Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 20:27:57
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 2 3 4 5 ... 49 След.
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 20.02.2015 21:22:59
Не сильно они нужны, в пересылке по mail файлы не криптуются, запарка на 1-2 дня, я с ужасом прикидываю ситуацию, если бы криптограф дошел-бы до сервера и попаганил 1 С файлы... Реально задумаешься об оплате ххх баксов
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 20.02.2015 21:26:10
Я правильно понял, что нет панацеи от этого вредоносного воздействия? Как всегда бди в кубе?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.02.2015 06:01:58
Цитата
Дмитрий Морозов написал:
Не сильно они нужны, в пересылке по mail файлы не криптуются, запарка на 1-2 дня, я с ужасом прикидываю ситуацию, если бы криптограф дошел-бы до сервера и попаганил 1 С файлы... Реально задумаешься об оплате ххх баксов
реально надо задуматься о других вещах.
1. регулярное создание архивных копий всех важных файлов, документов, баз
2. настроить локальные политики безопасности таким образом, чтобы левые приложения не запускались на серверах и рабочих станциях
3. зайдите на форум Касперского и вы увидите ту же самую картину - "зачем мы платим вам за антивирус, если вы пропускаете шифраторы и потом месяцами расшифровываете документы"
4. как правило громче всех кричат об этом те, кто палец о палец не ударил, чтобы улучшить политику безопасности на своем предприятии
5. поглубже вникните в вопросы шифрования и криптологии, и вы поймете, что спецы которые занимаются разработкой алгоритмов шифрования делают все возможное для того, чтобы документы зашифрованные по их алгоритмам не были расшифрованы за разумное время.
[ Как создать образ автозапуска? ]
 
Виктор Астанин
Виктор Астанин
Пользователь
Сообщений: 24
Баллов: 12
Регистрация: 20.10.2014
Размещено 24.02.2015 19:02:19
Нужно отметить очень продуманное написание письма. Пришло сегодня такое же с шифровальщиком в zip файле  счет.doc.js

Сразу и не поймешь что оно левое. Вирус зашифровал часть файлов на диске С ( doc и xls) переименовал их в  файл  vault
Диск D и важные документы не тронул и картинки не тронуты. После перезагрузки убрал из автозагрзки его. Почистил папку TEMP. Больше он ничего не шифровал. Вроде как удален. Антивирус NOD32 .4.2 (Активирована "защита документов" и установлены последние обновления база антивируса)  никак не отреагировал и пропустил этот вирус шифровальщик. Отправил  через сайт этот файл пусть добавляют в базу.
GcawKwS-tbo.jpg (83.62 КБ)
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 24.02.2015 19:14:19
Сделайте запрос по поводу расшифровки файлов на адрес [email protected]

Если есть возможность, отправьте мне ссылку на загрузку файла счет.doc.js  мне в личку или на почту [email protected]

Спасибо.
 
Виктор Астанин
Виктор Астанин
Пользователь
Сообщений: 24
Баллов: 12
Регистрация: 20.10.2014
Размещено 24.02.2015 19:24:43
К сожалению дома нет. На работе образец, завтра обязательно скину! Это похоже сегодня была огромная рассылка этих писем в  основном по государственным и муниципальным учреждением. Надо срочно добавлять в базу сигнатуру!
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.02.2015 19:40:50
им ничего не стоит изменить тело js, поэтому сигнатурный детект опять слетит.
а вот ссылку на загрузку файла надо было бы прислать в вирлаб и сюда, с тем чтобы заблокировали адрес.
может быть это был mail-attach.com?
--------
после завершения работы шифратора в автозапуске остается только запуск заставки и текста объявления.
сам шифратор (касается vault) повторно после перезагрузки не запускается.
--------
предыдущий вариант письма

Цитата
Добрый день!

К нам заявились налоговики с проверкой((
Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества.
Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены.
Я составила список документов (во вложении). Прошу Вас помочь с их поиском...
Скиньте хотя бы скан-копии, а то мы влетим на штрафы.
Заранее большое спасибо!

Прикреплённые файлы:
<u>1. Список документов.zip</u>

--
С Уважением
Сотрудники бухгалтерии
ООО "Город Инструмента"
Изменено: santy - 04.06.2016 17:40:13
[ Как создать образ автозапуска? ]
 
Виктор Астанин
Виктор Астанин
Пользователь
Сообщений: 24
Баллов: 12
Регистрация: 20.10.2014
Размещено 24.02.2015 19:50:55
Сайт не помню, завтра скину. Но что то подобное там в ссылке было. Подскажите действия в качестве кардинального запрета запуска всех js файлов для профилактики таких вирусов. Может ли спасти запрет запуска макросов VBA в Word? Или вообще удалить этот microsoft visual basic
Изменено: Виктор Астанин - 04.06.2016 17:40:14
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.02.2015 20:13:39
1. пробуйте запретить с помощью локальных политик ограниченного запуска программ запуск исполняемых файлов из архивов rar и zip.
как правило вложение распаковывается в temp и оттуда запускается.

2. это полезно прочесть
http://chklst.ru/forum/discussion/1474/shifrovirusy-shumnoy-tolpoyu-

и

http://chklst.ru/forum/discussion/532/bat-encoder
[ Как создать образ автозапуска? ]
 
Виктор Астанин
Виктор Астанин
Пользователь
Сообщений: 24
Баллов: 12
Регистрация: 20.10.2014
Размещено 24.02.2015 20:22:25
Цитата
santy написал:
1. пробуйте запретить с помощью локальных политик ограниченного запуска программ запуск исполняемых файлов из архивов rar и zip.

у вас есть инструкция как это сделать?
 
Пред. 1 2 3 4 5 ... 49 След.
Читают тему