Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 28 29 30 31 32 ... 41 След.
это не bat-encoder, метод шифрования не GnuPG
gpg: no valid OpenPGP data found.
gpg: processing message failed: eof

File: X:\viruses\shifr\encoder\VAULT.2.new\100\vault\Апрель.xls.vault
Time: 26.05.2016 7:48:15 (26.05.2016 0:48:15 UTC)
-------------
если сохранилось вредоносное вложение из электронной почты, вышлите на адрес [email protected] в архиве, с паролем infected
Отправил в почту файл 5c1e573394f.rar с паролем infected.
Добрый день. Поймали Vault 25.05.2016
Оплатили за sec.key. Скачали DEC.exe ,запустили, но расшифровка не происходит, на каждом файле ERROR.
Пробовали запускать от имени администратора, не помогло,
Можете помочь дешифровать?  
Алексей,
продублируйте сообщение, пока нет ничего в почте.

опс, получено, оказывается в папке Спам у меня много чего интересного накопилось за последнее время :)
Изменено: santy - 10.08.2016 09:29:58
Руслан,
вышлите sec.key, dec.exe и несколько зашифрованных файлов в архиве, с паролем infected в почту [email protected]
Несколько зашифрованных файлов у меня так же сохранились в оригинальном виде. Могут они пригодиться при анализе?
по Ваулту дело не продвигается, нет расшифровки.
там скорее всего реализовано шифрование с RSA ключом, т.е. зашифровано публичной частью ключа, а секретная часть только у мошенников, и на компьютере пользователя не светится.
Изменено: santy - 10.08.2016 09:29:58
Ага. Т.е. это и есть этот, самый запущенный, случай?
да, как правило такие случаи шифрования практически безнадежны, если шифратор не оставляет следов в системе о своем секретном ключе.
обратите внимание на превентивные меры, т.е. на локальные политики, которые запрещают запуск исполняемых из архивов.
на сегодня, из тех что мне известны, мертвые шифраторы: ВАУЛТ, ctblocker, Ransom.Shade (во всех своих проявлениях)
Изменено: santy - 10.08.2016 09:29:58
Меня удивила скорость с которой все произошло. Если анализировать время создания файлов, то получается что более 60-ти ГБайт он зашифровал за время около 2-х минут. Если например предположить что при этом он должен  был создать зашифрованную копию файла, а потом ей затереть оригинальный файл, то на вскидку, это где-то на физическом пределе скорости для этой системы. Диск обычный SATA, не SSD, проц атлон на 3000 ГГц... Вообщем такую бы расторопность этому компьютеру в повседневных задачах.
Пред. 1 ... 28 29 30 31 32 ... 41 След.
Читают тему