А еще не подскажите, расшифровщика ни какого нет с базой подбора известных "паролей"?
А то можно было бы (попробовать) выцепить копии, если бы предыдущий админ теневое включил....

[QUOTE]santy написал:
gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\34\VAULT.KEY
Time: 14.04.2015 13:39:02 (14.04.2015 7:39:02 UTC)


и

gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\34\04fba9ba_VAULT.KEY
Time: 14.04.2015 13:39:40 (14.04.2015 7:39:40 UTC)
--------------
разницы нет между этими файлами, в обоих зашифрован secring.gpg ключом злоумышленников VaultCrypt (VaultCrypt)
различие лишь в том что по ходу выполнения алгоритма добавлена еще часть инфо.

можете сами по F4 открыть эти файлы, и сравнить что там дописано в конец файла.[/QUOTE]
Спасибо.

Оба файла в архиве.

[QUOTE]santy написал:

[QUOTE] Сергей Жигарев написал:
обнаружились файлы "VAULT.KEY, CONFIRMATION.KEY и 04fba9ba_VAULT.KEY" вот что за последний меня и интересует.[/QUOTE]
последний, скорее всего копия VAULT.key можете сравнить их по размеру и по хэшу[/QUOTE]
Размеры разные, конечно байты но разница есть.
VAULT - 1415
04fba9ba_VAULT - 1436

[QUOTE]santy написал:
если скушал, значит не нужен. значит детектируется нашим антивирусом[/QUOTE]
ну это логично через день после заражения, он его начал "не любить".

Похоже есет и копию скушал, не могу найти диске том....

да это я вкурсе, мне больше интересно что за еще 1 ключ фаил он создал...
обнаружились файлы "VAULT.KEY, CONFIRMATION.KEY и 04fba9ba_VAULT.KEY" вот что за последний меня и интересует.

Ссылка на код тела(3тье сообщение в теме), где присутствует создание некого файла "ключа" описанного выше, просто тут на форум не удалось его перенести.
Хорошо сейчас скину, но по сути заражение было 8ого числа, и 9ого есет его уже опознал и убил в почте, но копия была.

Добрый день поймали шифратор в организации, eset его понял только через день.
Вообщем зашифровал стандартный набор "оффис и имадж" фаилы.
Теневых на компьютере небыло. Но есть небольшая разница в описании с остальными .vault
Дополнительно присутствует еще 1 файл "04fba9ba_vault.key"
По описанию не разобрался, нашел только код самого скрипта.
Помогите разобраться что это 2ключ или просто утка?
код скрипта:

Скрытый текст
[URL=https://forum.kasperskyclub.ru/index.php?showtopic=46038]https://forum.kasperskyclub.ru/index.php?showtopic=46038[/URL]

не удается прикрепить, дал ссылку.