Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
 
тагир гайсин
тагир гайсин
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 02.11.2015
Размещено 02.11.2015 10:33:34
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 2 3 4 5 ... 41 След.
 
Вячеслав Буханов
Вячеслав Буханов
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 04.11.2015
Размещено 04.11.2015 13:03:54
Цитата
santy написал:
Вячеслав Буханов,
обращаю внимание, что со  2 ноября  рассылается другой вариант шифратора ВАУЛТ. используется скорее всего другой алгоритм шифрования,
не openPGP, поэтому ключей secring.gpg вы не найдете на диске.
Информация о ключе в файле vault.key, но в зашифрованном виде.
Я так понимаю, на данный момент решения нет? Если понадобятся какие-то файлы для решения проблемы, готов предоставить.
vault.key есть, ничего пока не сносил. Собираюсь вынести все зашифрованные файлы в отдельное место и вернуть комп бухгалтеру.
Изменено: Вячеслав Буханов - 10.08.2016 09:26:07
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.11.2015 13:25:44
Вячеслав Буханов,
да, все верно.
напишите в [email protected] при наличие лицензии на антивирус ESET
зашифрованные документы стоит сохранить, возможно решение по расшифровке будет найдено.
Изменено: santy - 10.08.2016 09:26:07
[ Как создать образ автозапуска? ]
 
Вячеслав Буханов
Вячеслав Буханов
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 04.11.2015
Размещено 04.11.2015 13:35:02
К сожалению, лицензии на ESET нет, используется другой, отписался здесь, т.к. нашел самый оживлённый и со свежими записями форум по этой теме.
 
Кристиана Хмель
Кристиана Хмель
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 04.11.2015
Размещено 04.11.2015 18:55:29
Всем привет на днях у одного моего клиента в офисе сотрудник подцепила эту дрянь из почты, вирус я пихнула в архив и запустила у себя на VM под Win XP. Doc Docx поменяли формат на .vautl как я уже поняла это gpg шифровка, многое нашла по данноу поводу в итоге имею GnuPG, GPGShell + VAULT.KEY, CONFIRMATION.KEY secring.gpg (НЕ ПУСТОЙ!)
Ключ ипортирую в GPGShell, всё норм подтвердилось, при расшифровке выдаёт ошибку 'Не найдено данных формата OpenPGP', if писать bat то в консоли выдаёт типа неизвестное окончание и всё такое. Что делать и как быть.
1.png (7.27 КБ)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.11.2015 19:23:08
Кристина,
а ключ secring.gpg где вы нашли? на компе вашего клиента или в сети?
уточните когда было шифрование,
вышлите ключ в почту [email protected] для проверки. + можно один из зашифрованных файлов.
Изменено: santy - 10.08.2016 09:26:07
[ Как создать образ автозапуска? ]
 
Кристиана Хмель
Кристиана Хмель
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 04.11.2015
Размещено 04.11.2015 20:55:26
Цитата
santy написал:
Кристина,
а ключ secring.gpg где вы нашли? на компе вашего клиента или в сети?
уточните когда было шифрование,
вышлите ключ в почту [email protected] для проверки. + можно один из зашифрованных файлов.
secring.gpg уже на моём компе, у меня сейчас нет доступа к компу клиента. по этому всё под своим делаю. + у в сети я 2 декодера скачала, И к каждому из них был sec_*.KEY вместо * шифр из названия декодера. Как я поняла этот sec_*.KEY приходит от хакеров в случае оплаты. Это выходит вторая связка ключей необходимая для расшифровки, или я не права. Просто третий день уже бьюсь, такое чувство что будто какой-то одной мелочи не хватает для полной картины. Сейчас на почту всё вышлю.  
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.11.2015 06:52:06
Кристина,
ответил вам в почту, ну и здесь добавлю.
1. что secring.gpg это уникальный ключ, для другого случая шифрования он не подходит.
2. декодер от мошенников вместе с ключом соответственно будет полезен только тому, кому он был выписан после оплаты.
3. вариант ВАУЛТ, который рассылается со 2 ноября отличается от прежнего ваулта, который рассылался до 30октября.
отличается алгоритмом шифрования, поэтому прежние декодеры и ключи здесь никак не помогут.
------------
вот такие мелочи для полноты картины.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.11.2015 07:08:00
обращаем ваше внимание,
что новый вариант шифратора, который распространяется со 2 ноября в электронной почте, в архивах с вложением js использует новый алгоритм шифрования.
прежние методы расшифровки с помощью GnuPG и секретного ключа secring.gpg не работают.

Цитата
gpg: packet(3) with unknown version 203

File: X:\active\shifr\VAULT.2.new\1\визитка.pdf.vault
Time: 05.11.2015 10:07:09 (05.11.2015 4:07:09 UTC)
при этом шифратор будет отключать теневые копии через vssadmin.exe.
после выполнения своей работы удаляется.
остаются файлы vault.key, confirmatiom.key, vault.hta
в vault.key зашифрован ключ, который необходим для расшифровки документов.
---------

информация для тех, кто пострадал от шифратора ВАУЛТ в период от 2 до 10 ноября 2015 года: обращайтесь в техподдержку [email protected] при наличие лицензии.
расшифровка есть в техподдержке.
Изменено: santy - 17.06.2016 07:13:55
[ Как создать образ автозапуска? ]
 
Alex_Serena Alex_Serena
Alex_Serena Alex_Serena
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 05.11.2015
Размещено 05.11.2015 09:55:43
Цитата
santy написал:
обращаем ваше внимание,
что новый вариант шифратора, который распространяется со 2 ноября в электронной почте, в архивах с вложением js использует новый алгоритм шифрования.
прежние методы расшифровки с помощью GnuPG и секретного ключа secring.gpg не работают.
---------

Здравствуйте !
Появился он 2 ноября, вирус приехал к нам по электронной почте клиента с mail.ru в 9 утра, а базы НОД32 обновились у нас только с обеда 3 ноября (с версии баз 12506 на 12507, которая сразу же удаляет письмо в Аутлук с этим вирусом). Как я понял дешифратор для него пока не сделали.

Вопросы: будет ли позднее для него дешифратор ? Стоит ли сохранять папку с зашифрованными документами ? Какие файлы ещё нужно сохранить для дешифровки ?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.11.2015 10:04:11
возможно кто-либо (ESET, DrWeb, ЛК) найдут решение по дешифровке файлов. Следите на технических форумах. Папку с документами лучше сохранить до лучших времен. Так же сохраните VAULT.key и Confirmation.key
а пока надо восстанавливать документы вручную, и защитить папку с документами в HIPS. (если это не сетевая папка)
и разрешить работать с документами только доверенным приложениям.
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 4 5 ... 41 След.
Читают тему