Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 9 10 11 12 13 ... 49 След.
вообще интересно. время шифрования файла
(05.03.2015 8:32:54 UTC)
а время создания ключа secring.gpg на три минуты позднее
05.03.2015 8:35:41 UTC)

но ключи с разными ID.
выложите, или вышлите еще несколько зашифрованных файлов.
-------------
понятно. поищите на диске среди удаленных vaultkey.vlt в нем secring.gpg помещен без шифрования.
Изменено: santy - 04.06.2016 17:49:57
Просто процедуру повторял несколько раз. Мне удалось поймать файл secring.gpg в нужный момент и расшифровать файлы.
При каждом запуске вируса создается ключ с уникальным ID
Изменено: Дмитрий Аверин - 04.06.2016 17:49:57
понятно. сам иногда такие эксперименты проделываю :). чтобы посмотреть на запчасти шифратора.

поищите на диске среди удаленных vaultkey.vlt в нем secring.gpg помещен без шифрования.
 не находит :(. А если бы нашел, то как его достать?
Изменено: Дмитрий Аверин - 04.06.2016 17:49:57
через функцию import, ключ будет извлечен.
Цитата
gpg.exe --import vaultkey.vlt

там просто алгоритм работы такой.
вначале создается пара puring.gpg/secring.gpg
затем все секретные ключи экспортируются на файл vaultkey.vlt
затем файл vaultkey.vlt шифруется, но уже другим ключом
pub key злоумышленников.
после этого шифрования ваш ключ обратно извлечь могут только они сами. поскольку sec key необходимый только у них хранится.
Изменено: santy - 04.06.2016 17:50:39
Спасибо! Получается, что на первоначально зараженном компьютере файлы secring.gpg и vaultkey.vlt были сначала перезаписаны в 0 а затем удалены. Восстановить их не возможно.   Интересно, а нельзя изменить ID ключа?
Изменено: Дмитрий Аверин - 04.06.2016 17:50:39
да, там спец. утилита sdelete Руссиновича) используется для затирания этих файлов.

Цитата
"%temp%\audiodg.exe" /accepteula -p 16 -q "%temp%\secring.gpg"
"%temp%\audiodg.exe" /accepteula -p 16 -q "%temp%\vaultkey.vlt"
"%temp%\audiodg.exe" /accepteula -p 16 -q "%temp%\confclean.list"

в этом файле confclean.list хранятся полные пути на все зашифрованные документы. файл после шифруется и помещается в CONFIRMATION.KEY
Изменено: santy - 04.06.2016 17:50:39
Хотелось бы сказать, что автор молодец, но испортил работу изрядно нам.
Я его к сожалению удалила.
В письме говорилось о том, что "Вами не оплачен счет на поставку компьютерной техники" и приложен файл-счет". Я его открыла и все значки стали с расширением .vault
ну, молодцы здесь разработчики PGP/GNUPG, которые создали надежную криптостойкую систему шифрования (и те кто создавал алгоритмы шифрования), а злоумышленники лишь воспользовались результатами их работы. :)
Изменено: santy - 04.06.2016 17:50:39
Пред. 1 ... 9 10 11 12 13 ... 49 След.
Читают тему