Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
 
тагир гайсин
тагир гайсин
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 02.11.2015
Размещено 02.11.2015 10:33:34
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 25 26 27 28 29 ... 41 След.
 
Vasiliy Belenko
Vasiliy Belenko
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 01.03.2016
Размещено 01.03.2016 11:39:03
Спасибо!

После перезагрузки окна нет.
Пары файлов vault.key и vault.hta можно удалять (копии сохранил)?
Зашифрованные файлы определить можно по добавленному расширению .vault или как-то ещё?

С уважением.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 12:08:19
да, все зашифрованные файлы с расширением VAULT
сохраните важные файлы, + vault.key на будущее на отдельный носитель,
может быть
    когда нибудь  
              кто-нибудь
                    как-нибудь
                          расшифрует их :)
--------
или опубликуют ключи расшифровки.
[ Как создать образ автозапуска? ]
 
Alex Klo
Alex Klo
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 01.03.2016
Размещено 01.03.2016 18:29:48
Здравствуйте!
Постигла та же участь  29-02-2016 в 17:17
Помогите, пожалуйста!
(жду скрипта для uVS для очистки системы)

файлы *.vault, я так понимаю, до сих пор невозможно декодировать как раньше?

образ автозапуска системы:
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 20:03:49
Alex Klo,
выполните скрипт очистки

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %SystemDrive%\TEMP\VLT\FIREFOX.EXE
delall %SystemDrive%\TEMP\VLT\TORBROWSER\TOR\TOR.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://333E45LPJQREBKNR.ONION/AUTH.PHP?KEY=CYB26R2G2R9WD%2FBE2H8I%2FMFL%2B6MM6RRI%2BRNDFGMOKKVU5IERWPNZNL0A2YQT%2BGBNTQGWHH7WBEDEIMHNYP66LD02E%2FG%2F03QIZWBX4WUDA0FNLA43VN5GAMSHGQBOB47LBOAHYFL%2BCPTL3WYXNB83AZPBF0AHLLH%2BBB4SDWDZ4GI3A%2FJIOZ6Z1HDJTR9KUSECOWHC

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\09OXG9KH.DEFAULT-1381923604656\SEARCHPLUGINS\WEBALTA-SEARCH.XML

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO\1.0.8_0\ПОИСК MAIL.RU

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.2_0\ПОИСК MAIL.RU

delref HTTP://WEBALTA.RU/SEARCH

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
 
Alex Klo
Alex Klo
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 01.03.2016
Размещено 02.03.2016 16:46:29
santy, спасибо! всё, вроде, нормально.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2016 12:36:23
анализ свежего шифратора ВАУЛТ

такой вот комплект остается после шифрования

» C:\Windows\SysWOW64\mshta.exe
» C:\Users\W7_MMD\Desktop\VAULT.hta
» C:\Users\W7_MMD\AppData\Local\VirtualStore\VAULT.hta
» C:\Users\W7_MMD\AppData\Local\Temp\torrc
» C:\Users\W7_MMD\AppData\Local\Temp\tor.exe
» C:\Users\W7_MMD\AppData\Local\Temp\document_0117c8.docx
» C:\Users\W7_MMD\AppData\Local\Temp\3cc4b2b7f96.txt
» C:\Users\W7_MMD\AppData\Roaming\CONFIRMATION.KEY
» C:\Users\W7_MMD\AppData\Roaming\VAULT.hta
» C:\Users\W7_MMD\AppData\Roaming\VAULT.KEY
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\CO­NFIRMATION.KEY
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\VA­ULT.hta
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\VA­ULT.KEY
» C:\Users\W7_MMD\AppData\Local\Temp\vlt\(ARCHIVOS TOR)

http://nyxbone.com/malware/russianRansom.html
Изменено: santy - 03.03.2016 13:09:42
[ Как создать образ автозапуска? ]
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 03.03.2016 16:32:24
Детект нового варианта
https://www.virustotal.com/ru/file/b17d549a6b05143e0639783158ce5c176d38ec497d297ad7­2f91fd11a25ffd42/analysis/1457011882/
 
aa-2009@inbox.ru
[email protected]
Пользователь
Сообщений: 107
Баллов: 85
Регистрация: 03.09.2012
Размещено 14.03.2016 14:11:58
Зашифровались документы Excel и Word. PDF формат не тронули. В начале января уже обращался, но мне сказали, что пока нет дешифровщика, обратиться позже. Вот снова обращаюсь, может что то уже и появилось? Заражение произошло где то 19 февраля.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.03.2016 14:20:05
по VAULT скорее всего нет расшифровки в техподдержке.
Изменено: santy - 10.08.2016 09:29:01
[ Как создать образ автозапуска? ]
 
aa-2009@inbox.ru
[email protected]
Пользователь
Сообщений: 107
Баллов: 85
Регистрация: 03.09.2012
Размещено 14.03.2016 14:42:52
а вообще будет? планируется? просто есть смысл мне  
 
Пред. 1 ... 25 26 27 28 29 ... 41 След.
Читают тему