новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Vadim Borsch,
напишите в support@esetnod32.ru при наличие лицензии на антвирус ESET
Приветствую всех..
Мдя.,.. вижу проблема ,.. вчера то же притащили два компа с такой заразой.. решения походу нет.. Видимо NOD вчера еще не был заряжен.., так как сегодня он эту заразу уже отлавливает. Но вот как расшифровать данные..
помогите подхватила вирус Vault не знаю что делать
Цитата
Юрий Поплаухин написал:
Приветствую всех..
Мдя.,.. вижу проблема ,.. вчера то же притащили два компа с такой заразой.. решения походу нет.. Видимо NOD вчера еще не был заряжен.., так как сегодня он эту заразу уже отлавливает. Но вот как расшифровать данные..
Вчера похоже была массированная атака. И в нашем случае (весной) нод очухался лишь на следующий день.
Цитата
Юрий Поплаухин написал:
Но вот как расшифровать данные..
http://forum.esetnod32.ru/forum35/topic11845/


Несколько способов рассмотрено здесь.
ESET Technical Support
Бота Жигитекова,
когда случилось шифрование?
Бота Жигитекова, для очистки системы выполните: http://forum.esetnod32.ru/forum9/topic683/
По расшифровке - обратитесь в техподдержку в случае наличия лицензии: support@esetnod32.ru
ESET Technical Support
Приветствую, второй раз сталкиваюсь с такой напастью, но в этот раз всё же хочу спасти файлы, так как дубликатов ни у кого нет.

Пришло письмо примерно такое:
Код
From: ООО «СвязьСтройКомплект» [mailto:ssk-ltd@mail.ru]  Sent: Monday, November 02, 2015 3:38 AM
 To: я
 Subject: [virus JS/TrojanDropper.Agent.NAQ trojan] Оплата октябрь -ТрансСнабКом
 

Сообщите, пожалуйста, как долго нам необходимо
ждать перечисления средств по августовской поставке товаров? Мы еще в сентябре
отправляли Вам счета-фактуры в оригинале. Если же в связи с какими-либо
обстоятельствами Вами они получены не были, я скидываю копии - во вложении.
Большая просьба ответить. 
Человек соответственно открыл и обнаружил на выходе .vault + инструкцию на рабочем столе .vault.key.
Код
Y¦›й.иЖ°јЖ{+ыbПєбЬЮbs‚…:*†РЋэєiБґ‹ц)rEe/JyµгwЭш—т=їОI2ыЁсьшCA.оJ„keeз!6Ьыњ~?e5щсg„Ыйч”ъAцqom>N”sµьg¤п>+ЙQЩ№–n|ќ…fS:эkOЌEхыRe µAG/_*3J®*l6щЁlлз4’^ЋQ)lэBиI~tЈ‘O>ещRХ¦Ак/ђэЪi‚>SЮ¤Ґ:Z7ЧМкмbЂ280krК[Y‹›ён(j@N?Ыr‘ј3¦a¦ёЭMт^АSw~JуЅЬљёэйЯїц7=R|l&0Hё!iЮWё&ЙЕХ–5АЬ~2RH<JaЩЦЭ›џI
jПЏЄ"‚3e>…ВЂ«јЩЮЃЂевОућBS
hmрЯДаYЏ35ь<ЦyэІЩыдS%Щ–Эt…щХЙdлкї]0$и1й&кYЌ‚Фк‡$ЈЛg?,г4‹ћT>[[¶ :хІ^ы0Rh{tлУгМKЗЎ айTehЎ\vLаЯ8;ј?™8фЎяй»жя)жб"qцйяB
)Ђєtґ+i(„ EГ–і–1к[:K9ј¬УT)’МшТЉЕ‹џР«­”щtѕѓXь3ЈQqЛнCNку`OЄ'ЗЄПшР‘Ѓ‹9 “ѕ}wѓ[}   p4wiJ>Х6Ќ-BPСTЧ›oI 6уЊџ$У`ЬK ѕnЉБHўnИYЬ“Ю:ZYGВЏЏ‹РђЁ%“Б›vіа&=“ЭL`­»M4і^”‚”ъ‡бї=Ґ;'Дэљеnс@ЖK
*пфх}­X±гсИ/­_мУХя–із?ЇіaFн–јс
чҐ?КвќЏЧ–ЈЊ,NњтІ.рe°4mШйъ\ЎћЉ“µЁKья3+Y¶¤
ЁпҐY>ыАг~”‰2ј$Њќn€ J]9ы§М№·$qєa-nЄҐ•ы‚Э}1
5г±ЇvЭСeJ¤(j«раV“иЁ‡z¬·ёкЁж(ЎлxХ2SLHЏ¤ЊK?­й%З62
Lf
µр/жxR„6SЁ·»]Щх'#Мм±)xV№И1ѓ¦d6%·Џn*Й„бгK„ьg
9r
ЖД=8>
xqmЇ‘€*K5Y5„ЫЅЯјкДPzAЗ[}`ш°#’w5“;4пґ:70†Iёi“Ъ~31YЋИ1lBµЭЕ%SЯв)гшDS№Т–ёO
KubўІ«~·0ЬI3чевGUЛюХвщ ШЦ0?<
”ш(њ™+ь}єPН|№!nЪі†:ZОoтлq щР.ҐKYf·8Фа—љџ!Иp¤aще
'2!Ч%F“{†ВATзб.ЂэКЊіг»еЎЗ…·%IМ“Ќ#т°јPgХя”Ѓ‡ч䥽ЃG>:ш0ы¬»ж±®Q№e“Њ€6Qх“№ЌIм‘–9¦?QбвкГEвyV аU+)?x|хІЊ…М#CкЩЎђЅЗ©в¦Љ*–~ Є|ТnНМ>рDќчКЏ"•НФ)щ“e‹Џ/fмвТЬҐ‰А†ІY?†?Бr?Ґ/Гlэp`Ж~‘Щ7E:+±9»уYNhҐ;Ћ¦kцvy)0л9љ{ЈJqIu±ь’$§жпФSµЮа–hЉь·fm!Џ"•НФ2 у"Йxљf№иaгЕ…¦*В{°сГ';hЉь·fm!я*Я‚T« х|tR`ё:•¬RМњґ   иэ.\•n'sM2<іЂRrҐд==~±sжИ 5Y”"ыЂ6kѓџріLЭ6„шH‰ЏU©3jЗhL-ђYНП|eJЊ’Ќ­q®]+Oм_iu®*;Ѓ®Юµіз}|"Y®BYVQ:b[уљЈ‚ыtO2/}{"EXT: 0
01FNSH-OK   
02FNSH-OK   
03FNSH-OK   
04FNSH-OK   
05FNSH-OK   
FHASH-OK   
Собственно может есть уже какие то методики для лечения последствий именно этого поганца? Сейчас восстанавливаю удалённые файлы RSTUDIO.
Цитата
Игорь Рогов написал:
Сегодня тоже поймали но ключей нет.
Пришло письмо в бухгалтерию с прикрепленым счетом-фактурой.
в архиве находится JS ( внутри закодирован исполняемый файл c помощью base64 )  ( Информация о файле: CMulticastSocket 1.0.0.1 )
И закодированы файлы возможно не pgp т.к. натолкнулся на библиотеки vp8encoder vp8decoder dsfvorbisdecoder dsfvorbisencoder
Прямо наша ситуация, только бухгалтер открыла письмо сегодня и вот результат (
Зашифрованы оказались не все, видимо вирь не успел, антивирус отловил и удалили.

Пока бьюсь, ничего не помогает и файла secring.gpg на компе нет
Изменено: Вячеслав Буханов - 10.08.2016 09:24:35
Вячеслав Буханов,
обращаю внимание, что со 2 ноября рассылается другой вариант шифратора ВАУЛТ. используется скорее всего другой алгоритм шифрования,
не openPGP, поэтому ключей secring.gpg вы не найдете на диске.
Информация о ключе в файле vault.key, но в зашифрованном виде.
Читают тему (гостей: 2)