Файлы зашифрованы .da_vinci_code. Адрес [email protected]

Printable View

23.05.2016, 23:31
zeratul7x

Вложений: 2

Файлы зашифрованы .da_vinci_code. Адрес [email protected]

[COLOR=#282828][FONT=helvetica]Добрый день.[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica] [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]На почту пришло письмо следующего содержания: [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica] [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]Тема: Зачиcление_MK560363[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]Отправитель: Финотдел[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica][email protected][/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica] [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]Содержание:[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica] [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]Евгений Давиденко-Санкт-Петербург Gilly can stay as long as she likes.[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]S{с|cannеd with AVG [/FONT][/COLOR][URL="http://www.avg.com/"]www.avg.com[/URL]

[COLOR=#282828][FONT=helvetica] [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]Вложение:[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica] [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]53590170.gz[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]содержит в себе файл 200516.jse[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica] [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]Видимо, кто-то скачал сей архив и запустил скрипт на компьютере 20.05.2016.[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica] [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]На ПК стоял Kaspersky Free Antivirus версии 16.0.1.445(с) с регулярно обновляемыми антивирусными базами.[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica] [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]После шифрования многие пользовательские файлы оказались переименованы в случайное имя с расширением .da_vinci_code.[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]На рабочем столе появились обои с содержанием:[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica] [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]"Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков"[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica] [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica] [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]Содержание файла README.TXT[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica] [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]"Ваши файлы были зашифрованы.[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]Чтобы расшифровать их, Вам необходимо отправить код:[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]2F04754A347F7D9704A6|0[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]на электронный адрес [email][email protected][/email] .[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]Далее вы получите все необходимые инструкции.[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]их изменения расшифровка станет невозможной ни при каких условиях.[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]воспользуйтесь формой обратной связи. Это можно сделать двумя способами:[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]1) Скачайте и установите Tor Browser по ссылке: [/FONT][/COLOR][URL="https://www.torproject.org/download/download-easy.html.en"]https://www.torproje...ad-easy.html.en[/URL]
[COLOR=#282828][FONT=helvetica]В адресной строке Tor Browser-а введите адрес:[/FONT][/COLOR]
[URL]http://cryptsen7fo43rr6.onion/[/URL]
[COLOR=#282828][FONT=helvetica]и нажмите Enter. Загрузится страница с формой обратной связи.[/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]2) В любом браузере перейдите по одному из адресов:[/FONT][/COLOR]
[URL]http://cryptsen7fo43rr6.onion.to/[/URL]
[URL="http://cryptsen7fo43rr6.onion.cab/"]http://cryptsen7fo43rr6.onion.cab/"[/URL]
[COLOR=#282828][FONT=helvetica] [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]Так же KAV при проверке обнаружил и поместил в карантин файл csrss.exe, определив его как: Trojan-Ransom.Win32.Shade.xs [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica] [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica] [/FONT][/COLOR]
[COLOR=#282828][FONT=helvetica]Скажите пожалуйста, есть ли в данный момент способ расшифровать файлы после воздействия данного вируса?[/FONT][/COLOR]
23.05.2016, 23:32
Info_bot

Уважаемый(ая) [B]zeratul7x[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
23.05.2016, 23:42
zeratul7x

[url]https://yadi.sk/d/WKYuTXe_rwKXw[/url] - пример зашифрованных файлов
24.05.2016, 18:00
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','');
DeleteFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
24.05.2016, 23:52
zeratul7x

Вложений: 2

Готово.

Единственно такой момент: до получения ответа в этой теме, обращался за помощью еще на форум Лаборатории Касперского
[url]http://forum.kasperskyclub.ru/index.php?showtopic=50289[/url]

Выполнял схожие инструкции. Логи собирал через FRST, через нее же отправлял обнаруженное в карантин. По этому avz после выполнения предложенного скрипта создала пустой архив карантина. Через форму отправил карантин созданный FRST64.exe

Имеются копии всех обнаруженных файлов, включая пришедший на почту скрипт, которым произошло заражение. При необходимости могу выслать.
26.05.2016, 21:04
thyrex

Тогда непонятно, зачем бегать по форумам и вынуждать проверять уже проверенное.

Тема закрыта
26.05.2016, 21:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]