новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 26 27 28 29 30 ... 41 След.
Добрый День!

Сегодня пришло письмо по почте, сотрудник открыл и файлы зашифровались

Прошу помочь

Во вложении образ автозапуска системы и то, что удалил нод32
filecoder.jpg (169.47 КБ)
Изменено: Igor Avaryasov - 14.03.2016 14:52:49
есть смысл мне оставлять в компе вирус, который определяет Антивирусник? просто боюсь, что он его удалит, а файлы останутся зашифрованные и их никогда не расшифровать(((
зачем оставлять на компутере вирус? добавьте его в архив, и храните.
по зашифрованным файлам  - можно важные файлы сохранить на отдельный носитель, набраться терпения, и забыть, и вспомнить тогда, когда появится дешифратор.
Igor,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\A.DOMRACHEV\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\A.DOMRACHEV\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\A.DOMRACHEV\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\TSERVERINFO

deldirex %SystemDrive%\USERS\A.DOMRACHEV\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\ISERVERINFO

deldirex %SystemDrive%\USERS\A.DOMRACHEV\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\SSERVERINFO

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке: расшифровки нет.
Словили пару дней наза данный троян ! :-(
Подскажите как можно избавиться от всплывающего окна (инфа об оплате и все такое..) после загрузки системы ?
И еще скажите, так понимаю расшифровать файлы так еще и не придумали ?
Изменено: Алексей Александрович - 18.03.2016 11:01:07
Цитата
Подскажите как можно избавиться от всплывающего окна (инфа об оплате и все такое..) после загрузки системы ?
Удалите файл VAULT.hta  из автозагрузки.
Михаил
Цитата
Алексей Александрович написал:
Словили пару дней наза данный троян ! :-(
Подскажите как можно избавиться от всплывающего окна (инфа об оплате и все такое..) после загрузки системы ?
...или добавьте образ автозапуска системы, может что-то еще есть кроме vault.hta
Здравствуйте! Помогите пожалуйста! Как вылечить компьютер  .vault?
Радислав Акбулатов, когда было шифрование по дате?
Неделю назад примерно поймали по почте...
Пред. 1 ... 26 27 28 29 30 ... 41 След.
Читают тему (гостей: 3)