Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
 
тагир гайсин
тагир гайсин
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 02.11.2015
Размещено 02.11.2015 10:33:34
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 33 34 35 36 37 ... 41 След.
 
Николай Щербак
Николай Щербак
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 20.07.2016
Размещено 20.07.2016 12:22:36
secring.gpg/pubring.gpg я нашёл сразу после заражения - и они с датой создания на момент прихода письма, т.е. 19.07.2016
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.07.2016 12:27:18
при импорте этих ключей видна дата создания данных ключей.


на комп они могли попасть и вчера. поэтому дата создания файлов соответствует вчерашней дате.
но созданы эти ключи в 2014 году.

файлы же зашифрованы с помощью другого алгоритма, не gpg

Цитата
gpg: packet(6) with unknown version 27

File: E:\decrypt\DATA\VAULT2\100\Карта предприятия.doc.vault
Time: 20.07.2016 16:27:53 (20.07.2016 9:27:53 UTC)
Изменено: santy - 20.07.2016 12:29:46
[ Как создать образ автозапуска? ]
 
Николай Щербак
Николай Щербак
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 20.07.2016
Размещено 20.07.2016 12:43:10
Т.е. пока никто и ника не расшифровал такие файлы -- эххх, придётся нести грустную весть(
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.07.2016 12:45:59
к сожалению так. эта модификация VAULT без расшифровки на сегодня,
(только за выкуп ключа непосредственно у мошенников, или у посредников, которые предлагают свои услуги по расшифровке, но на самом деле просто покупают ключи за ваши деньги у мошенников, возможно со скидкой)
было бы возможно расшифровать, уже был бы дешифратор, почти год уже прошел с ноября 2015 года.
-------------
добавлю, что последняя рассылка ВАУЛТ очень активна, опасна в плане сокрытия от детекта, и эффективна.
Изменено: santy - 20.07.2016 12:51:06
[ Как создать образ автозапуска? ]
 
Сергей Н
Сергей Н
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 21.07.2016
Размещено 21.07.2016 09:46:39
Словили вирус VAULT, теперь документы и базы 1С зашифрованы.
На компьютере стоит лицензионный антивирус ESET ENDPOINT Antivirus.
Есть возможность расшифровки?
Изменено: Сергей Н - 21.07.2016 11:29:14
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.07.2016 10:30:44
Сергей Н,
ответ в предыдущем сообщении №267.
нет расшифровки.
[ Как создать образ автозапуска? ]
 
Алексей Выжанов
Алексей Выжанов
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 22.07.2016
Размещено 22.07.2016 09:06:13
Добрый день, работник поймал шифровальщик VAULT, в итоге все документы оказались зашифрованы, связались со злоумышленниками, оплатили и получили дешифратор и ключ от мошенников, но к этому моменту все vault файлы почему-то изменились в размере на 2 кб, даже сам файл Vault.key, к счастью остался исходный файл ключа.

Документы которые были зашифрованы и которые я для образца скопировал отдельно - успешно расшифровываются дешифратором, но эти же документы, которые остались на диске зараженного компьютера все увеличились на 2 кб и уже не дешифруются.

Прикладываю файлы:

(1)VAULT.KEY - Исходный файл ключа
(2)VAULT.KEY - Измененный после непонятного инцидента.

Бланк письма(1) - Бланк письма, который можно расшифровать дешифратором, который получил от мошенников.
Бланк письма(2) - Измененный файл, который не дешифруется после изменения на 2кб при непонятных обстоятельствах.

Так же прикладываю декриптор с ключ, которым удачно дешифруется "Бланк письма(1)"

PS: Очень нужна ваша помощь, по возвращению файлов в состояние, когда их можно дешифровать.
Изменено: Алексей Выжанов - 22.07.2016 10:22:50
 
Алексей Выжанов
Алексей Выжанов
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 22.07.2016
Размещено 22.07.2016 10:23:36
Помогите удалить шифратор из системы:
Файл автозапуска прикладываю.
 
Алексей Выжанов
Алексей Выжанов
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 22.07.2016
Размещено 22.07.2016 10:38:31
Цитата
Алексей Выжанов написал:
Добрый день, работник поймал шифровальщик VAULT, в итоге все документы оказались зашифрованы, связались со злоумышленниками, оплатили и получили дешифратор и ключ от мошенников, но к этому моменту все vault файлы почему-то изменились в размере на 2 кб, даже сам файл Vault.key, к счастью остался исходный файл ключа.

Документы которые были зашифрованы и которые я для образца скопировал отдельно - успешно расшифровываются дешифратором, но эти же документы, которые остались на диске зараженного компьютера все увеличились на 2 кб и уже не дешифруются.

Прикладываю файлы:

(1)VAULT.KEY - Исходный файл ключа
(2)VAULT.KEY - Измененный после непонятного инцидента.

Бланк письма(1) - Бланк письма, который можно расшифровать дешифратором, который получил от мошенников.
Бланк письма(2) - Измененный файл, который не дешифруется после изменения на 2кб при непонятных обстоятельствах.

Так же прикладываю декриптор с ключ, которым удачно дешифруется "Бланк письма(1)"

PS: Очень нужна ваша помощь, по возвращению файлов в состояние, когда их можно дешифровать.
Ошибся:

Бланк письма(1) - Измененный файл, который не дешифруется после изменения на 2кб при непонятных обстоятельствах.
Бланк письма(2) - Бланк письма, который можно расшифровать дешифратором, который получил от мошенников.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.07.2016 12:25:08
Цитата
Алексей Выжанов написал:
Помогите удалить шифратор из системы:
Файл автозапуска прикладываю.
файл шифратора обычно самоудаляется после завершения шифрования.
просто удалите этот файл
D:\USERS\USER-02\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 33 34 35 36 37 ... 41 След.
Читают тему