файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Не сильно они нужны, в пересылке по mail файлы не криптуются, запарка на 1-2 дня, я с ужасом прикидываю ситуацию, если бы криптограф дошел-бы до сервера и попаганил 1 С файлы... Реально задумаешься об оплате ххх баксов
Я правильно понял, что нет панацеи от этого вредоносного воздействия? Как всегда бди в кубе?
Цитата
Дмитрий Морозов написал:
Не сильно они нужны, в пересылке по mail файлы не криптуются, запарка на 1-2 дня, я с ужасом прикидываю ситуацию, если бы криптограф дошел-бы до сервера и попаганил 1 С файлы... Реально задумаешься об оплате ххх баксов
реально надо задуматься о других вещах.
1. регулярное создание архивных копий всех важных файлов, документов, баз
2. настроить локальные политики безопасности таким образом, чтобы левые приложения не запускались на серверах и рабочих станциях
3. зайдите на форум Касперского и вы увидите ту же самую картину - "зачем мы платим вам за антивирус, если вы пропускаете шифраторы и потом месяцами расшифровываете документы"
4. как правило громче всех кричат об этом те, кто палец о палец не ударил, чтобы улучшить политику безопасности на своем предприятии
5. поглубже вникните в вопросы шифрования и криптологии, и вы поймете, что спецы которые занимаются разработкой алгоритмов шифрования делают все возможное для того, чтобы документы зашифрованные по их алгоритмам не были расшифрованы за разумное время.
Нужно отметить очень продуманное написание письма. Пришло сегодня такое же с шифровальщиком в zip файле  счет.doc.js

Сразу и не поймешь что оно левое. Вирус зашифровал часть файлов на диске С ( doc и xls) переименовал их в  файл  vault
Диск D и важные документы не тронул и картинки не тронуты. После перезагрузки убрал из автозагрзки его. Почистил папку TEMP. Больше он ничего не шифровал. Вроде как удален. Антивирус NOD32 .4.2 (Активирована "защита документов" и установлены последние обновления база антивируса)  никак не отреагировал и пропустил этот вирус шифровальщик. Отправил  через сайт этот файл пусть добавляют в базу.
GcawKwS-tbo.jpg (83.62 КБ)
Сделайте запрос по поводу расшифровки файлов на адрес support@esetnod32.ru

Если есть возможность, отправьте мне ссылку на загрузку файла счет.doc.js  мне в личку или на почту sendvirus2011@gmail.com

Спасибо.
К сожалению дома нет. На работе образец, завтра обязательно скину! Это похоже сегодня была огромная рассылка этих писем в  основном по государственным и муниципальным учреждением. Надо срочно добавлять в базу сигнатуру!
им ничего не стоит изменить тело js, поэтому сигнатурный детект опять слетит.
а вот ссылку на загрузку файла надо было бы прислать в вирлаб и сюда, с тем чтобы заблокировали адрес.
может быть это был mail-attach.com?
--------
после завершения работы шифратора в автозапуске остается только запуск заставки и текста объявления.
сам шифратор (касается vault) повторно после перезагрузки не запускается.
--------
предыдущий вариант письма

Цитата
Добрый день!

К нам заявились налоговики с проверкой((
Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества.
Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены.
Я составила список документов (во вложении). Прошу Вас помочь с их поиском...
Скиньте хотя бы скан-копии, а то мы влетим на штрафы.
Заранее большое спасибо!

Прикреплённые файлы:
<u>1. Список документов.zip</u>

--
С Уважением
Сотрудники бухгалтерии
ООО "Город Инструмента"
Изменено: santy - 04.06.2016 17:40:13
Сайт не помню, завтра скину. Но что то подобное там в ссылке было. Подскажите действия в качестве кардинального запрета запуска всех js файлов для профилактики таких вирусов. Может ли спасти запрет запуска макросов VBA в Word? Или вообще удалить этот microsoft visual basic
Изменено: Виктор Астанин - 04.06.2016 17:40:14
1. пробуйте запретить с помощью локальных политик ограниченного запуска программ запуск исполняемых файлов из архивов rar и zip.
как правило вложение распаковывается в temp и оттуда запускается.

2. это полезно прочесть
http://chklst.ru/forum/discussion/1474/shifrovirusy-shumnoy-tolpoyu-

и

http://chklst.ru/forum/discussion/532/bat-encoder
Цитата
santy написал:
1. пробуйте запретить с помощью локальных политик ограниченного запуска программ запуск исполняемых файлов из архивов rar и zip.

у вас есть инструкция как это сделать?
Читают тему (гостей: 1)