новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS

Сообщений: 2

Баллов: 1

Регистрация: 02.11.2015

Размещено 02.11.2015 10:33:34

Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.

http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки

Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 15 16 17 18 19 ... 41 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 11.12.2015 18:32:03

данная угроза детектируется антивирусом ESET
Время;Модуль сканирования;Тип объекта;Oбъeкт;Bиpуc;Дeйcтвиe;Пoльзoвaтeль;Информация
11.12.2015 21:29:28;Защита в режиме реального времени;файл;X:\viruses\shifratory\исследовать\23\Filecoder\Сч-фактура №975.js;JS/TrojanDropper.Agent.NBG троянская программа;очищен удалением - изолирован;*-pc\*;Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files (x86)\Total Commander\TOTALCMD64.EXE.

судя по всему, перешли к новой тактике, присылают js без вложения в архив.

с расшифровкой будут проблемы.
добавьте образ автозапуска посмотрим что есть в автозапуске
http://forum.esetnod32.ru/forum9/topic2687/

Изменено: santy - 11.12.2015 18:33:25

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 13.12.2015

Размещено 13.12.2015 21:20:15

Доброго времени суток. Не много повторюсь и как что было. Обратился один хороший человек ко мне с такой проблемой. К нему пришло письмо с замаскированным в письме под Word скриптовым файлом и пользователь открыл и исполнив его и все файлы с данными, т.е. c расширением программ word, excel, pdf, jpeg, и т.д. зашифровались с расширение "*.vault". Систему они переставили, но файл VAULT.KEY сохранился. Кто связывался подскажите в какую сторону ползти чтобы решить эту задачу, что-бы расшифровать файлы. Буду благодарен.

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 13.12.2015 22:21:51

Цитата
Андрей Буров написал: Систему они переставили

Ползти уже никуда не нужно.... систему как раз трогать и не нужно.

Сообщений: 2

Баллов: 1

Регистрация: 13.12.2015

Размещено 13.12.2015 22:29:28

а я ее и не трогал, до меня справились

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.12.2015 05:55:06

Андрей Буров,
уточните когда по дате было шифрование: до 2 ноября (2015), со второго по 10 ноября (2015), после 10 ноября (2015)?

[ Как создать образ автозапуска? ]

Сообщений: 11

Баллов: 5

Регистрация: 11.12.2015

Размещено 14.12.2015 08:31:01

Цитата
santy написал: судя по всему, перешли к новой тактике, присылают js без вложения в архив. с расшифровкой будут проблемы. добавьте образ автозапуска посмотрим что есть в автозапуске

Образ прикладываю к сообщению, правда поначалу после шифровки сбоил хост процесс и я прошелся утилитами cureIT и KVRT .... после чего ошибка с хост пропала

Прикрепленные файлы

BUH1-PC_2015-12-14_08-20-59.7z (483.76 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.12.2015 08:40:49

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE sreg delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\BAIDUPROTECT.EXE delref %Sys32%\DRIVERS\BDMWRENCH.SYS delref %Sys32%\DRIVERS\BD0001.SYS delref %Sys32%\DRIVERS\BD0004.SYS delref %Sys32%\DRIVERS\BDARKIT.SYS delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS delref %Sys32%\DRIVERS\BD0002.SYS delref %Sys32%\WIC\WIC.LNK delref %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\GOOGLE CHROME\GOOGLE CHROME.LNK delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH\1.2.0_0\ПОИСК ЯНДЕКСA delref %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\PRICEF~1\UPDATE~1\UPDATE~1.EXE delref %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE hide %SystemDrive%\444\ESETFILECODERFHCLEANER.EXE areg

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

sreg

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\BAIDUPROTECT.EXE
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0004.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\WIC\WIC.LNK
delref %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\GOOGLE CHROME\GOOGLE CHROME.LNK
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH\1.2.0_0\ПОИСК  ЯНДЕКСA
delref %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\PRICEF~1\UPDATE~1\UPDATE~1.EXE
delref %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
hide %SystemDrive%\444\ESETFILECODERFHCLEANER.EXE
areg

перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска.
(надо избавиться от китайской байды)

[ Как создать образ автозапуска? ]

Сообщений: 11

Баллов: 5

Регистрация: 11.12.2015

Размещено 14.12.2015 09:25:10

Цитата
santy написал: перезагрузка, пишем о старых и новых проблемах. ------------ + добавьте новый образ автозапуска. (надо избавиться от китайской байды)

новых проблем не появилось, самая главная проблема это зашифрованная база 1с .....

новый файлик с образом прикрепляю

правда в процессе никаких запросов на удаление или деинсталяцию не было....

Прикрепленные файлы

BUH1-PC_2015-12-14_09-19-01.7z (478.71 КБ)

Изменено: Евгений Соков - 14.12.2015 09:26:26

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 14.12.2015 10:10:38

Евгений,
по очистке системы выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\PRICEFOUNTAIN\PRICEFOUNTAINIE.DLL addsgn A7679B1928664D070E3C518364C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D955F2A906CCD7E1649C9BD9F6307595F4659214E916FF807327C 64 DealPly zoo %SystemDrive%\444\ESETFILECODERFHCLEANER.EXE addsgn 9252772A116AC1CC0BB4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BA6C0503E021E8A2FD3ECE6391449ACFE1CEC21051DB32F2D75A4BF9251B225 13 tr.Carberp zoo %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian hide %SystemDrive%\444\ESETFILECODERFHCLEANER.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108 delref %Sys32%\DRIVERS\BD0001.SYS del %Sys32%\DRIVERS\BD0001.SYS delref %Sys32%\DRIVERS\BD0004.SYS del %Sys32%\DRIVERS\BD0004.SYS delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS del %Sys32%\DRIVERS\BDENHANCEBOOST.SYS deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619 delref %Sys32%\DRIVERS\BDARKIT.SYS del %Sys32%\DRIVERS\BDARKIT.SYS delref %Sys32%\DRIVERS\BDMWRENCH.SYS del %Sys32%\DRIVERS\BDMWRENCH.SYS deldirex %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\PRICEFOUNTAIN deldirex %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\PRICEFOUNTAIN deltmp delnfr restart ;-------------------------------------------------------------

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\PRICEFOUNTAIN\PRICEFOUNTAINIE.DLL
addsgn A7679B1928664D070E3C518364C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D955F2A906CCD7E1649C9BD9F6307595F4659214E916FF807327C 64 DealPly

zoo %SystemDrive%\444\ESETFILECODERFHCLEANER.EXE
addsgn 9252772A116AC1CC0BB4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BA6C0503E021E8A2FD3ECE6391449ACFE1CEC21051DB32F2D75A4BF9251B225 13 tr.Carberp

zoo %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

hide %SystemDrive%\444\ESETFILECODERFHCLEANER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС
deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108

delref %Sys32%\DRIVERS\BD0001.SYS
del %Sys32%\DRIVERS\BD0001.SYS

delref %Sys32%\DRIVERS\BD0004.SYS
del %Sys32%\DRIVERS\BD0004.SYS

delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
del %Sys32%\DRIVERS\BDENHANCEBOOST.SYS

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619

delref %Sys32%\DRIVERS\BDARKIT.SYS
del %Sys32%\DRIVERS\BDARKIT.SYS

delref %Sys32%\DRIVERS\BDMWRENCH.SYS
del %Sys32%\DRIVERS\BDMWRENCH.SYS

deldirex %SystemDrive%\USERS\BUH1\APPDATA\LOCAL\PRICEFOUNTAIN

deldirex %SystemDrive%\USERS\BUH1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\PRICEFOUNTAIN

deltmp
delnfr

restart

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
если шифрование было после 10ноября, то расшифровки нет в вирлабах по этому варианту ВАУЛТа.
расшифровка есть только для шифраторов, выпущенных со 2 по 10 ноября.

копии, копии, и еще раз копии баз делать... напишите на рабочем столе вашего админа.

Изменено: santy - 14.12.2015 10:11:13

[ Как создать образ автозапуска? ]

Сообщений: 11

Баллов: 5

Регистрация: 11.12.2015

Размещено 14.12.2015 11:02:51

Цитата
santy написал: перезагрузка, пишем о старых и новых проблемах. ------------ по расшифровке: если шифрование было после 10ноября, то расшифровки нет в вирлабах по этому варианту ВАУЛТа. расшифровка есть только для шифраторов, выпущенных со 2 по 10 ноября. копии, копии, и еще раз копии баз делать... напишите на рабочем столе вашего админа.

Цитата

santy написал:
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
если шифрование было после 10ноября, то расшифровки нет в вирлабах по этому варианту ВАУЛТа.
расшифровка есть только для шифраторов, выпущенных со 2 по 10 ноября.

копии, копии, и еще раз копии баз делать... напишите на рабочем столе вашего админа.

скрипт выполнил, в процессе никаких запросов на удаление или деинсталяцию не было....

новый файлик с образом прикрепляю ,

к сожалению копии которые выжили после шифровки слишком древнии... а без базы сейчас никак.

сообщение с типа счет фактурой открыли 10 декабря..

если расшифровки нет может обратиться тогда к тем кто все это сделал .. они же должны были какие то данные для контакта с ними оставить.. а у нас ничего не было такого.... как с ними связаться? (может получится договорится как нибудь...)....

Прикрепленные файлы

BUH1-PC_2015-12-14_10-43-08.7z (466.54 КБ)

Изменено: Евгений Соков - 14.12.2015 11:03:36

Пред. 1 ... 15 16 17 18 19 ... 41 След.