Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 20:27:57
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 30 31 32 33 34 ... 49 След.
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 14.04.2015 08:47:40
Элина,
прочтите VAULT. что делать?
http://forum.esetnod32.ru/forum35/topic11845/

если останутся вопросы после чтения этой статьи - спросите.
смысла нет повторять одно и тоже в 10 раз. если нет живого secring.gpg на диске, то помочь с расшифровкой не сможем. как бы этого не хотелось.
[ Как создать образ автозапуска? ]
 
Сергей Жигарев
Сергей Жигарев
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 14.04.2015
Размещено 14.04.2015 09:38:21
Добрый день поймали шифратор в организации, eset его понял только через день.
Вообщем зашифровал стандартный набор "оффис и имадж" фаилы.
Теневых на компьютере небыло. Но есть небольшая разница в описании с остальными .vault
Дополнительно присутствует еще 1 файл "04fba9ba_vault.key"
По описанию не разобрался, нашел только код самого скрипта.
Помогите разобраться что это 2ключ или просто утка?
код скрипта:
Скрытый текст
не удается прикрепить, дал ссылку.
Изменено: Сергей Жигарев - 04.06.2016 18:25:58
 
Элина Данилина
Элина Данилина
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 14.04.2015
Размещено 14.04.2015 09:44:06
Вопрос был в том - теневые копии создаются только на 7 и 8, а в XP такого нет что ли? и если есть, то как их найти.
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 14.04.2015 09:46:36
не понятен смысл отсылки на форум касперклуба.
по VAULT посмотрите статью
http://forum.esetnod32.ru/forum35/topic11845/
если будут вопросы после прочтения задайте здесь
---
если есть свежий шифратор VAULT, вышлите в почту [email protected]
это файл js в архиве zip
лучше выслать в архиве с паролем infected
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 14.04.2015 09:47:55
в XP такого нет.
в точки восстановления копируются только системные файлы. документы в т.в. не копируются
[ Как создать образ автозапуска? ]
 
Сергей Жигарев
Сергей Жигарев
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 14.04.2015
Размещено 14.04.2015 09:54:58
Ссылка на код тела(3тье сообщение в теме), где присутствует создание некого файла "ключа" описанного выше, просто тут на форум не удалось его перенести.
Хорошо сейчас скину, но по сути заражение было 8ого числа, и 9ого есет его уже опознал и убил в почте, но копия была.
 
Элина Данилина
Элина Данилина
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 14.04.2015
Размещено 14.04.2015 10:09:07
Очень жаль, спасибо за ответ.
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 14.04.2015 10:10:22
по работе шифратора нам все известно.
(в том числе и про GnuPG)
что запускается, какие файлы используются для шифрования, чем можно расшифровать.
что необходимо для расшифровки и т.д.
все это не раз проверялось на виртуальной машине,
проблема в том, что в реальном случае заражения в отличие от эксперимента на вирт. машине как правило не получается ни у кого перехватить или восстановить после удаления нужный ключ secring.gpg
а без secring.gpg расшифровка документов невозможно.
--------
единственно бывают чудеса, когда файлы не зашифрованы, а лишь переименованы. но крайне редко.
Изменено: santy - 04.06.2016 18:25:58
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 14.04.2015 10:14:51
да, постарайтесь на будущее хотя бы защититься от VAULT, например, запретив запуск исполняемых файлов з архива, через политики
это поможет пока злоумышленники не поменяют механизм распространения и запуска энкодера.

спец. для вас откопирую сюда рекомендации

Цитата
как можно избежать встречи с VAULT?
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом. Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:

XP:%userprofile%\Local Settings\Temp\_tc\*.js
Win7:%userprofile%\Appdata\Local\Temp\_tc\*.js


3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg. в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае шифрование состоится, но известным ключом. Или не состоится.
Изменено: santy - 04.06.2016 17:57:04
[ Как создать образ автозапуска? ]
 
Сергей Жигарев
Сергей Жигарев
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 14.04.2015
Размещено 14.04.2015 10:15:14
Похоже есет и копию скушал, не могу найти диске том....

да это я вкурсе, мне больше интересно что за еще 1 ключ фаил он создал...
обнаружились файлы "VAULT.KEY, CONFIRMATION.KEY и 04fba9ba_VAULT.KEY" вот что за последний меня и интересует.
Изменено: Сергей Жигарев - 04.06.2016 18:25:58
 
Пред. 1 ... 30 31 32 33 34 ... 49 След.
Читают тему