новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS

Сообщений: 2

Баллов: 1

Регистрация: 02.11.2015

Размещено 02.11.2015 10:33:34

Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.

http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки

Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 33 34 35 36 37 ... 41 След.

Сообщений: 3

Баллов: 1

Регистрация: 20.07.2016

Размещено 20.07.2016 12:22:36

secring.gpg/pubring.gpg я нашёл сразу после заражения - и они с датой создания на момент прихода письма, т.е. 19.07.2016

Сообщений: 17928

Баллов: 28684

Регистрация: 16.03.2010

Размещено 20.07.2016 12:27:18

при импорте этих ключей видна дата создания данных ключей.

на комп они могли попасть и вчера. поэтому дата создания файлов соответствует вчерашней дате.
но созданы эти ключи в 2014 году.

файлы же зашифрованы с помощью другого алгоритма, не gpg

Цитата
gpg: packet(6) with unknown version 27 File: E:\decrypt\DATA\VAULT2\100\Карта предприятия.doc.vault Time: 20.07.2016 16:27:53 (20.07.2016 9:27:53 UTC)

Изменено: santy - 20.07.2016 12:29:46

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 20.07.2016

Размещено 20.07.2016 12:43:10

Т.е. пока никто и ника не расшифровал такие файлы -- эххх, придётся нести грустную весть(

Сообщений: 17928

Баллов: 28684

Регистрация: 16.03.2010

Размещено 20.07.2016 12:45:59

к сожалению так. эта модификация VAULT без расшифровки на сегодня,
(только за выкуп ключа непосредственно у мошенников, или у посредников, которые предлагают свои услуги по расшифровке, но на самом деле просто покупают ключи за ваши деньги у мошенников, возможно со скидкой)
было бы возможно расшифровать, уже был бы дешифратор, почти год уже прошел с ноября 2015 года.
-------------
добавлю, что последняя рассылка ВАУЛТ очень активна, опасна в плане сокрытия от детекта, и эффективна.

Изменено: santy - 20.07.2016 12:51:06

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 21.07.2016

Размещено 21.07.2016 09:46:39

Словили вирус VAULT, теперь документы и базы 1С зашифрованы.
На компьютере стоит лицензионный антивирус ESET ENDPOINT Antivirus.
Есть возможность расшифровки?

Изменено: Сергей Н - 21.07.2016 11:29:14

Сообщений: 17928

Баллов: 28684

Регистрация: 16.03.2010

Размещено 21.07.2016 10:30:44

Сергей Н,
ответ в предыдущем сообщении №267.
нет расшифровки.

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 22.07.2016

Размещено 22.07.2016 09:06:13

Добрый день, работник поймал шифровальщик VAULT, в итоге все документы оказались зашифрованы, связались со злоумышленниками, оплатили и получили дешифратор и ключ от мошенников, но к этому моменту все vault файлы почему-то изменились в размере на 2 кб, даже сам файл Vault.key, к счастью остался исходный файл ключа.

Документы которые были зашифрованы и которые я для образца скопировал отдельно - успешно расшифровываются дешифратором, но эти же документы, которые остались на диске зараженного компьютера все увеличились на 2 кб и уже не дешифруются.

Прикладываю файлы:

(1)VAULT.KEY - Исходный файл ключа
(2)VAULT.KEY - Измененный после непонятного инцидента.

Бланк письма(1) - Бланк письма, который можно расшифровать дешифратором, который получил от мошенников.
Бланк письма(2) - Измененный файл, который не дешифруется после изменения на 2кб при непонятных обстоятельствах.

Так же прикладываю декриптор с ключ, которым удачно дешифруется "Бланк письма(1)"

PS: Очень нужна ваша помощь, по возвращению файлов в состояние, когда их можно дешифровать.

Прикрепленные файлы

Файлы.zip (97.89 КБ)

Изменено: Алексей Выжанов - 22.07.2016 10:22:50

Сообщений: 6

Баллов: 3

Регистрация: 22.07.2016

Размещено 22.07.2016 10:23:36

Помогите удалить шифратор из системы:
Файл автозапуска прикладываю.

Прикрепленные файлы

WIN-JCTA6G8VCPN_2016-07-22_10-17-18.7z (474.97 КБ)

Сообщений: 6

Баллов: 3

Регистрация: 22.07.2016

Размещено 22.07.2016 10:38:31

Цитата
Алексей Выжанов написал: Добрый день, работник поймал шифровальщик VAULT, в итоге все документы оказались зашифрованы, связались со злоумышленниками, оплатили и получили дешифратор и ключ от мошенников, но к этому моменту все vault файлы почему-то изменились в размере на 2 кб, даже сам файл Vault.key, к счастью остался исходный файл ключа. Документы которые были зашифрованы и которые я для образца скопировал отдельно - успешно расшифровываются дешифратором, но эти же документы, которые остались на диске зараженного компьютера все увеличились на 2 кб и уже не дешифруются. Прикладываю файлы: (1)VAULT.KEY - Исходный файл ключа (2)VAULT.KEY - Измененный после непонятного инцидента. Бланк письма(1) - Бланк письма, который можно расшифровать дешифратором, который получил от мошенников. Бланк письма(2) - Измененный файл, который не дешифруется после изменения на 2кб при непонятных обстоятельствах. Так же прикладываю декриптор с ключ, которым удачно дешифруется "Бланк письма(1)" PS: Очень нужна ваша помощь, по возвращению файлов в состояние, когда их можно дешифровать.

Цитата

Алексей Выжанов написал:
Добрый день, работник поймал шифровальщик VAULT, в итоге все документы оказались зашифрованы, связались со злоумышленниками, оплатили и получили дешифратор и ключ от мошенников, но к этому моменту все vault файлы почему-то изменились в размере на 2 кб, даже сам файл Vault.key, к счастью остался исходный файл ключа.

Документы которые были зашифрованы и которые я для образца скопировал отдельно - успешно расшифровываются дешифратором, но эти же документы, которые остались на диске зараженного компьютера все увеличились на 2 кб и уже не дешифруются.

Прикладываю файлы:

(1)VAULT.KEY - Исходный файл ключа
(2)VAULT.KEY - Измененный после непонятного инцидента.

Бланк письма(1) - Бланк письма, который можно расшифровать дешифратором, который получил от мошенников.
Бланк письма(2) - Измененный файл, который не дешифруется после изменения на 2кб при непонятных обстоятельствах.

Так же прикладываю декриптор с ключ, которым удачно дешифруется "Бланк письма(1)"

PS: Очень нужна ваша помощь, по возвращению файлов в состояние, когда их можно дешифровать.

Ошибся:

Бланк письма(1) - Измененный файл, который не дешифруется после изменения на 2кб при непонятных обстоятельствах.
Бланк письма(2) - Бланк письма, который можно расшифровать дешифратором, который получил от мошенников.

Сообщений: 17928

Баллов: 28684

Регистрация: 16.03.2010

Размещено 22.07.2016 12:25:08

Цитата
Алексей Выжанов написал: Помогите удалить шифратор из системы: Файл автозапуска прикладываю.

файл шифратора обычно самоудаляется после завершения шифрования.
просто удалите этот файл
D:\USERS\USER-02\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA

[ Как создать образ автозапуска? ]

Пред. 1 ... 33 34 35 36 37 ... 41 След.