новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS

Сообщений: 2

Баллов: 1

Регистрация: 02.11.2015

Размещено 02.11.2015 10:33:34

Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.

http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки

Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 36 37 38 39 40 41 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.08.2016 12:59:39

Господа, Sergei Ivanov. demosin dem
во первых не надо спамить на форуме,
во вторых, не забываем, что распространение вирусных тел является действием наказуемым.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 21.09.2016

Размещено 21.09.2016 15:42:43

Сегодня утром пришло письмо на почту счет фактура его открыли и все зашифровалось, что делать?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.09.2016 16:06:38

Цитата
Андрей Смилук написал: Сегодня утром пришло письмо на почту счет фактура его открыли и все зашифровалось, что делать?

Андрей,
расшифровки по vault сейчас нет. Если необходима помощь в очистке системы,
добавьте образ автозапуска зашифрованной системы.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 03.10.2016

Размещено 03.10.2016 13:17:38

Ребят, доброго времени суток Вам! Словили vault в письме следующего содержания:

Пересылаю акт сверки по упаковачн. материалам с нашей стороны.Проплата прошла по всем договорам но квитанции вы не предоставили...И еще, помогите вычислить какой из актов не оплачен. Заранее благодарю.

- - -
Сириус ООО
Пришло с [email protected]. Если перешлю письмо, кто-нибудь может посмотреть, что там, и как это расшифровать?
У меня накрыло все Ворды и Excel'и, фотографии и pdf не пострадали, к счастью.

Буду благодарен за любую помощь!

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 03.10.2016 15:22:05

@Michael Bassfender,
расшифровки по этому варианту Ваулта нет.
важные документы (+ VAUlt.key) можно сохранить на отдельный носитель и ждать до лучших времен,
возможно, когда нибудь будет решение

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 09.11.2016

Размещено 09.11.2016 06:56:03

Здравствуйте! Попался вирус Vault и зашифровал часть данных. Прикладываю образ автозапуска. Что делать?

Прикрепленные файлы

MICROSOF-3207DA_2016-11-09_06-39-58.7z (388.47 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.11.2016 07:11:10

Анна,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VAULT.HTA ;------------------------autoscript--------------------------- hide %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE chklst delvir delref HTTP://CRASH-REPORTS.BROWSER.YANDEX.NET/SUBMIT delref HTTP://WEBALTA.RU delref HTTP://WEBALTA.RU/POISK regt 27 ; Java(TM) 6 Update 6 exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160060} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VAULT.HTA
;------------------------autoscript---------------------------

hide %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
chklst
delvir

delref HTTP://CRASH-REPORTS.BROWSER.YANDEX.NET/SUBMIT

delref HTTP://WEBALTA.RU

delref HTTP://WEBALTA.RU/POISK

regt 27
; Java(TM) 6 Update 6
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160060} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке файлов решения нет в вирлабах,
если есть такая возможность восстанавливайте документы из архивных копий.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 09.11.2016

Размещено 09.11.2016 09:02:43

Здравствуйте. Поймали вирус Vault на двух компьютерах, один успели выключить и пострадало только часть файлов, а на другом все файлы за шифровались. Прикладываю образы автозагрузок с двух компьютеров, файл Костенко - все файлы зашифрованы, Артаев - часть файлов зашифровано.

Прикрепленные файлы

ARTAEV-NA-6_2016-11-09_08-40-54.rar (525.69 КБ)
KOSTENKOVA-39_2016-11-09_08-22-12.rar (889.48 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.11.2016 10:00:53

по компьютеру Костенкова

выполните очистку системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE del %SystemDrive%\USERS\KOSTENKOVA.NICPT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA ;------------------------autoscript--------------------------- chklst delvir delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://SEARCH.QIP.RU deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
del %SystemDrive%\USERS\KOSTENKOVA.NICPT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://SEARCH.QIP.RU

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.11.2016 10:09:16

по компутера Артаева:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delref HTTP://WWW.SMAXL.NET delref HTTP://WWW.SMAXL.NET/ ;------------------------autoscript--------------------------- chklst delvir delhst 109.200.202.44 m.odnoklassniki.ru delhst 109.200.202.44 ok.ru delhst 109.200.202.44 m.ok.ru delhst 109.200.202.44 www.odnoklassniki.ru regt 14 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delref HTTP://WWW.SMAXL.NET
delref HTTP://WWW.SMAXL.NET/
;------------------------autoscript---------------------------

chklst
delvir

delhst 109.200.202.44 m.odnoklassniki.ru
delhst 109.200.202.44 ok.ru
delhst 109.200.202.44 m.ok.ru
delhst 109.200.202.44 www.odnoklassniki.ru
regt 14
deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Пред. 1 ... 36 37 38 39 40 41 След.