новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 18 19 20 21 22 ... 41 След.
santy,
Скрытый текст
Изменено: R N - 03.01.2016 00:22:22
R N,
по файлам не могу сказать, когда была зашифровка, единственно что можно определить,
зашифровано после 2 ноября 2014г, поскольку зашифрованный файл не является пакетом OpenPGP

gpg: no valid OpenPGP data found.
gpg: processing message failed: eof

File: X:\viruses\shifratory\исследовать\26\vault\Договор директор  сериала.doc.vault
Time: 04.01.2016 12:04:50 (04.01.2016 6:04:50 UTC)
-------------
уточните все таки у пострадавшего юзера, когда было шифрование. Если до 10ноября, то имеет смысл восстановить систему из образа, чтобы попытаться вытащить ключ для расшифровки.
Секретарю пришло письмо с вирусом-шифровальщиком. Хорошо что домен и права у юзеров "порезаны", да и предупреждены они по-поводу подобной дряни.

Далее письмо зловреда с вложенным архивом в который запакован ява скрипт:

From: Герман Учамприн [mailto:uchamprin.german@mail.ru]
Sent: Monday, January 11, 2016 5:33 AM
To:
Subject: Акт сверки

Проводим сверку взаиморасчетов со всеми актуальными контрагентами.
Прошу просмотреть акт - во вложении.
Если у Вас будут комментарии, пишите мне.
По нашим данным у Вас небольшая задолженность еще с октября.  
Изменено: Роман Калинин - 27.05.2016 13:58:58
Роман,
1. файл удалите с форума, и оправьте в вирлаб: support@esetnod32.ru в архиве с паролем infected
(пока никем не детектируется)
https://www.virustotal.com/ru/file/bb0a974a7a85c1fc0cc9f73cc942736efa82296ca19fce8d­ce686919ac4105c0/analysis/1452502469/

2. добавьте по ссылке несколько зашифрованных файлов.
3. добавьте образ автозапуска системы, где произошло шифрование
http://forum.esetnod32.ru/forum9/topic2687/

или не было запуска шифратора?
Изменено: santy - 27.05.2016 13:58:58
Цитата
santy написал:
Роман,
1. файл удалите с форума, и оправьте в вирлаб: support@esetnod32.ru в архиве с паролем infected
(пока никем не детектируется)
 https://www.virustotal.com/ru/file/bb0a974a7a85c1fc0cc9f73cc942736efa82296ca19fce8d­ ­ce686919ac4105c0/analysis/1452502469/  

2. добавьте по ссылке несколько зашифрованных файлов.
3. добавьте образ автозапуска системы, где произошло шифрование
http://forum.esetnod32.ru/forum9/topic2687/

или не было запуска шифратора?
1. Файл с форума удалил. Сейчас отправлю в вирлаб.
2. Запуска шифратора не было) поэтому зашифрованные файлы отсутствуют.
это свежий вариант vault, по крайней мере с таким расширением шифруются документы.

Будет добавлено как
JS/TrojanDownloader.Agent.OEQ trojan
Изменено: santy - 27.05.2016 13:58:58
Здравствуйте!

Похожая ситуация.
Только файл из вложения был запущен. Зашифрованными оказались файлы документов на компьютере, где запустили вирус, и на сетевых папках файлсервера подключённых к нему.
Файлы шифрует с именами вида:
email-anton_ivanov34@aol.com.ver-CL 1.2.0.0.id-PQRRSTTUVWWWXYYZAAABCDDEFFFGHHIJJJKL-11.01.2016 9@13@014405947.randomname-PRSTVVVWXYZZAABBCDEEEFGGHIIIJK.LMN.cbf
Есть файл источник заразы.
Его, зашифрованные файлы и образ автозапуска компьютера на котором запустили заразу выслал на  support@esetnod32.ru  
Добрый день.

"Поймал" данный вирус.[TABLE][TR][TD]CAT-QuickHeal [/TD][TD] HTML.RansomPage.A [/TD][TD] 20160111 [/TD][/TR][TR][TD] ESET-NOD32 [/TD][TD] Win32/Filecoder.FH [/TD][TD] 20160111 [/TD][/TR][/TABLE]Подскажите, есть ли возможность расшифровки?
Изменено: Boris Popov - 27.05.2016 13:58:58
Boris Popov,
по Filecoder.FH/VAULT расшифровка возможна в том случае, если шифрование было со 2 до 10ноября (2015г).
для более поздних версий данного шифратора расшифровки нет.
Изменено: santy - 27.05.2016 13:58:58
Помогите удалить. =(
Может есть расшифровщик файлов для этой версии?
Пред. 1 ... 18 19 20 21 22 ... 41 След.
Читают тему (гостей: 2)