новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 27 28 29 30 31 ... 41 След.
свежий шифратор VAUT без расшифровки на текущее время.
дешифратор есть только по варианту шифратора от 2 по 10 ноября 2015г
Изменено: santy - 26.03.2016 15:33:50
А убить вирус как можно, антивирус сам должен найти?
Восстановление, теневые копии тут не помогут? Shadow Explorer может помочь?
Изменено: Радислав Акбулатов - 26.03.2016 15:50:41
по очистке системы создайте образ автозапуска.

по восстановлению файлов из теневых копий надо смотреть на месте. ВАУЛТ как правило пытается удалить теневые копии,
если юзер работал с правами администратора, то теневыу копии будет удалены.
santy, проверил теневых копий нету(
Образ автозапуска вот!
судя по образу все чисто. шифратор или очистили уже, или самоудалился.
santy, я вам очень благодарен за безвозмездную помощь, спасибо! До свидания!
П.с. файлы которые он пооставлял, vault.key в корне диска C, просто удалить?
VAULT.key сохраните, в нем ваш ключ, только в зашифрованном виде. Может быть когда нибудь расшифруется.
документы зашифрованные если есть важные, можно сохранить на отдельный носитель, и хранить некоторое время.
Изменено: santy - 26.03.2016 18:36:59
SANTY
Добрый вечер
сегодня днем поймали VAUlt
высылаю образ
посмотрите пжс его
и что дальше делать ,чтобы удалить этот вирус(понимаю что дешифровать не получится)

спсаибо
Айрат,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\АЙР\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

del %SystemDrive%\USERS\АЙР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHC...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD...

deldirex %SystemDrive%\USERS\АЙР\APPDATA\ROAMING\VOPACKAGE

delref %SystemDrive%\USERS\АЙР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP:\\YOURTDS.BIZ\RPOP.PHP?FL=YW3Y7F

del %SystemDrive%\LOL.LAUNCHER.BAT

regt 28
regt 29
; SmilesExtensions version 2.1
exec C:\Program Files\smwdgt\unins000.exe
; superpromokody 1.1
exec C:\Program Files\DolkaRuIePlugin\uninst.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки по текущему ВАУЛТ нет.
Шифратор прошелся по файлам. Знаю что надежды мало, но на всякий случай прошу посмотреть какая модификация .vault. Прикладываю пример зашифрованного файла.
Пред. 1 ... 27 28 29 30 31 ... 41 След.
Читают тему (гостей: 3)