файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

это работа для администратора по безопасности, или для доменного админа, если у вас в организации есть домен и такой админ.
в статье я добавил ссылку  на тему
http://www.it-lines.ru/blogs/security/srp-luchshaya-besplatnaya-zashhita-ot-virusov
но надо тщательно проверять и тестировать правила.
Вдруг кому такая информация будет полезна - вот вариант письма, что мне пришло:

"Добрый день,
Отправляю Вам Акт сверки за прошлый год (в приложении).
Просьба рассмотреть и согласовать документ.
Спасибо."

и ссыль на letter-attachment

письмо пришло с угнанного ящика поставщика.
добавьте полный текст письма
Сергей Достовалов, нужна полезная информация: например, текст письма, которое было получено от злоумышленников,
а не реклама страницы злоумышленников с информацией о выкупе.
Сергей Достовалов, здесь нужно всего то текст сообщения из электронной почты (который вы получили), чтобы другие пользователи прочитали, и были предупреждены.
Вирусы в этой теме не нужны. отправьте их в support@esetnod32.ru
Что-то очень долго ходят ответы с support@esetnod32.ru
Помнить с 2 года назада на подобный шифровальщик за час решение сделали - фотки шифровал.
Нам пришло вот такое:

С этой конторой мы и правда сотрудничали - бухи им позвонили ещё после того, как случилось - они сказали, что у них ломанули почту и сейчас им все звонят с такими же жалобами.
На 7-ке зашифровало файлы в моих доках и на раб столе - doc, docx, xls, xlsx. В подпапках Моих Доков не тронуло почему-то. Прлописался в автозагрузку и на раб столе создал 2 файла кей и редми с инструкцией.
В 8.1 винде отработал странно - зашифровал только xls и doc - новые форматы не тронул, но и в подпапаках шифранул. В автозагрузку не добавился и файлы не появились на столе.
В саппорт по емейлу выше отправил вчера в 16 зявку, в 21 попросили файлы. И пока молчание.
Когда письмо пришло ни Нод, ни Каспер, ни Аваст не определили вирусю.
Касперский лаба ответили и в письме и на форуме своём, что не могут расшифровать и что сейчас детектируется вирус с 24 февраля как Trojan-Downloader.JS.Scatter.k
ДоктоВеб тоже пока молчат.
Говорят, что уже и оплатить не выйдет - не присылают в ответ ничего - кто-то попробовал...
ESET хелп! На вас одних надежда.
vault в автозапуск добавляет только информационные сообщения. шифрование (если незавершено) после перезапуска системы прекращается.
вся сцена происходит в %temp% юзера. расшифровки *.vault нет ни у кого. и ни будет, скорее всего в ближайшее время.
если только приватный ключ 0xB6DAB2C0/0x996E88A8 не сольет добрая и раскаявшаяся душа.
так что спасение пользователям следует ожидать либо из архивных, либо из чистых теневых копий.
Изменено: santy - 04.06.2016 17:41:15
Андрей Свирида, это похоже на рекламу злоумышленников, как им заплатить за расшифровку, поэтому сообщение удаляю, полезной информации 0, ничего он не смог расшифровать, пошел с оплатой на поклон злоумышленникам
от них получил свой приватный ключ для расшифровки, который подойдет только к его файлам, и больше никому не будет полезен.
(у меня таких приватных ключей целая связка от прошлого варианта бат_энкодера, да и от vault-а тоже есть, но расшифровать им я могу только свои зашифрованные тестовые файлы)
Изменено: santy - 04.06.2016 17:41:15
кому интересно поделиться опытом на тему "как я заплатил злоумфышленникам за расшифровку документов", откройте тему во флудилке, там самое место для обмена подобным опытом.
Изменено: santy - 04.06.2016 17:41:15
santy, сработал бы этот вирус. если бы пользователь компа не обладал правами администратора?
Изменено: Виктор Астанин - 04.06.2016 17:41:15
Читают тему (гостей: 1)