Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
 
тагир гайсин
тагир гайсин
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 02.11.2015
Размещено 02.11.2015 10:33:34
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 31 32 33 34 35 ... 41 След.
 
Сергей Глазовский
Сергей Глазовский
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 26.05.2016
Размещено 27.05.2016 14:23:08
Но там ведь нет утилиты FilecoderFHCleaner. Я уже смотрел этот каталог. У Вас есть FilecoderFHCleaner? Можете выслать на электронную почту?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2016 14:29:57
без комментариев.
-------
добавлю таки еще раз, что эта утилита Filecoder.FH.Cleaner не поможет вам с расшифровкой нового варианта ваулт.
а для коллекции мы не рассылаем утилиты.
Изменено: santy - 27.05.2016 14:33:09
[ Как создать образ автозапуска? ]
 
Сергей Глазовский
Сергей Глазовский
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 26.05.2016
Размещено 27.05.2016 15:14:20
Цитата
santy написал:
Filecoder.FH.Cleaner не поможет вам с расшифровкой нового варианта ваулт
Так ведь в том и дело, что ни я, ни Вы точно не знаем вариацию ваулт. Скрипт ведь мог быть старый. С утилитой у меня хоть какой-то шанс имеется, ну вдруг повезёт. Очень хочется верить, что она поможет. Ну Вам ведь не жалко её выслать?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2016 15:19:49
Сергей, вы плохо знаете индустрию распространения шифраторов.
никто не будет рассылать сегодня старые версии шифраторов, которые известно что расшифровываются.
[ Как создать образ автозапуска? ]
 
Вячеслав Третьяков
Вячеслав Третьяков
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 15.06.2016
Размещено 15.06.2016 09:05:53
Цитата
Сергей Глазовский написал:
Здравствуйте. Вчера, 25.05.2016, на одном из ПК отработал шифровальщик. Вчера почему-то антивирус ESET NOD32 не отловил скрипт. Заражение произошло через открытие письма в MS Outlook без открытия вложений. В письме была HTTP ссылка, переход по ссылке не выполнялся. В итоге все файлы .doc, .docx, .xls, .xlsx, .pdf зашифрованы, после расширения файла добавлено .vault. Есть образец файла VAULT.hta. Также скопирован файл VAULT.KEY. При проверке ПК вручную антивирус ругнулся на файл VAULT.hta, выдал сообщение, что обнаружен Win32/Filecoder.FH. Просьба помочь с расшифровкой файлов и выявлением хвостов зловреда. Возможно, подойдёт описываемая ранее в данной теме утилита ESETFilecoderNacCleaner.exe.
Имеем аналогичную проблему. Cо слов пользователей было какое-то письмо,  которое удалили. Глянул удаленную почту - есть похожее по описанию  письмо, но оно без ссылок и вложений. Яндекс почта, открывают через  Explorer. Win7x64, корпоративный антивирус 5.0.2228.1.

Какие действия имеет смысл произвести?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.06.2016 09:32:39
Вячеслав Третьяков,
имеет смысл через локальные политики запретить запуск исполняемых файлов из архивных вложений

восстановить зашифрованные данные уже не получится,
если необходима помощь в очистке системы, добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
Вячеслав Третьяков
Вячеслав Третьяков
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 15.06.2016
Размещено 15.06.2016 09:58:50
Цитата
имеет смысл через локальные политики запретить запуск исполняемых файлов из архивных вложений
этим надо заняться.  Письма к сожалению нет, повторно опросил пользователей, все как обычно на тему "все пропало, подробности в архиве".
Цитата
восстановить зашифрованные данные уже не получится
благо есть не сильно старый архив
Цитата
добавьте образ автозапуска
вот, лучше перестраховаться

Благодарю за оперативный ответ
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.06.2016 11:05:50
по очистке системы выполнит данный скрипт

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
delall %SystemDrive%\USERS\BIVNITSKIY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
[ Как создать образ автозапуска? ]
 
Вячеслав Третьяков
Вячеслав Третьяков
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 15.06.2016
Размещено 16.06.2016 10:57:52
Почистили, перегрузились, на первый взгляд все нормально.
Не совсем понимаю механизм "запуска исполняемых файлов из архивных вложений", запретил запуск всего из Downloads и AppData (с учетом разных ОС) в GPO. Над исключениями работаем, пока всплыла только панель быстрого запуска.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.06.2016 11:07:14
большинство архиваторов распаковывает файл из архива в %TEMP% юзера. поэтому если запрещаете выполнение исполняемого по соответствующему пути, то исполняемый после распаковки из архива просто не запустится.
вот для XP например.
%userprofile%\Local Settings\Temp\7z*\*.exe
это правило будет блокировать запуск соответственно *.exe из архивного вложения 7z
Изменено: santy - 16.06.2016 11:08:59
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 31 32 33 34 35 ... 41 След.
Читают тему