Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
 
тагир гайсин
тагир гайсин
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 02.11.2015
Размещено 02.11.2015 10:33:34
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 28 29 30 31 32 ... 41 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.05.2016 03:49:52
это не bat-encoder, метод шифрования не GnuPG
gpg: no valid OpenPGP data found.
gpg: processing message failed: eof

File: X:\viruses\shifr\encoder\VAULT.2.new\100\vault\Апрель.xls.vault
Time: 26.05.2016 7:48:15 (26.05.2016 0:48:15 UTC)
-------------
если сохранилось вредоносное вложение из электронной почты, вышлите на адрес [email protected] в архиве, с паролем infected
[ Как создать образ автозапуска? ]
 
Алексей Кузнецов
Алексей Кузнецов
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 26.05.2016
Размещено 26.05.2016 08:45:36
Отправил в почту файл 5c1e573394f.rar с паролем infected.
 
Руслан Панферов
Руслан Панферов
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 26.05.2016
Размещено 26.05.2016 10:46:50
Добрый день. Поймали Vault 25.05.2016
Оплатили за sec.key. Скачали DEC.exe ,запустили, но расшифровка не происходит, на каждом файле ERROR.
Пробовали запускать от имени администратора, не помогло,
Можете помочь дешифровать?  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.05.2016 10:50:15
Алексей,
продублируйте сообщение, пока нет ничего в почте.

опс, получено, оказывается в папке Спам у меня много чего интересного накопилось за последнее время :)
Изменено: santy - 10.08.2016 09:29:58
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.05.2016 10:53:33
Руслан,
вышлите sec.key, dec.exe и несколько зашифрованных файлов в архиве, с паролем infected в почту [email protected]
[ Как создать образ автозапуска? ]
 
Алексей Кузнецов
Алексей Кузнецов
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 26.05.2016
Размещено 26.05.2016 11:32:40
Несколько зашифрованных файлов у меня так же сохранились в оригинальном виде. Могут они пригодиться при анализе?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.05.2016 11:36:55
по Ваулту дело не продвигается, нет расшифровки.
там скорее всего реализовано шифрование с RSA ключом, т.е. зашифровано публичной частью ключа, а секретная часть только у мошенников, и на компьютере пользователя не светится.
Изменено: santy - 10.08.2016 09:29:58
[ Как создать образ автозапуска? ]
 
Алексей Кузнецов
Алексей Кузнецов
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 26.05.2016
Размещено 26.05.2016 11:46:18
Ага. Т.е. это и есть этот, самый запущенный, случай?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.05.2016 11:49:00
да, как правило такие случаи шифрования практически безнадежны, если шифратор не оставляет следов в системе о своем секретном ключе.
обратите внимание на превентивные меры, т.е. на локальные политики, которые запрещают запуск исполняемых из архивов.
на сегодня, из тех что мне известны, мертвые шифраторы: ВАУЛТ, ctblocker, Ransom.Shade (во всех своих проявлениях)
Изменено: santy - 10.08.2016 09:29:58
[ Как создать образ автозапуска? ]
 
Алексей Кузнецов
Алексей Кузнецов
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 26.05.2016
Размещено 26.05.2016 12:37:13
Меня удивила скорость с которой все произошло. Если анализировать время создания файлов, то получается что более 60-ти ГБайт он зашифровал за время около 2-х минут. Если например предположить что при этом он должен  был создать зашифрованную копию файла, а потом ей затереть оригинальный файл, то на вскидку, это где-то на физическом пределе скорости для этой системы. Диск обычный SATA, не SSD, проц атлон на 3000 ГГц... Вообщем такую бы расторопность этому компьютеру в повседневных задачах.
 
Пред. 1 ... 28 29 30 31 32 ... 41 След.
Читают тему