Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
 
тагир гайсин
тагир гайсин
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 02.11.2015
Размещено 02.11.2015 10:33:34
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 20 21 22 23 24 ... 41 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.01.2016 12:13:22
Владимир,
сделайте образ автозапуска для системы с шифратором ВАУЛТ. я так понимаю что она сейчас неактивна.
надо запустить uVS из активной системы,
и указать ему (выбрать систему) с какого диска (выбрать каталог win на этом диске) должен быть сделан образ автозапуска.
и запостить созданный файл. проверим, есть там что-то в автозапуске или нет.
Изменено: santy - 13.06.2016 15:32:34
[ Как создать образ автозапуска? ]
 
Владимир Шариков
Владимир Шариков
Пользователь
Сообщений: 148
Баллов: 118
Регистрация: 25.03.2011
Размещено 13.01.2016 12:55:24
Цитата
santy написал:
и указать ему (выбрать систему) с какого диска (выбрать каталог win на этом диске) должен быть сделан образ автозапуска.
При включении Указал "k:\windows", моя стоит стандартно на С. Проверте, вроде получилось. Думаю сейчас его почистим с моего Компа, я его переставлю в своё тело, и дальнейшую проверку продолжем там верно?
Изменено: Владимир Шариков - 13.06.2016 15:33:39
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.01.2016 14:30:18
Владимир, да, в автозапуске прописан запуск шифратора.
Полное имя                  K:\WINDOWS\SYSWOW64\IE5BAKEX\IE5BAKEX.LNK
Имя файла                   IE5BAKEX.LNK
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN.LIST                    (ССЫЛКА ~ POLICIES\EXPLORER\RUN\)(1) [auto (1)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      1868 байт
Создан                      16.04.2013 в 21:50:49
Изменен                     17.11.2011 в 09:38:39
Атрибуты                    СКРЫТЫЙ  
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
                           
Доп. информация             на момент обновления списка
SHA1                        5321EEEB083E328B802D465DDAEC3D70C847D407
MD5                         0579E0135CFB690D7C04691F9FC55B9A
                           
Ссылки на объект            
Ссылка                      HKLM\uvs_software\Microsoft\Windows\CurrentVersion\Policies\­Explorer\Run\IE5BAKEX
IE5BAKEX                    C:\Windows\SysWOW64\IE5BAKEX\IE5BAKEX.lnk
                           
------------------
сейчас добавлю скрипт для очистки.
[ Как создать образ автозапуска? ]
 
POUL UILIAMSON
POUL UILIAMSON
Пользователь
Сообщений: 25
Баллов: 12
Регистрация: 26.08.2015
Размещено 13.01.2016 14:50:40
https://cloud.mail.ru/public/uVKS/KAsTq6pA8
закодировал vault в ноябре  никаких махинаций по зачистке вируса не производил только просканировал диск с лицензией нода 4 !
 
Владимир Шариков
Владимир Шариков
Пользователь
Сообщений: 148
Баллов: 118
Регистрация: 25.03.2011
Размещено 13.01.2016 15:49:19
Я жду скрипт верно?  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.01.2016 16:27:17
да, сейчас добавлю скрипт.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.01.2016 16:34:49
опять же, когда стартуете uVS, надо выбрать систему с вашего проблемного диска.
далее, выполняете скрипт.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем систему с вашего проблемного диска, меню - скрипты - выполнить скрипт из буфера обмена;
Код

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
delall %SystemRoot%\SYSWOW64\IE5BAKEX\IE5BAKEX.LNK
zoo %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
delall %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
delall %Sys32%\DRIVERS\{C5E48979-BD7F-4CF7-9B73-2482A67A4F37}GW64.SYS
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

delref %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\NEWSI_1801\S_INST.EXE

delref %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\NEWSI_21590\S_INST.EXE

deldirex %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\SWEET-PAGE

delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1410935445&FROM=COR&UID=WDCXWD5000AAKX-08U6AA0_WD-WCC2EAPT5367T5367&Q={SEARCHTERMS}

delref %Sys32%\DRIVERS\SSNFD.SYS

delref %SystemDrive%\USERS\СВЕТА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\СВЕТА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.9.0_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN

deldirex %SystemDrive%\USERS\ADMINV\APPDATA\ROAMING\VOPACKAGE

deldirex %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VOPACKAGE

deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

QUIT

без перезагрузки системы, пишем о старых и новых проблемах.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.01.2016 17:49:49
POUL UILIAMSON,
здесь надо иметь ввиду следующее:
если зашифровка была в ноябре со 2 по 10 ноября, тогда высокие шансы расшифровать файлы,
если после 10 ноября, тогда практически шансов на расшифровка (пока) нет.
[ Как создать образ автозапуска? ]
 
Владимир Пенягин
Владимир Пенягин
Пользователь
Сообщений: 1
Регистрация: 13.01.2016
Размещено 14.01.2016 00:02:27
2/10/15 пришло письмо от [email protected] после открытия файла все фото  заблокировались что делать?VAULT.kei
 
aa-2009@inbox.ru
[email protected]
Пользователь
Сообщений: 107
Баллов: 85
Регистрация: 03.09.2012
Размещено 14.01.2016 13:27:16
Здравствуйте!
Пришло письмо от Денис Маркушенок [email protected]
Тема письма: сверка по итогам года
В тексте письма написано: Здравствуйте. До конца недели жду комментариев по вложенному документу:) С Прошедшим!
и прикреплённый файл: акт сверки 2015.zip

Скачал и открыл, в результате у меня все доки теперь не открываются и заметил в конце каждого документа дописано vault.

Что делать? читал форум, но ничего не получается, кто может по шагово сказать, что и как расшифровать документы?
Изменено: [email protected] - 14.01.2016 14:53:21
 
Пред. 1 ... 20 21 22 23 24 ... 41 След.
Читают тему