Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
 
тагир гайсин
тагир гайсин
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 02.11.2015
Размещено 02.11.2015 10:33:34
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 29 30 31 32 33 ... 41 След.
 
Руслан Панферов
Руслан Панферов
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 26.05.2016
Размещено 26.05.2016 13:41:53
Цитата
santy написал:
Руслан,
вышлите sec.key, dec.exe и несколько зашифрованных файлов в архиве, с паролем infected в почту  [email protected]
Отправил
 
Алексей Кузнецов
Алексей Кузнецов
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 26.05.2016
Размещено 26.05.2016 14:31:34
Удалось на диске найти файл похожий на ключ, создался за несколько секунд до начала шифрования. Есть способ проверить его на пригодность?
 
Алексей Кузнецов
Алексей Кузнецов
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 26.05.2016
Размещено 26.05.2016 14:46:54
Вот еще примерно в то же время создавались SAM файлы. Так же высылаю. Кроме того, нашел два js скрипта на диске, могу выслать на анализ.
 
Алексей Кузнецов
Алексей Кузнецов
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 26.05.2016
Размещено 26.05.2016 15:34:24
В coockies нашелся еще файлик вот с таким содержанием:

sid
00a1a66e-4b16b954fe6c4701
srv.ea.tensor.ru/
1536
2428395264
30521141
1956284760
30520940

Каким примерно должен быть искомый ключ?
 
Сергей Глазовский
Сергей Глазовский
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 26.05.2016
Размещено 26.05.2016 16:29:51
Здравствуйте. Вчера, 25.05.2016, на одном из ПК отработал шифровальщик. Вчера почему-то антивирус ESET NOD32 не отловил скрипт. Заражение произошло через открытие письма в MS Outlook без открытия вложений. В письме была HTTP ссылка, переход по ссылке не выполнялся. В итоге все файлы .doc, .docx, .xls, .xlsx, .pdf зашифрованы, после расширения файла добавлено .vault. Есть образец файла VAULT.hta. Также скопирован файл VAULT.KEY. При проверке ПК вручную антивирус ругнулся на файл VAULT.hta, выдал сообщение, что обнаружен Win32/Filecoder.FH. Просьба помочь с расшифровкой файлов и выявлением хвостов зловреда. Возможно, подойдёт описываемая ранее в данной теме утилита ESETFilecoderNacCleaner.exe.
Изменено: Сергей Глазовский - 26.05.2016 16:30:34
 
Алексей Кузнецов
Алексей Кузнецов
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 26.05.2016
Размещено 27.05.2016 04:08:46
Понял каким должен быть ключ. Все что высылал до этого, не то. Прикладываю единственно возможный вариант. Выдрал хексом с диска.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2016 06:12:12
Цитата
Алексей Кузнецов написал:
Понял каким должен быть ключ. Все что высылал до этого, не то. Прикладываю единственно возможный вариант. Выдрал хексом с диска.
да, это похоже на ключ ВАУЛТ. по крайней мере, именно такой формат ключа был в начальном варианте ВАУЛТ от 2ноября 2015г
если это действительно ключ из вашего сеанса шифрования, то значит возможна расшифровка файлов.

вот такой формат ключа был
Код
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Изменено: santy - 10.08.2016 09:30:52
[ Как создать образ автозапуска? ]
 
Руслан Панферов
Руслан Панферов
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 26.05.2016
Размещено 27.05.2016 08:21:06
Цитата
santy написал:
Руслан,
вышлите sec.key, dec.exe и несколько зашифрованных файлов в архиве, с паролем infected в почту  [email protected]
У вас что нибудь получилось?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2016 12:31:25
Руслан, ответил в почту
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2016 12:32:30
Цитата
Сергей Глазовский написал:
Здравствуйте. Вчера, 25.05.2016, на одном из ПК отработал шифровальщик. Вчера почему-то антивирус ESET NOD32 не отловил скрипт. Заражение произошло через открытие письма в MS Outlook без открытия вложений. В письме была HTTP ссылка, переход по ссылке не выполнялся. В итоге все файлы .doc, .docx, .xls, .xlsx, .pdf зашифрованы, после расширения файла добавлено .vault. Есть образец файла VAULT.hta. Также скопирован файл VAULT.KEY. При проверке ПК вручную антивирус ругнулся на файл VAULT.hta, выдал сообщение, что обнаружен Win32/Filecoder.FH. Просьба помочь с расшифровкой файлов и выявлением хвостов зловреда. Возможно, подойдёт описываемая ранее в данной теме утилита ESETFilecoderNacCleaner.exe.
Сергей, добавьте образ автозапуска системы, где произошло шифрование
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 29 30 31 32 33 ... 41 След.
Читают тему