Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
 
тагир гайсин
тагир гайсин
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 02.11.2015
Размещено 02.11.2015 10:33:34
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 13 14 15 16 17 ... 41 След.
 
Сергей С
Сергей С
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 18.11.2015
Размещено 23.11.2015 14:04:55
Спасибо
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 24.11.2015 15:01:41
Даниил Дымич,при наличии лицензии обратитесь в техподдержку: [email protected]
ESET Technical Support
 
андрей михалев
андрей михалев
Пользователь
Сообщений: 1
Регистрация: 11.11.2015
Размещено 24.11.2015 18:08:15
Не так страшен черт как нам его малюют.  Считаю, что расшифровать зашифрованные файлы все же можно и самому, правда придется убить некоторое время, по сути ничего сложного, нужен  другой комп.
 Главное на удалить сам вирус, алгоритм по сути прост . Все знают что шифруются файлы не все, и не любой длинны, первое выясняем с какой длинны файлов начинается шифрование, после выяснения создаем максимально короткий тест файл с заранее известными данными , заражаем его вирусом, и просчитываем действия вируса, как правило первые биты не шифруются, они выполняют роль своего рода маркера  поскольку файл достаточно короток, проанализировать его большого труда не составит, в свое время был атакован вирусом cryptic,  да потратил две недели но ведь все расшифровал
 
Andrew Komissarov
Andrew Komissarov
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 21.10.2015
Размещено 24.11.2015 18:51:39
Цитата
Виктор Астанин написал:
Нужно отметить очень продуманное написание письма. Пришло сегодня такое же с шифровальщиком в zip файле  счет.doc.js

Сразу и не поймешь что оно левое. Вирус зашифровал часть файлов на диске С ( doc и xls) переименовал их в  файл  vault
Диск D и важные документы не тронул и картинки не тронуты. После перезагрузки убрал из автозагрзки его. Почистил папку TEMP. Больше он ничего не шифровал. Вроде как удален. Антивирус NOD32 .4.2 (Активирована "защита документов" и установлены последние обновления база антивируса)  никак не отреагировал и пропустил этот вирус шифровальщик. Отправил  через сайт этот файл пусть добавляют в базу.
Что в нем продуманного? Все просто очевидно.
Вы много видели бухгалтеров, которые сначала грузят файлы на какой-нибудь файлообменник (к примеру) а потом отправляют ссылку на него.
Вы вообще много видели бухгалтеров, которые умеют это делать?
А посмотреть куда ведет ссылка сложно? Она обычно на совершенно левый сайт ведет. Это никак не настораживает?

Да сам формат якобы бухгалтерсого письма с документом по сылке уже говорит, что это в лучшем случае спам, а в худшем вирус.
 
Edgar Man
Edgar Man
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 26.11.2015
Размещено 26.11.2015 11:00:52
Добрый день,
подхватил вирус 19.11.2015, зашифровал доки с расширением vault.
Антивирус показывает Win32/Filcoder.FH. Есть возможность дешифровать файлы  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.11.2015 11:03:04
Edgar Man,
по расшифровке документов напишите в техподдержку [email protected]
[ Как создать образ автозапуска? ]
 
пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ
пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅпїЅ
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 21.11.2015
Размещено 27.11.2015 00:54:49
Здравствуйте. В продолжение поста #103:
Нашёл в папке "Загрузки" файл "invоicе.хls_.js". Что в нём я не понял, но по времени точно совпадает с работой вируса. Куда его можно послать, что-бы помочь в разработке вакцины?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.11.2015 05:31:03
проверьте здесь
http://virustotal.com
если кто-то не детектирует из компаний: DrWeb, ESET, LK - пошлите им в архиве с паролем infected
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.11.2015 14:18:21
информация для тех, кто пострадал от шифратора ВАУЛТ в период от 2 до 10 ноября:
обращайтесь в техподдержку [email protected] при наличие лицензии.
расшифровка есть в техподдержке.
Изменено: santy - 28.11.2015 19:37:14
[ Как создать образ автозапуска? ]
 
Сергей С
Сергей С
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 18.11.2015
Размещено 02.12.2015 09:59:45
Обратился в техподдержку, там все оперативно сделали, прислали дешифратор, большое спасибо.
 
Пред. 1 ... 13 14 15 16 17 ... 41 След.
Читают тему