там их около 100).
-