Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
 
тагир гайсин
тагир гайсин
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 02.11.2015
Размещено 02.11.2015 10:33:34
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 30 31 32 33 34 ... 41 След.
 
Сергей Глазовский
Сергей Глазовский
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 26.05.2016
Размещено 27.05.2016 13:13:52
Цитата
santy написал:
Сергей, добавьте образ автозапуска системы, где произошло шифрование
Сделал образ автозапуска, добавил.
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 27.05.2016 13:21:08
Сергей,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCALLOW\PRESTRM\PRESTRM.DLL
del %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCALLOW\PRESTRM\PRESTRM.DLL

deldirex %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BJGFNBGJNMEOHEHMINFENOAHKCDDIDPI\4.5.141_0\ПОДЕЛИТЬСЯ ВКОНТАКТЕ
deldirex %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCAL\KOMETA\PANEL

deldirex %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCAL\KOMETA\PANEL\1.0.0.775

; Java(TM) 6 Update 22
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки нет по vault
[ Как создать образ автозапуска? ]
 
Сергей Глазовский
Сергей Глазовский
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 26.05.2016
Размещено 27.05.2016 13:28:31
Цитата
santy написал:
расшифровки нет по vault
Утилита ESETFilecoderNacCleaner.exe точно не поможет? Можете выслать её в почту? Хотя бы попытаюсь...
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 27.05.2016 13:44:19
почему вы решили что Filecoder.NacCleaner поможет при очистки ВАУЛТ?
это старая утилита, выпущена еще в 2012 году, к ВАУЛТ не имеет отношения.
Изменено: santy - 27.05.2016 13:48:19
[ Как создать образ автозапуска? ]
 
Сергей Глазовский
Сергей Глазовский
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 26.05.2016
Размещено 27.05.2016 13:51:39
Цитата
santy написал:
почему вы решили что Filecoder.NacCleaner поможет при очистки ВАУЛТ?
На одном из форумов: http://www.auto-rostov.ru/index.php?showtopic=100995&page=5 видел сообщение, что высылалась утилита для расшифровки и это помогло. Возможно, это не Filecoder.NacCleaner.
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 27.05.2016 13:53:26
для ВАулт это утилита FilecoderFHCleaner - но она работает только для варианта шифратора, созданного в интервале 2-10ноября 2015 г
(она будет искать ключ в системе, которого нет сейчас, если шифрование было свежими вариантами ВАУЛТ)
Изменено: santy - 27.05.2016 13:54:52
[ Как создать образ автозапуска? ]
 
Сергей Глазовский
Сергей Глазовский
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 26.05.2016
Размещено 27.05.2016 13:57:42
Цитата
santy написал:
для ВАулт это утилита FilecoderFHCleaner - но она работает только для варианта шифратора, созданного в интервале 2-10ноября 2015 г
(она будет искать ключ в системе, которого нет сейчас, если шифрование было свежими вариантами ВАУЛТ)
А можно получить данную утилиту? Я ведь не знаю, каким именно скриптом было шифрование. Вдруг поможет.
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 27.05.2016 14:08:50
она вам не поможет. это 100%. у вас шифрование было 25 мая 2016г
Цитата
Здравствуйте. Вчера, 25.05.2016, на одном из ПК отработал шифровальщик.  Вчера почему-то антивирус ESET NOD32 не отловил скрипт. Заражение  произошло через открытие письма в MS Outlook без открытия вложений. В  письме была HTTP ссылка, переход по ссылке не выполнялся. В итоге все  файлы .doc, .docx, .xls, .xlsx, .pdf зашифрованы, после расширения файла  добавлено .vault.
[ Как создать образ автозапуска? ]
 
Сергей Глазовский
Сергей Глазовский
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 26.05.2016
Размещено 27.05.2016 14:13:29
Цитата
santy написал:
она вам не поможет. это 100%. у вас шифрование было 25 мая 2016г
Понимаю, что шифрование было намедни, но каким шифровальщиком и откуда он "прилетел" не ясно. Поделитесь утилитой, пожалуйста. Хоть попробую.
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 27.05.2016 14:17:56
Сергей, если вам нужны утилиты от ESET которые не помогут в вашем случае с расшифровкой, то можете отсюда скачать любую.
позапускать и посмотреть на результат.
http://www.eset.com/int/download/utilities/
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 30 31 32 33 34 ... 41 След.
Читают тему