новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS

Сообщений: 2

Баллов: 1

Регистрация: 02.11.2015

Размещено 02.11.2015 10:33:34

Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.

http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки

Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 23 24 25 26 27 ... 41 След.

Сообщений: 17845

Баллов: 14276

Регистрация: 16.03.2010

Размещено 28.01.2016 11:07:37

Снегирь Зимний,
по образу все чисто.

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 21.01.2016

Размещено 28.01.2016 11:12:47

santy,ну, будем надеяться.

Сообщений: 7

Баллов: 3

Регистрация: 21.01.2016

Размещено 22.02.2016 08:23:51

доброго дня. снова возник вопрос с этим шифровальщиком.
подскажите, пжлст, с флэшки он переносится? надо достать несколько файлов с флэшки, которая втыкалась в заражённый компьютер.

Сообщений: 17845

Баллов: 14276

Регистрация: 16.03.2010

Размещено 22.02.2016 10:31:25

Снегирь Зимний,
через автозапуск с флэшки ВАУЛТ не распространяется.

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 21.01.2016

Размещено 22.02.2016 11:21:21

santy, спасибо.

Сообщений: 17845

Баллов: 14276

Регистрация: 16.03.2010

Размещено 25.02.2016 07:02:15

новая рассылка VAULT, будьте внимательны

блокируем адреса:

*bit.ly/*
*is.gd/*

пока без детекта:
https://www.virustotal.com/ru/file/703294f669940df3e3103412c77514fd4153ed2e638284a067ea117a1ad6a04b/analysis/1456369371/

js добавлен по ссылке на документы для подготовки.doc

шифратор скорее всего запускается так:
"C:\WINDOWS\system32\rundll32.exe" C:\DOCUME~1\****\LOCALS~1\Temp\97fe0b81628.txt,run X1WAVE2

Цитата
Приветствуем вас! Ставлю Вас в известность, что по нашей фирме возбужденно судебное производство по факту мошенничества с эмиссией ценных бумаг. Данный факт не доказан, сложившуюся ситуацию мы будем решать в суде. В связи с тем, что наши предприятия соприкасались в работе в III-м кв. прошлого года, Ваша предприятие попадает под проверку Росфинмониторинга, и, возможно, выемку ряда документов - список в приложенном файле. Ставим вас в известность. Спасибо за понимание. Прикрепленных файлов (1): 1. Документы для подготовки.dоc -- с уважением, ОАО ЕвроДизель

Цитата

Приветствуем вас!
Ставлю Вас в известность, что по нашей фирме возбужденно судебное производство по факту мошенничества с эмиссией ценных бумаг. Данный факт не доказан, сложившуюся ситуацию мы будем решать в суде.
В связи с тем, что наши предприятия соприкасались в работе в III-м кв. прошлого года, Ваша предприятие попадает под проверку Росфинмониторинга, и, возможно, выемку ряда документов - список в приложенном файле.
Ставим вас в известность. Спасибо за понимание.

Прикрепленных файлов (1):
1. Документы для подготовки.dоc

--
с уважением, ОАО ЕвроДизель

Изменено: santy - 25.02.2016 08:52:42

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 25.02.2016

Размещено 25.02.2016 22:43:27

Запустили новую версию от 25.02.2016. Какими должны быть действия, чтобы остановить процесс шифрования?
И второй вопрос, насколько я понял сейчас в новой версии нет смысла искать secring.gpg?

Изменено: Никита Данилушкин - 25.02.2016 22:46:28

Сообщений: 6178

Баллов: 4942

Регистрация: 25.05.2010

Размещено 25.02.2016 23:04:59

Если шифрование продолжается - нужно как можно быстрее выключить PC
Загрузить систему в безопасном режиме с поддержкой сети и...
Создайть образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Сообщений: 17845

Баллов: 14276

Регистрация: 16.03.2010

Размещено 26.02.2016 05:43:13

Цитата
Никита Данилушкин написал: Запустили новую версию от 25.02.2016. Какими должны быть действия, чтобы остановить процесс шифрования? И второй вопрос, насколько я понял сейчас в новой версии нет смысла искать secring.gpg?

по текущей версии надо отключить сетевые диски, можно в диспетчере выгрузить процесс rundll32,
выключить комп,
и планировать процедуру очистки системы и восстановления документов.

secring.gpg нет в этой версии, другой метод шифрования используется.
-----------
кстати, ESET стал детектировать файл запущенный из runddl32 как PSW.trojan

Цитата
Scanner Real-time file system protection Object file Name C:\Users\****\AppData\Local\Temp\97fe0b81628.txt Threat Win32/PSW.Fareit.E trojan

Изменено: santy - 26.02.2016 11:39:43

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 25.02.2016

Размещено 26.02.2016 14:59:21

santy,
прикрепляю образ автозапуска системы. Компьютером можно продолжать пользоваться или ещё что-то подчистить надо?
https://www.sendspace.com/file/111oik

Пред. 1 ... 23 24 25 26 27 ... 41 След.