новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS

Сообщений: 2

Баллов: 1

Регистрация: 02.11.2015

Размещено 02.11.2015 10:33:34

Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.

http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки

Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 5 6 7 8 9 ... 41 След.

Сообщений: 9

Баллов: 4

Регистрация: 05.11.2015

Размещено 09.11.2015 16:06:10

Цитата
santy написал: проверьте вариант расшифровки на форуме ДрВеб, какое то решение у них есть в техподдержке.

Что то не нашёл там ничего подходячего для этого вируса. Киньте ссылку где Вы там читали ?

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 09.11.2015 16:25:05

Alex_Serena,
кто ищет, тот всегда найдет
http://forum.drweb.com/index.php?showforum=35

Цитата
Возможна расшифровка файлов, пострадавших от действия последней версии троянца-шифровальщика «Vault» 9 ноября 2015 года Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, пострадавших от действия опасного троянца-энкодера Trojan.Encoder.2843, известного пользователям под именем «Vault».

Цитата

Возможна расшифровка файлов, пострадавших от действия последней версии троянца-шифровальщика «Vault»

9 ноября 2015 года

Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, пострадавших от действия опасного троянца-энкодера Trojan.Encoder.2843, известного пользователям под именем «Vault».

http://news.drweb.ru/show/?i=9689&lng=ru&c=14

Изменено: santy - 09.11.2015 17:28:04

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 05.11.2015

Размещено 10.11.2015 08:31:31

Цитата
santy написал: кто ищет, тот всегда найдет http://forum.drweb.com/index.php?showforum=35 http://news.drweb.ru/show/?i=9689&lng=ru&c=14

За вторую ссылку спасибо ! Почитал и вычитал.
---
Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web.
---
У нашей организации её нет, у нас официально NOD32. Так что облом-с.

Кстати не понял вот этой рекомендации.

ни в коем случае не пытайтесь переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит;

Почему они отговаривают от переустановки ? Форматнул диск и установил заново - какие проблемы то ?

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 10.11.2015 08:52:32

Цитата
Alex_Serena Alex_Serena написал: Почему они отговаривают от переустановки ? Форматнул диск и установил заново - какие проблемы то ?

потому что проблема с расшифровкой документов не решается с помощью переустановки системы.
это должно быть очевидно.

[ Как создать образ автозапуска? ]

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 10.11.2015 08:59:22

Alex_Serena Alex_Serena,
напоминаем, что вирусы, архивы с вирусами с паролем infected надо отправлять в [email protected]
(сюда можно еще [email protected])
на форуме не надо постить вирусные тела.
---------
похоже на свежий ВАУЛТ.2

как вариант защиты против ВАУЛТ.2 - сделайте папку в корне диска, добавьте в нее несколько документов doc, xls и защитите файлы папки от изменения и удаления с помощью HIPS.

Изменено: santy - 10.11.2015 10:43:22

[ Как создать образ автозапуска? ]

Сообщений: 257

Баллов: 205

Регистрация: 17.05.2014

Размещено 10.11.2015 10:55:47

Цитата
santy написал: как вариант защиты против ВАУЛТ.2 - сделайте папку в корне диска, добавьте в нее несколько документов doc, xls и защитите файлы папки от изменения и удаления с помощью HIPS.

Что даёт такая защита? Типа ваулт.2 начинает сканирование с корня, нарывается на такую папку, обламывается, крашится исполняемый процесс/программа и шифрование прерывается?

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 10.11.2015 11:02:14

NickM,
мы не работаем в техподдержке ВАУЛТа, чтобы разбирать детально ошибки этого шифратора,

просто выдаем рекомендации пользователям ЕСЕТ на основе опытов и наблюдений.

Изменено: santy - 10.11.2015 13:36:55

[ Как создать образ автозапуска? ]

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 10.11.2015 11:50:07

вот реакция в песочнице Комодо на запуск исполняемого файла из js
http://camas.comodo.com/cgi-bin/submit?file=335dd30743ae9579c436adcc10e7aff6e1acebd5e139924eb73f5038c7974c1d

Цитата
• Values Created Name Type Size Value CU\Software\Microsoft\ REG_BINARY 19792 ? CU\Software\Microsoft\Windows\ REG_BINARY 4623 ? • Directories Created Name Last Write Time Creation Time Last Access Time Attr C:\WINDOWS\system32\KB911164 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 0x14 • Files Created Name Size Last Write Time Creation Time Last Access Time Attr C:\WINDOWS\system32\KB911164\acctres.dll 64512 2007.07.27 12:00:00.000 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 0x20 C:\WINDOWS\system32\KB911164\KB911164.exe 120834 2007.07.27 12:00:00.000 2007.07.27 12:00:00.000 2008.08.08 09:14:22.234 0x4 C:\WINDOWS\system32\KB911164\KB911164.lnk 1579 2007.07.27 12:00:00.000 2007.07.27 12:00:00.000 2008.08.08 09:14:22.234 0x2 • Processes Created PId Process Name Image Name 0x4b4 explorer.exe C:\WINDOWS\explorer.exe • Files Deleted Name Size Last Write Time Creation Time Last Access Time Attr C:\TEST\sample.exe 120834 2009.01.09 10:37:25.218 2009.01.09 10:36:42.187 2009.01.09 10:36:42.187 0x20

Цитата

• Values Created
Name Type Size Value
CU\Software\Microsoft\ REG_BINARY 19792 ?
CU\Software\Microsoft\Windows\ REG_BINARY 4623 ?

• Directories Created
Name Last Write Time Creation Time Last Access Time Attr
C:\WINDOWS\system32\KB911164 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 0x14

• Files Created
Name Size Last Write Time Creation Time Last Access Time Attr
C:\WINDOWS\system32\KB911164\acctres.dll 64512 2007.07.27 12:00:00.000 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 0x20
C:\WINDOWS\system32\KB911164\KB911164.exe 120834 2007.07.27 12:00:00.000 2007.07.27 12:00:00.000 2008.08.08 09:14:22.234 0x4
C:\WINDOWS\system32\KB911164\KB911164.lnk 1579 2007.07.27 12:00:00.000 2007.07.27 12:00:00.000 2008.08.08 09:14:22.234 0x2

• Processes Created
PId Process Name Image Name
0x4b4 explorer.exe C:\WINDOWS\explorer.exe

• Files Deleted
Name Size Last Write Time Creation Time Last Access Time Attr
C:\TEST\sample.exe 120834 2009.01.09 10:37:25.218 2009.01.09 10:36:42.187 2009.01.09 10:36:42.187 0x20

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 12.11.2015

Размещено 12.11.2015 06:57:49

Добрый день! и на этом успокоиться?

Изменено: Дмитрий Овчаров - 10.08.2016 09:27:07

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 12.11.2015 07:11:16

ВАУЛТ, да не тот.
это новый вариант распространяется со 2 ноября.
по ходу будет модифицироваться и совершенствоваться в сокрытии от антивирусов и от расшифровки зараженных документов антивирусными аналитиками.
возможно у него будет такая же долгая и продуктивная жизнь (со большим количеством полученных биткойнов от пострадавших пользователей),
как и у предыдущего варианта bat-энкодера, с шифрованием openPGP,
поэтому изучите и применяйте все известные способы защиты ваших документов.

Изменено: santy - 10.08.2016 09:27:07

[ Как создать образ автозапуска? ]

Пред. 1 ... 5 6 7 8 9 ... 41 След.