новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Цитата
santy написал:
Вячеслав Буханов,
обращаю внимание, что со  2 ноября  рассылается другой вариант шифратора ВАУЛТ. используется скорее всего другой алгоритм шифрования,
не openPGP, поэтому ключей secring.gpg вы не найдете на диске.
Информация о ключе в файле vault.key, но в зашифрованном виде.
Я так понимаю, на данный момент решения нет? Если понадобятся какие-то файлы для решения проблемы, готов предоставить.
vault.key есть, ничего пока не сносил. Собираюсь вынести все зашифрованные файлы в отдельное место и вернуть комп бухгалтеру.
Изменено: Вячеслав Буханов - 10.08.2016 09:26:07
Вячеслав Буханов,
да, все верно.
напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
зашифрованные документы стоит сохранить, возможно решение по расшифровке будет найдено.
Изменено: santy - 10.08.2016 09:26:07
К сожалению, лицензии на ESET нет, используется другой, отписался здесь, т.к. нашел самый оживлённый и со свежими записями форум по этой теме.
Всем привет на днях у одного моего клиента в офисе сотрудник подцепила эту дрянь из почты, вирус я пихнула в архив и запустила у себя на VM под Win XP. Doc Docx поменяли формат на .vautl как я уже поняла это gpg шифровка, многое нашла по данноу поводу в итоге имею GnuPG, GPGShell + VAULT.KEY, CONFIRMATION.KEY secring.gpg (НЕ ПУСТОЙ!)
Ключ ипортирую в GPGShell, всё норм подтвердилось, при расшифровке выдаёт ошибку 'Не найдено данных формата OpenPGP', if писать bat то в консоли выдаёт типа неизвестное окончание и всё такое. Что делать и как быть.
1.png (7.27 КБ)
Кристина,
а ключ secring.gpg где вы нашли? на компе вашего клиента или в сети?
уточните когда было шифрование,
вышлите ключ в почту safety@chklst.ru для проверки. + можно один из зашифрованных файлов.
Изменено: santy - 10.08.2016 09:26:07
Цитата
santy написал:
Кристина,
а ключ secring.gpg где вы нашли? на компе вашего клиента или в сети?
уточните когда было шифрование,
вышлите ключ в почту safety@chklst.ru для проверки. + можно один из зашифрованных файлов.
secring.gpg уже на моём компе, у меня сейчас нет доступа к компу клиента. по этому всё под своим делаю. + у в сети я 2 декодера скачала, И к каждому из них был sec_*.KEY вместо * шифр из названия декодера. Как я поняла этот sec_*.KEY приходит от хакеров в случае оплаты. Это выходит вторая связка ключей необходимая для расшифровки, или я не права. Просто третий день уже бьюсь, такое чувство что будто какой-то одной мелочи не хватает для полной картины. Сейчас на почту всё вышлю.  
Кристина,
ответил вам в почту, ну и здесь добавлю.
1. что secring.gpg это уникальный ключ, для другого случая шифрования он не подходит.
2. декодер от мошенников вместе с ключом соответственно будет полезен только тому, кому он был выписан после оплаты.
3. вариант ВАУЛТ, который рассылается со 2 ноября отличается от прежнего ваулта, который рассылался до 30октября.
отличается алгоритмом шифрования, поэтому прежние декодеры и ключи здесь никак не помогут.
------------
вот такие мелочи для полноты картины.
обращаем ваше внимание,
что новый вариант шифратора, который распространяется со 2 ноября в электронной почте, в архивах с вложением js использует новый алгоритм шифрования.
прежние методы расшифровки с помощью GnuPG и секретного ключа secring.gpg не работают.

Цитата
gpg: packet(3) with unknown version 203

File: X:\active\shifr\VAULT.2.new\1\визитка.pdf.vault
Time: 05.11.2015 10:07:09 (05.11.2015 4:07:09 UTC)
при этом шифратор будет отключать теневые копии через vssadmin.exe.
после выполнения своей работы удаляется.
остаются файлы vault.key, confirmatiom.key, vault.hta
в vault.key зашифрован ключ, который необходим для расшифровки документов.
---------

информация для тех, кто пострадал от шифратора ВАУЛТ в период от 2 до 10 ноября 2015 года: обращайтесь в техподдержку support@esetnod32.ru при наличие лицензии.
расшифровка есть в техподдержке.
Изменено: santy - 17.06.2016 07:13:55
Цитата
santy написал:
обращаем ваше внимание,
что новый вариант шифратора, который распространяется со 2 ноября в электронной почте, в архивах с вложением js использует новый алгоритм шифрования.
прежние методы расшифровки с помощью GnuPG и секретного ключа secring.gpg не работают.
---------

Здравствуйте !
Появился он 2 ноября, вирус приехал к нам по электронной почте клиента с mail.ru в 9 утра, а базы НОД32 обновились у нас только с обеда 3 ноября (с версии баз 12506 на 12507, которая сразу же удаляет письмо в Аутлук с этим вирусом). Как я понял дешифратор для него пока не сделали.

Вопросы: будет ли позднее для него дешифратор ? Стоит ли сохранять папку с зашифрованными документами ? Какие файлы ещё нужно сохранить для дешифровки ?
возможно кто-либо (ESET, DrWeb, ЛК) найдут решение по дешифровке файлов. Следите на технических форумах. Папку с документами лучше сохранить до лучших времен. Так же сохраните VAULT.key и Confirmation.key
а пока надо восстанавливать документы вручную, и защитить папку с документами в HIPS. (если это не сетевая папка)
и разрешить работать с документами только доверенным приложениям.
Читают тему (гостей: 3)