Ransom.Shade: файлы зашифрованы с расширением .da_vinci_code

АртемРевякин

Добрый день. Поймал сегодня с почты шифровальщик Da Vinchi (или как-то так), причем зашифрованы только Exel файлы. поскажите что делать
https://www.sendspace.com/file/9qgcfc

safety

Артем,
добавьте образ автозапуска системы, возможно в системе остались еще тела шифратора.
http://chklst.ru/forum/discussion/4/kak-sozdat-obraz-avtozapuska-v-uvs-kratkaya-instrukciya#Item_1

т.е. первое что надо сделать - убедиться что в системе нет активных тел шифратора. Если есть, то сделать очистку систему.

образ можно сделать из безопасного режима системы.

safety

Артем,
судя по образу, от тел шифратора система уже очищена.
по очистке системы выполните скрипт в uVS:

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

---

по расшифровке документов решения пока нет, точнее решение то есть, но необходим ваш приватный ключ, которого нет.
сохраните все важные файлы на отдельный носитель, а так же README*.TXT, возможно в будущем приватные ключи станут доступны, и будет возможность расшифровать документы. По крайней мере, именно таким образом расшифрованы xtbl/breaking_bad теми, кто сохранил зашифрованные документы.