1. Як da_vinci_code вірус-шифрувальник проникає на комп'ютер
2. Що таке вірус-шифрувальник da_vinci_code
3. Мій комп'ютер заражений вірусом-шифрувальником da_vinci_code?
4. Як розшифрувати файли зашифровані вірусом-шифрувальником da_vinci_code?
5. Як видалити вірус-шифрувальник da_vinci_code?
6. редактор реєстру
7. HijackThis
8. KVRT
9. MBAM
10. Як відновити файли зашифровані вірусом-шифрувальником da_vinci_code?
11. Відновити зашифровані файли використовуючи ShadowExplorer
12. Відновити зашифровані файли використовуючи PhotoRec
13. Як запобігти зараженню комп'ютера вірусом-шифрувальником da_vinci_code?
14. Кілька фінальних слів

Da_vinci_code вірус - це вірус-шифрувальник, який зашифровує файли різноманітних типів (документи, картинки) на комп'ютері жертви. Після цього вірусу, все знайомі файли зникають, в папках де зберігалися документи залишаються тільки файли з дивними іменами і розширенням .da_vinci_code. Крім цього на робочому столі з'являється повідомлення подібне нижче наведеним:

Da_vinci_code вірус поєднує в собі риси різних виявлених раніше шифрувальників. Як заявляють автори вірусу, на відміну від більш ранніх версій, які використовували режим шифрування RSA-2048 з довжиною ключа 2048 біт, da_vinci_code вірус використовує ще більш стійкий режим шифрування, з більшою довжиною ключа.

При зараженні комп'ютера вірусом-шифрувальником da_vinci_code, ця шкідлива програма копіює своє тіло в системну папку і додає запис до реєстру Windows, забезпечуючи собі автоматичний запуск при кожному старті комп'ютера. Після чого вірус приступає до зашифровки файлів. Кожному зараженому комп'ютеру .da_vinci_code шифрувальник привласнює унікальний ID, який жертва повинна вислати авторам вірусу для того щоб отримати свій власний ключ розшифровки. При цьому жертва повинна заплатити за розшифровку .da_vinci_code файлів значну суму.

На даний момент немає 100% реально працюючого способу безкоштовно відновити зашифровані файли. Тому ми пропонуємо використовувати безкоштовні програми, такі як ShadowExplorer і PhotoRec для спроби відновити копії зашифрованих файлів. У разі появи способу розшифровки .da_vinci_code файлів ми оперативно відновимо цю інструкцію.

Як da_vinci_code вірус-шифрувальник проникає на комп'ютер?
Що таке вірус-шифрувальник da_vinci_code?
Мій комп'ютер заражений вірусом-шифрувальником da_vinci_code?
Як розшифрувати файли зашифровані вірусом-шифрувальником da_vinci_code?
Як видалити вірус-шифрувальник da_vinci_code?
Як відновити файли зашифровані вірусом-шифрувальником da_vinci_code?
Як запобігти зараженню комп'ютера вірусом-шифрувальником da_vinci_code?

Як da_vinci_code вірус-шифрувальник проникає на комп'ютер

Da_vinci_code вірус розповсюджується за допомогою електронної пошти. Лист містить вкладений заражений документ або архів. Такі листи розсилаються по величезній базі адрес електронної пошти. Автори цього вірусу використовують вводити в оману заголовки і зміст листів, намагаючись обманом змусити користувача відкрити вкладений в лист документ. Частина листів повідомляють про необхідність оплати рахунку, інші пропонують подивитися свіжий прайс-лист, треті відкрити веселу фотографію і т.д. У будь-якому випадку, результатом відкриття прикріпленого файлу буде зараження комп'ютера da_vinci_code вірусом-шифрувальником.

Що таке вірус-шифрувальник da_vinci_code

Вірус-шифрувальник da_vinci_code - це продовження сім'ї шифраторів, в яку велику кількість інших подібних шкідливих програм. Ця шкідлива програма вражає всі сучасні версії операційних систем Windows, включаючи Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Цей вірус використовує режим шифрування більш стійкий ніж RSA-2048 з довжиною ключа 2048 біт, що практично виключає можливість підбору ключа для самостійної розшифровки файлів.

Під час зараження комп'ютера, вірус-шифрувальник da_vinci_code використовує системний каталог C: \ Documents and Settings \ All Users \ Application Data для зберігання власних файлів. У папці Windows створюється файл csrss.exe, який є копією файлу вірусу. Потім шифрувальник створює запис в реєстрі Windows: в розділі HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, ключ з ім'ям Client Server Runtime Subsystem. Таким чином, ця шкідлива програма забезпечує собі автоматичний запуск при кожному включенні комп'ютера.

Відразу після запуску вірус сканує всі доступні диски, включаючи мережеві і хмарні сховища, для визначення файлів які будуть зашифровані. Вірус-шифрувальник da_vinci_code використовує розширення імені файлу, як спосіб визначення групи файлів, які будуть піддані зашифровки. Ця версія вірусу шифрує величезна кількість різних видів файлів, включаючи такі поширені як:

.3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13 , .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs,. hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk , .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb,. db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl , .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr,. dng, .jpe, .jpg, .cdr, .indd, .ai,. eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav , .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd,. wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll , .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml,. ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Відразу після того як файл зашифрований він отримує нове ім'я і розширення .da_vinci_code. Після чого вірус створює на всіх дисках і Робочому столі текстові документи з іменами README.txt, README1.txt, README2.txt ..., які містять інструкцію по розшифровці зашифрованих файлів.

Вірус-шифрувальник da_vinci_code активно використовує тактику залякування, показуючи на робочому столі попередження. Намагаючись таким чином змусити жертву не роздумуючи вислати ID комп'ютера на адресу електронної пошти автора вірусу для спроби повернути свої файли.

Мій комп'ютер заражений вірусом-шифрувальником da_vinci_code?

Визначити заражений комп'ютер чи ні вірусом-шифрувальником da_vinci_code досить легко. Якщо замість ваших персональних файлів з'явилися файли з дивними іменами і розширенням da_vinci_code, то ваш комп'ютер заражений. Крім цього ознакою зараження є наявність файлу з ім'ям README в ваших каталогах. Цей файл буде містити інструкцію по розшифровці da_vinci_code файлів. Приклад вмісту такого файлу наведений нижче.

Ваші файли були зашифровані.
Щоб розшифрувати їх, Вам необхідно відправити код:
{ID комп'ютера}
на електронну адресу [email protected].
Далі ви отримаєте всі необхідні інструкції.
Спроби розшифрувати самостійно не приведуть ні до чого, крім безповоротної втрати інформації.
Якщо ви все ж хочете спробувати, то попередньо зробіть резервні копії файлів, інакше в разі
їх зміни розшифровка стане неможливою ні за яких умов.
Якщо ви не отримали відповіді за вищевказаною адресою протягом 48 годин (і тільки в цьому випадку!),
скористайтеся формою зворотного зв'язку. Це можна зробити двома способами:
1) Скачайте і встановіть Tor Browser за посиланням: https://www.torproject.org/download/download-easy.html.en
В адресному рядку Tor Browser-а введіть адресу:
http://cryptsen7fo43rr6.onion/
і натисніть Enter. Завантажиться сторінка з формою зворотного зв'язку.
2) В будь-якому браузері перейдіть за однією з адрес:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
{ID комп'ютера}
to e-mail address [email protected].
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptsen7fo43rr6.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptsen7fo43rr6.onion.to/
http://cryptsen7fo43rr6.onion.cab/

Як розшифрувати файли зашифровані вірусом-шифрувальником da_vinci_code?

На поточний момент немає доступного расшифровщика .da_vinci_code файлів. Вірус-шифрувальник неодноразово повідомляє жертві, що використовується сильний алгоритм шифрування. Що значить без особистого ключа розшифрувати файли практично неможливо. Використовувати метод підбору ключа так само не вихід, через велику довжину ключа. Тому, на жаль, тільки оплата авторам вірусу всій запитаної суми - єдиний спосіб спробувати отримати ключ розшифровки.

Немає абсолютно ніякої гарантії, що після оплати автори вірусу вийдуть на зв'язок і нададуть ключ необхідний для розшифровки ваших файлів. Крім цього потрібно розуміти, що сплачуючи гроші розробникам вірусів, ви самі змушуєте їх на створення нових вірусів.

Як видалити вірус-шифрувальник da_vinci_code?

Перед тим як приступити до цього, вам необхідно знати, що приступаючи до видалення вірусу і спробі самостійного відновлення файлів, ви блокуєте можливість розшифрувати файли заплативши авторам вірусу запитану ними суму.

Kaspersky Virus Removal Tool (KVRT) і Malwarebytes Anti-malware (MBAM) можуть виявляти різні типи активних вірусів-шифрувальників і легко видалять їх з комп'ютера, АЛЕ вони не можуть відновити зашифровані файли.

редактор реєстру

Натисніть на клавіатурі клавіші Windows і R (російська К) одночасно. Відкриється невелике віконце з заголовком Виконати в якому введіть:

regedit

Натисніть Enter.

Запуститися редактор реєстру. Відкрийте меню Правка, а в ньому клікніть по пункту Знайти. Введіть:

Client Server Runtime Subsystem

Натисніть Enter.

Видаліть цей параметр, клікнувши по ньому правою клавішею і вибравши Видалити як показано на малюнку нижче. Будьте дуже уважні!

Закрийте Редактор реєстру.

Перезавантажте комп'ютер. Відкрийте каталог C: \ Documents and Settings \ All Users \ Application Data \ Windows \ і видаліть файл csrss.exe.

HijackThis

Скачайте програму HijackThis клікнувши за наступним посиланням.

завантажити HijackThis

Завантажено 81686 раз (а)
Версія: 2.0.5
Автор: OpenSource
Категорія: Безпека
Дата поновлення: Грудень 3, 2015

Після закінчення завантаження програми, запустіть її. Відкриється головне меню як показано на малюнку нижче.

Для початку сканування клікніть на кнопку Do a system scan only. Уважно перегляньте результати сканування. Поставте галочки навпроти рядків, аналогічних таким:

O4 - HKCU \ .. \ Run: [Client Server Runtime Subsystem] "C: \ Documents and Settings \ All Users \ Application Data \ Windows \ csrss.exe" O4 - HKLM \ .. \ Run: [Client Server Runtime Subsystem] "C: \ Documents and Settings \ All Users \ Application Data \ Windows \ csrss.exe"

Приклад виділення рядків вимагають видалення наведено нижче.

Клацніть по кнопці Fix checked. Підтвердіть свої дії, якшо по кнопці YES (Так). Закрийте програму.

Перезавантажте комп'ютер. Відкрийте каталог C: \ Documents and Settings \ All Users \ Application Data \ Windows \ і видаліть файл csrss.exe.

KVRT

скачайте програму Kaspersky Virus Removal Tool . Після закінчення завантаження запустіть завантажений файл.

Клацніть по кнопці Почати перевірку для запуску сканування вашого комп'ютера на наявність вірусу-шифрувальника.

Дочекайтеся закінчення цього процесу і видаліть знайдених зловредів.

MBAM

скачайте програму Malwarebytes Anti-malware . Після закінчення завантаження запустіть завантажений файл.

Клацніть по кнопці Далі і дотримуйтесь вказівок програми. Після закінчення установки ви побачите основний екран програми.

Запуститися процедура поновлення програми. Коли вона закінчитися натисніть кнопку Запустити перевірку. Malwarebytes Anti-malware почне перевірку вашого комп'ютера.

Відразу після закінчення перевірки комп'ютера програма Malwarebytes Anti-malware відкриє список знайдених компонентів вірусу-шифрувальника.

Клацніть по кнопці Видалити вибране для очищення вашого комп'ютера. Під час видалення шкідливих програм, Malwarebytes Anti-malware може зажадати перезавантажити комп'ютер для продовження процесу. Підтвердіть це, вибравши Так.

Після того як комп'ютер запуститися знову, Malwarebytes Anti-malware автоматично продовжить процес лікування.

Як відновити файли зашифровані вірусом-шифрувальником da_vinci_code?

В деяких випадках можна відновити файли зашифровані вірусом-шифрувальником da_vinci_code. Спробуйте обидва методи.

Відновити зашифровані файли використовуючи ShadowExplorer

ShadowExplorer - це невелика утиліта дозволяє відновлювати тіньові копії файлів, які створюються автоматично операційною системою Windows (7-10). Це дозволить вам відновити початковий стан зашифрованих файлів.

скачайте програму ShadowExplorer . Програма знаходитися в zip архіві. Тому клікніть по викачаного файлу правою клавішею і виберіть пункт Витягти все. Потім відкрийте папку ShadowExplorerPortable.

Запустіть ShadowExplorer. Виберіть потрібний вам диск і дату створення тіньових копій, відповідно цифра 1 і 2 на малюнку нижче.

Клацніть правою клавішею миші по каталогу або файлу, копію якого ви хочете відновити. В меню оберіть Export.

І останнє, виберіть папку в яку буде скопійований відновлений файл.

Відновити зашифровані файли використовуючи PhotoRec

PhotoRec це безкоштовна програма, створена для відновлення видалених і втрачених файлів. Використовуючи її, можна відновити вихідні файли, які віруси-шифрувальники видалили після створення їх зашифрованих копій.

скачайте програму PhotoRec . Програма знаходитися в архіві. Тому клікніть по викачаного файлу правою клавішею і виберіть пункт Витягти все. Потім відкрийте папку testdisk.

У списку файлів знайдіть QPhotoRec_Win і запустіть її. Відкриється вікно програми в якому будуть показані всі розділи доступних дисків.

У списку розділів виберіть той, на якому знаходяться зашифровані файли. Після чого клацніть на кнопці File Formats.

За замовчуванням програма налаштована на відновлення всіх типів файлів, але для прискорення роботи рекомендується залишити тільки типи файлів, які вам потрібно відновити. Завершивши вибір натисніть кнопку OK.

У нижній частині вікна програми QPhotoRec знайдіть кнопку Browse і натисніть її. Вам потрібно вибрати каталог в який будуть збережені відновлені файли. Бажано використовувати диск на якому не перебувають зашифровані файли вимагають відновлення (можете використовувати флешку або зовнішній диск).

Для запуску процедури пошуку і відновлення вихідних копій зашифрованих файлів натисніть кнопку Search. Цей процес триває досить довго, так що наберіться терпіння.

Коли пошук буде закінчено, натисніть кнопку Quit. Тепер відкрийте папку, яку ви вибрали для збереження відновлених файлів.

У папці будуть перебувати каталоги з іменами recup_dir.1, recup_dir.2, recup_dir.3 і тд. Чим більше файлів знайде програма, тим більше буде і каталогів. Для пошуку потрібних вам файлів, послідовно перевірте всі каталоги. Для полегшення пошуку потрібного вам файлу, серед великої кількості відновлених, використовуйте вбудовану систему пошуку Windows (на основі вмісту файлів), а так само не забувайте про функції сортування файлів в каталогах. Як параметр сортування можна вибрати дату зміни файлу, так як QPhotoRec при відновленні файлу намагається відновити цю властивість.

Як запобігти зараженню комп'ютера вірусом-шифрувальником da_vinci_code?

Більшість сучасних антивірусних програм вже мають вбудовану систему захисту від проникнення і активізації вірусів-шифрувальників. Більш того, існують і спеціалізовані захисні програми. Наприклад це CryptoPrevent.

скачайте CryptoPrevent і запустіть. Дотримуйтесь інструкцій майстра установки. Коли інсталювання програми завершитися, вам буде показано вікно вибору рівня захисту, як показано на наступному прикладі.

Натисніть кнопку Apply для активації захисту. Детальніше про програму CryptoPrevent і як її використовувати, ви можете дізнатися в цьому огляді, посилання на який наведено нижче.

CryptoPrevent - Опис, Відгуки, Інструкція

Кілька фінальних слів

Виконавши цю інструкцію ваш комп'ютер буде очищений від da_vinci_code вірусу-шифрувальника. Якщо у вас з'явилися питання або вам необхідна допомога, то звертайтеся на наш форум .