файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Не находит(
Попробуйте  найти этим: http://forum.esetnod32.ru/forum8/topic708/

Ищите по расширению: .hta
Изменено: RP55 RP55 - 04.06.2016 18:42:57
и все файлы vault поищите, но не в расширении, а в заголовке файла
Есть, Был в \Users\AppData\Roaming
вот здесь прописан запуск банера

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\MSHTA.EXE
Имя файла                   MSHTA.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске
File_Id                     525B93778000
Linker                      11.0
Размер                      13824 байт
Создан                      03.12.2013 в 17:16:38
Изменен                     03.12.2013 в 17:16:38
                           
TimeStamp                   14.10.2013 в 06:47:19
EntryPoint                  +
OS Version                  0.3
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                           
Оригинальное имя            MSHTA.EXE.MUI
Версия файла                11.00.9600.16428 (winblue_gdr.131013-1700)
Описание                    Microsoft® HTML приложение
Copyright                   © Корпорация Майкрософт. Все права защищены.
Производитель               Microsoft Corporation
                           
Доп. информация             на момент обновления списка
SHA1                        83C70C66CD4E971BE2E36EFDC27FBCB7FF289032
MD5                         95828D670CFD3B16EE188168E083C3C5
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Classes\CLSID\{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}\LocalServer32\
                           
Ссылка                      HKEY_USERS\S-1-5-21-3719461067-3724314094-1146207411-1001\Software\Microsoft\Windows\CurrentVersion\Run\VAULT Notification
VAULT Notification          mshta C:\Users\Dmitry\AppData\Roaming\VAULT.hta
                           
из реестра надо удалить эту запись

Цитата
HKEY_USERS\S-1-5-21-3719461067-3724314094-1146207411-1001\Software\Microsoft\Windows\CurrentVersion\Run\VAULT
Notification
файл может иметь атрибут "скрытый", поэтому ищите этот файл в файловом менеджере: total или far
Файл не был скрытым, удалил. Спасибо!
Остались не дешифрованные файлы, я так понимаю, что за расшифровку надо заплатить вымогателям?` ( Это ни в коей мере не преуменьшает заслуги саппорта, который реально оперативно помог с рядом проблем, за что отдельный РЕСПЕКТ!) С дешифратором, как я понял, надо ждать?
дешифратора, скорее всего не будет.
по предыдущим версиям этого энкодера расшифровки нет до сих пор. (прошло уже больше чем полгода с момента выхода этого типа шифраторов).
кому сильно нужны файлы.vault, то надо идти на поклон к злодеям.
Читают тему (гостей: 2)