новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS

Сообщений: 2

Баллов: 1

Регистрация: 02.11.2015

Размещено 02.11.2015 10:33:34

Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.

http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки

Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 18 19 20 21 22 ... 41 След.

Сообщений: 5

Баллов: 2

Регистрация: 01.01.2016

Размещено 03.01.2016 00:21:36

santy,

Скрытый текст
https://dropmefiles.com/CqweS

Изменено: R N - 03.01.2016 00:22:22

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.01.2016 09:07:39

R N,
по файлам не могу сказать, когда была зашифровка, единственно что можно определить,
зашифровано после 2 ноября 2014г, поскольку зашифрованный файл не является пакетом OpenPGP

gpg: no valid OpenPGP data found.
gpg: processing message failed: eof

File: X:\viruses\shifratory\исследовать\26\vault\Договор директор сериала.doc.vault
Time: 04.01.2016 12:04:50 (04.01.2016 6:04:50 UTC)
-------------
уточните все таки у пострадавшего юзера, когда было шифрование. Если до 10ноября, то имеет смысл восстановить систему из образа, чтобы попытаться вытащить ключ для расшифровки.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 11.01.2016

Размещено 11.01.2016 11:30:07

Секретарю пришло письмо с вирусом-шифровальщиком. Хорошо что домен и права у юзеров "порезаны", да и предупреждены они по-поводу подобной дряни.

Далее письмо зловреда с вложенным архивом в который запакован ява скрипт:

From: Герман Учамприн [mailto:[email protected]]
Sent: Monday, January 11, 2016 5:33 AM
To:
Subject: Акт сверки

Проводим сверку взаиморасчетов со всеми актуальными контрагентами.
Прошу просмотреть акт - во вложении.
Если у Вас будут комментарии, пишите мне.
По нашим данным у Вас небольшая задолженность еще с октября.

Изменено: Роман Калинин - 27.05.2016 13:58:58

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.01.2016 11:56:42

Роман,
1. файл удалите с форума, и оправьте в вирлаб: [email protected] в архиве с паролем infected
(пока никем не детектируется)
https://www.virustotal.com/ru/file/bb0a974a7a85c1fc0cc9f73cc942736efa82296ca19fce8dce686919ac4105c0/analysis/1452502469/

2. добавьте по ссылке несколько зашифрованных файлов.
3. добавьте образ автозапуска системы, где произошло шифрование
http://forum.esetnod32.ru/forum9/topic2687/

или не было запуска шифратора?

Изменено: santy - 27.05.2016 13:58:58

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 11.01.2016

Размещено 11.01.2016 12:10:14

Цитата
santy написал: Роман, 1. файл удалите с форума, и оправьте в вирлаб: [email protected] в архиве с паролем infected (пока никем не детектируется) https://www.virustotal.com/ru/file/bb0a974a7a85c1fc0cc9f73cc942736efa82296ca19fce8d ce686919ac4105c0/analysis/1452502469/ 2. добавьте по ссылке несколько зашифрованных файлов. 3. добавьте образ автозапуска системы, где произошло шифрование http://forum.esetnod32.ru/forum9/topic2687/ или не было запуска шифратора?

Цитата

santy написал:
Роман,
1. файл удалите с форума, и оправьте в вирлаб: [email protected] в архиве с паролем infected
(пока никем не детектируется)
https://www.virustotal.com/ru/file/bb0a974a7a85c1fc0cc9f73cc942736efa82296ca19fce8d ce686919ac4105c0/analysis/1452502469/

2. добавьте по ссылке несколько зашифрованных файлов.
3. добавьте образ автозапуска системы, где произошло шифрование
http://forum.esetnod32.ru/forum9/topic2687/

или не было запуска шифратора?

1. Файл с форума удалил. Сейчас отправлю в вирлаб.
2. Запуска шифратора не было) поэтому зашифрованные файлы отсутствуют.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.01.2016 12:15:50

это свежий вариант vault, по крайней мере с таким расширением шифруются документы.

Будет добавлено как
JS/TrojanDownloader.Agent.OEQ trojan

Изменено: santy - 27.05.2016 13:58:58

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 11.01.2016

Размещено 11.01.2016 13:54:56

Здравствуйте!

Похожая ситуация.
Только файл из вложения был запущен. Зашифрованными оказались файлы документов на компьютере, где запустили вирус, и на сетевых папках файлсервера подключённых к нему.
Файлы шифрует с именами вида:
[email protected] 1.2.0.0.id-PQRRSTTUVWWWXYYZAAABCDDEFFFGHHIJJJKL-11.01.2016 9@[email protected]
Есть файл источник заразы.
Его, зашифрованные файлы и образ автозапуска компьютера на котором запустили заразу выслал на [email protected]

Сообщений: 1

Регистрация: 11.01.2016

Размещено 11.01.2016 14:22:50

Добрый день.

"Поймал" данный вирус.[TABLE][TR][TD]CAT-QuickHeal [/TD][TD] HTML.RansomPage.A [/TD][TD] 20160111 [/TD][/TR][TR][TD] ESET-NOD32 [/TD][TD] Win32/Filecoder.FH [/TD][TD] 20160111 [/TD][/TR][/TABLE]Подскажите, есть ли возможность расшифровки?

Изменено: Boris Popov - 27.05.2016 13:58:58

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.01.2016 16:07:27

Boris Popov,
по Filecoder.FH/VAULT расшифровка возможна в том случае, если шифрование было со 2 до 10ноября (2015г).
для более поздних версий данного шифратора расшифровки нет.

Изменено: santy - 27.05.2016 13:58:58

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 12.01.2016

Размещено 12.01.2016 10:54:06

Помогите удалить. =(
Может есть расшифровщик файлов для этой версии?

Прикрепленные файлы

cureit(2772).log (734 Б)
cureit(1480).log (2.53 МБ)
cureit.log (2.62 МБ)
report1.log (831 Б)
report2.log (1.89 КБ)
CollectionLog-2016.01.11-17.47.zip (82.77 КБ)

Пред. 1 ... 18 19 20 21 22 ... 41 След.