файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 43 44 45 46 47 ... 49 След.
скажите пожалуйста, у меня есть этот файл, мог ли я как то расшифровать? но правда он 0кб
Иван Бондарев,
о каком файле вы говорите? о secring.gpg? если он с нулевым размером, то он бесполезен для расшифровки.
вышлите все что у вас сохранилось в папке %temp% после запуска vault в архиве с паролем infected в почту safety@chklst.ru
Изменено: santy - 04.06.2016 18:06:15
перевыслал
Изменено: Иван Бондарев - 04.06.2016 18:06:15
Иван Бондарев,
secring.gpg нулевой, поэтому бесполезен для расшифровки документов.
поищите среди удаленных следующие файлы:
Цитата
%temp%\d623756e.1e103e00
%temp%\8eacbbf1.e2fe1f1a
Пользователь словил Vault, первые сообщения о заражении пришли на почту
Скрытый текст

комп. тут же от сети отключил но поздно. зашифровал файлы на локальном диске (*.doc и *.xls) ну и само паскудство на сетевых дисках, к которым юзер имел доступ. часть информации с бекапов поднял, но не всю

полечил Eset endpoint antivirus 5.0.2214.7, потом прогнал Malaware-bytes, затем AdwCleaener

собственно сейчас выложу файл образа с uVs и то что осталось на компе от вируса (ключи,gpg, cmd скрипты). может есть варианты расшифровать файлы ?
valera.png (38.04 КБ)
Изменено: kas - 04.06.2016 18:21:57
EAV-0136450696
kas,
судя по образу система сейчас чистая, единственно, можно удалить ярлыки браузера Оперы, и заново создать их.
там есть ссылка в ярлыке на webalta, она не нужна в ярлыке,
сайт с ней стартует при запуске оперы.

из ключей secring.gpg нулевой, поэтому расшифровка им невозможна.
доки зашифрованы этим ключом

Цитата
gpg: ключ с ID 8F934976: "Cellar"

File: X:\viruses\shifratory\VAULT\94\vault\vault\pubring.gpg
Time: 12.08.2015 20:26:17 (12.08.2015 14:26:17 UTC)

VAULT.key зашифрован этим ключом:

Цитата
gpg: RSA c ID 28B9CBE7

File: X:\viruses\shifratory\VAULT\94\vault\vault\VAULT.KEY
Time: 12.08.2015 20:27:29 (12.08.2015 14:27:29 UTC)
рекомендации здесь, для попытки самостоятельного восстановления документов.
http://chklst.ru/forum/discussion/1481/vault-chto-delat
Изменено: santy - 04.06.2016 18:21:57
kas,
и да, поясните, пожалуйста, по логам из спойлера.
стоял ESET и пропустил ВАУЛТ? или антивирус уже после заражения был установлен? и если был установлен до зашифровки, то в каком состоянии были антивирусные базы на момент зашифровки?

если вот эта штука вышла, значит процесс шифрования уже завершен

Цитата
12.08.2015 9:15:28 - Модуль Защита в режиме реального времени - Предупреждение об угрозе на ID-4: C:\DOCUME~1\user\LOCALS~1\Temp\VAULT.txt заражен BAT/Filecoder.AI троянская программа.
Изменено: santy - 04.06.2016 18:21:57
Цитата
и да, поясните, пожалуйста, по логам из спойлера. стоял ESET и пропустил ВАУЛТ

на клиенте в момент реации Eset было (по данным ERA):
Скрытый текст

так же в момент заражения была еще вот такая активность:


 вредонос смотрю активно развивается. т.е базы были актуальны. и эта машина еще начала по контактам в ms outlook по списку слать троянца
Изменено: kas - 04.06.2016 18:21:57
EAV-0136450696
kas,
возможно, но и маловероятно.
вчерашние варианты я тестировал, все прибивались антивирусом. некоторые детектировались еще на подлете, другие по факту запуска js
пользователь сказал прекратить попытку расшифровки т.к у него были бекапы на флешке. бекапы рулят! в очередной раз всем совет :)
тему можно закрывать.
EAV-0136450696
Пред. 1 ... 43 44 45 46 47 ... 49 След.
Читают тему (гостей: 1)