новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS

Сообщений: 2

Баллов: 1

Регистрация: 02.11.2015

Размещено 02.11.2015 10:33:34

Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.

http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки

Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 26 27 28 29 30 ... 41 След.

Сообщений: 1

Регистрация: 14.03.2016

Размещено 14.03.2016 14:43:05

Добрый День!

Сегодня пришло письмо по почте, сотрудник открыл и файлы зашифровались

Прошу помочь

Во вложении образ автозапуска системы и то, что удалил нод32

Прикрепленные файлы

filecoder.jpg (169.47 КБ)

217-OMTS-NACH_2016-03-14_14-06-19.7z (525.29 КБ)

Изменено: Igor Avaryasov - 14.03.2016 14:52:49

Сообщений: 107

Баллов: 85

Регистрация: 03.09.2012

Размещено 14.03.2016 14:43:57

есть смысл мне оставлять в компе вирус, который определяет Антивирусник? просто боюсь, что он его удалит, а файлы останутся зашифрованные и их никогда не расшифровать(((

Сообщений: 17841

Баллов: 14272

Регистрация: 16.03.2010

Размещено 14.03.2016 15:59:53

зачем оставлять на компутере вирус? добавьте его в архив, и храните.
по зашифрованным файлам - можно важные файлы сохранить на отдельный носитель, набраться терпения, и забыть, и вспомнить тогда, когда появится дешифратор.

[ Как создать образ автозапуска? ]

Сообщений: 17841

Баллов: 14272

Регистрация: 16.03.2010

Размещено 14.03.2016 16:04:39

Igor,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\A.DOMRACHEV\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP] ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\USERS\A.DOMRACHEV\APPDATA\LOCAL\MEDIAGET2 deldirex %SystemDrive%\USERS\A.DOMRACHEV\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\TSERVERINFO deldirex %SystemDrive%\USERS\A.DOMRACHEV\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\ISERVERINFO deldirex %SystemDrive%\USERS\A.DOMRACHEV\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\SSERVERINFO regt 27 deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\A.DOMRACHEV\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\A.DOMRACHEV\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\A.DOMRACHEV\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\TSERVERINFO

deldirex %SystemDrive%\USERS\A.DOMRACHEV\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\ISERVERINFO

deldirex %SystemDrive%\USERS\A.DOMRACHEV\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\SSERVERINFO

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке: расшифровки нет.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 18.03.2016

Размещено 18.03.2016 10:56:31

Словили пару дней наза данный троян ! :-(

Подскажите как можно избавиться от всплывающего окна (инфа об оплате и все такое..) после загрузки системы ?
И еще скажите, так понимаю расшифровать файлы так еще и не придумали ?

Изменено: Алексей Александрович - 18.03.2016 11:01:07

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 18.03.2016 11:02:31

Цитата
Подскажите как можно избавиться от всплывающего окна (инфа об оплате и все такое..) после загрузки системы ?

Удалите файл VAULT.hta из автозагрузки.

Михаил

Сообщений: 17841

Баллов: 14272

Регистрация: 16.03.2010

Размещено 18.03.2016 11:20:31

Цитата
Алексей Александрович написал: Словили пару дней наза данный троян ! Подскажите как можно избавиться от всплывающего окна (инфа об оплате и все такое..) после загрузки системы ?

...или добавьте образ автозапуска системы, может что-то еще есть кроме vault.hta

[ Как создать образ автозапуска? ]

Сообщений: 14

Баллов: 7

Регистрация: 26.08.2010

Размещено 26.03.2016 15:23:05

Здравствуйте! Помогите пожалуйста! Как вылечить компьютер .vault?

Сообщений: 17841

Баллов: 14272

Регистрация: 16.03.2010

Размещено 26.03.2016 15:27:31

Радислав Акбулатов, когда было шифрование по дате?

[ Как создать образ автозапуска? ]

Сообщений: 14

Баллов: 7

Регистрация: 26.08.2010

Размещено 26.03.2016 15:29:27

Неделю назад примерно поймали по почте...

Пред. 1 ... 26 27 28 29 30 ... 41 След.