Как мы поймали Да Винчи

да Винчи

Ничто не оправдывает невнимательность пользователя, а тем более администратора, но что случилось, то случилось. Стандартная ситуация: пользователь получает письмо, открывает его, запускает.

Вот кстати как выглядело письмо (бухгалтер, ждущий счет на оплату, не может не открыть данный файл):

вирус da vinci

Потом оказывается Word при запуске, просит установить какие-то компоненты, админ приходит, набирает пароль админа и устанавливает что просит программа, уходит. Через полчаса звонок — нету файлов.

Что я увидел когда было уже поздно:

вирус да винчи

На рабочем столе обнаруживается файл readme.txt следующего содержания:
Вaши фaйлы были зашuфpoваны.
Чтoбы раcшuфpовать их, Baм нeoбxодuмo отпрaвиmь кoд:
5A60B3CA11BFB8CE9205|0
нa электpонный адрес robertamacdonald1994@gmail.com.
Далее вы noлyчuте вcе неoбxодuмые инсmрукцuu.
Поnыmkи pacшuфрoваmь caмoстоятельно нe npиведyт нu k чему, кроме безвозврaтнoй nomеpи uнфoрмациu.
Еcли вы всё жe хоmиmе nопытamьcя, тo nредварumeльно cдeлaйmе рeзeрвныe koпuu файлов, uначе в cлyчaе
их изменeния paсшuфровка cmaнeт невозможной ни nри каkux уcловиях.
Eслu вы нe пoлучuлu отвemа пo вышеуkазаннoму aдpeсy в течение 48 чacов (и тольko в эmoм cлучaе!),
воспользуйтеcь формой обpаmнoй связи. Это можно сдeлаmь двумя спoсoбaмu:
1) Сkачaйтe u yсmaновuтe Tor Browser пo ccылke: www.torproject.org/download/download-easy.html.en
В aдpеснoй cmрoке Tor Browser-a ввeдиmе адpес:
cryptsen7fo43rr6.onion/
u нажмитe Enter. 3aгpузится cmpаница c фоpмoй обpаmной связи.
2) В любoм брayзepе nерейдumе no одномy uз aдрeсoв:
cryptsen7fo43rr6.onion.to/
cryptsen7fo43rr6.onion.cab/
и т.п.

И так мы поймали шифровальщик da_vinci_code. Эта зловред копирует своё тело в системную папку и добавляет запись в реестр Windows, обеспечивая себе автоматический запуск при каждом старте компьютера. Собственные файлы хранит в C:\Documents and Settings\All Users\Application Data. В папке Windows создался файл csrss.exe. Создает запись в реестре Windows: в разделе KCU\Software\Microsoft\Windows\CurrentVersion\Run с ключом Client Server Runtime Subsystem. После чего вирус приступает к зашифровке файлов. У нас зашифровались все документы, файлы изображений и видео. Каждому заражённому компьютеру .da_vinci_code шифровальщик присваивает уникальный ID, который жертва должна выслать авторам вируса для того чтобы получить свой собственный ключ расшифровки. При этом жертва должна заплатить за расшифровку .da_vinci_code файлов значительную сумму.

На просторах интернета не нашел дешифратора. Что сделал?

Скачал Malwarebytes Anti-malware. Он нашел зловредов и почистил данные.

малвербайтс против да винчи

Зная что Windows периодически создает теневые копии файлов, нашел в интернете утилиту которая может их восстанавливать — ShadowExplorer. Можно конечно было воспользоваться встроенным решением, но эта утилита удобнее.

папка с теневыми копиями

Просто выбирается дата теневой копии (а нам повезло она вчерашняя), находится нужная папка и по нажатию правой кнопки мыши выбирается Export в указанную далее папку.

Большинство файлов восстановилось.Некоторые ругались на невозможность восстановления.

да винчи вирус

А большинство восстановленных файлов изображений выглядели так.

вирус да винчи

Пробывал восстанавливать из более ранних сетевых копий, но результат тот же. Подозрение что и теневые копии этот шифратор тоже затрагивает. Компьютер после появления подозрительных файлов тут же был отключен от розетки — вероятно не все зашифровалось.

Программы по восстановлению удаленных файлов, типа Recuva, тоже не помогли.

Если кто-то успешно восстанавливал файлы после шифровальщиков поделитесь! Можете в комментарии, а можете отдельную статью добавить в публикации

P.S. Почему админ поверил в установку дополнительного компонента на картинке ниже

вирус да винчи

У файла — проверенный издатель. Может просто совпало и это не имело отношения к вирусу. На всякий случай офис был переустановлен.

P.S. В комментарии от Sur:

От лица админа пропустившего шифровальщик.
Был звонок что не открываются документы и не было сказано о письме. Не открывая загрузки и документы, на рабочем столе создал word и excel вообще не трогая ни один документ! В обоих случаях был последний скрин с обычной установкой компонентов. Обновлённый нод 5 пропустил. Только через пол часа сообщили о письме. Гугл его не пропускал через корпоративную почту даже в спам, а этот сотрудник работал с личной почтой на майле.

FavoriteLoadingДобавить в избранное

Автор публикации

не в сети 8 месяцев

il_da_r

Россия. Город: Казань
Комментарии: 2Публикации: 9Регистрация: 12-11-2016

Как мы поймали Да Винчи: 1 комментарий

Добавить комментарий