новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS

Сообщений: 2

Баллов: 1

Регистрация: 02.11.2015

Размещено 02.11.2015 10:33:34

Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.

http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки

Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 27 28 29 30 31 ... 41 След.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.03.2016 15:33:37

свежий шифратор VAUT без расшифровки на текущее время.
дешифратор есть только по варианту шифратора от 2 по 10 ноября 2015г

Изменено: santy - 26.03.2016 15:33:50

[ Как создать образ автозапуска? ]

Сообщений: 14

Баллов: 7

Регистрация: 26.08.2010

Размещено 26.03.2016 15:44:12

А убить вирус как можно, антивирус сам должен найти?
Восстановление, теневые копии тут не помогут? Shadow Explorer может помочь?

Изменено: Радислав Акбулатов - 26.03.2016 15:50:41

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.03.2016 16:00:49

по очистке системы создайте образ автозапуска.

по восстановлению файлов из теневых копий надо смотреть на месте. ВАУЛТ как правило пытается удалить теневые копии,
если юзер работал с правами администратора, то теневыу копии будет удалены.

[ Как создать образ автозапуска? ]

Сообщений: 14

Баллов: 7

Регистрация: 26.08.2010

Размещено 26.03.2016 16:33:35

santy, проверил теневых копий нету(
Образ автозапуска вот!

Прикрепленные файлы

MAKLER0_2016-03-26_18-20-33.rar (325.04 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.03.2016 16:55:46

судя по образу все чисто. шифратор или очистили уже, или самоудалился.

[ Как создать образ автозапуска? ]

Сообщений: 14

Баллов: 7

Регистрация: 26.08.2010

Размещено 26.03.2016 17:03:32

santy, я вам очень благодарен за безвозмездную помощь, спасибо! До свидания!
П.с. файлы которые он пооставлял, vault.key в корне диска C, просто удалить?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.03.2016 18:36:36

VAULT.key сохраните, в нем ваш ключ, только в зашифрованном виде. Может быть когда нибудь расшифруется.
документы зашифрованные если есть важные, можно сохранить на отдельный носитель, и хранить некоторое время.

Изменено: santy - 26.03.2016 18:36:59

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 23.05.2016

Размещено 23.05.2016 22:54:29

SANTY
Добрый вечер
сегодня днем поймали VAUlt
высылаю образ
посмотрите пжс его
и что дальше делать ,чтобы удалить этот вирус(понимаю что дешифровать не получится)

спсаибо

Прикрепленные файлы

AIR_2016-05-24_00-38-50.7z (445.12 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.05.2016 05:45:23

Айрат,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\АЙР\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian del %SystemDrive%\USERS\АЙР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHC... delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL... delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF... delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD... deldirex %SystemDrive%\USERS\АЙР\APPDATA\ROAMING\VOPACKAGE delref %SystemDrive%\USERS\АЙР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС delref HTTP:\\YOURTDS.BIZ\RPOP.PHP?FL=YW3Y7F del %SystemDrive%\LOL.LAUNCHER.BAT regt 28 regt 29 ; SmilesExtensions version 2.1 exec C:\Program Files\smwdgt\unins000.exe ; superpromokody 1.1 exec C:\Program Files\DolkaRuIePlugin\uninst.exe deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\АЙР\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

del %SystemDrive%\USERS\АЙР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHC...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD...

deldirex %SystemDrive%\USERS\АЙР\APPDATA\ROAMING\VOPACKAGE

delref %SystemDrive%\USERS\АЙР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP:\\YOURTDS.BIZ\RPOP.PHP?FL=YW3Y7F

del %SystemDrive%\LOL.LAUNCHER.BAT

regt 28
regt 29
; SmilesExtensions version 2.1
exec C:\Program Files\smwdgt\unins000.exe
; superpromokody 1.1
exec C:\Program Files\DolkaRuIePlugin\uninst.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки по текущему ВАУЛТ нет.

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 26.05.2016

Размещено 26.05.2016 03:27:26

Шифратор прошелся по файлам. Знаю что надежды мало, но на всякий случай прошу посмотреть какая модификация .vault. Прикладываю пример зашифрованного файла.

Прикрепленные файлы

vault.zip (32.16 КБ)

Пред. 1 ... 27 28 29 30 31 ... 41 След.