новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 35 36 37 38 39 ... 41 След.
вот кстати, новая тема про ошибочный перевод.
Цитата
27-го числа на наш банковский счет поступили деньги от Вашей организации. Скорее всего это случайность. Для бухгалтера хватит нашей заполненной формы возврата. Вернем назад без всяких проблем.
т.е. для запуска вируса достаточно перейти по ссылке?
достаточно  открыть lnk файл (одно нажатие)
Изменено: santy - 29.07.2016 12:45:49
Цитата
santy написал:
Сергей,
файл lnk через который сейчас распространяется ВАУЛТ мог быть и не в архиве, поэтому достаточно на него было нажать один раз, и процесс шифрования бы запустился.
возможно, в случае вашего сотрудника так и было.
образ сейчас гляну.
Добрый день, подскажите посмотрели ли вы образ?
Цитата
Сергей С написал:
Цитата
santy   написал:
Сергей,
файл lnk через который сейчас распространяется ВАУЛТ мог быть и не в архиве, поэтому достаточно на него было нажать один раз, и процесс шифрования бы запустился.
возможно, в случае вашего сотрудника так и было.
образ сейчас гляну.
Добрый день, подскажите посмотрели ли вы образ?
видимо не обратил внимание на образ.

вот скрипт очистки.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VAULT.HTA
delall %SystemDrive%\TEMP\RAR$EX00.375\OBRAZEC.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
Спасибо, попробую
Добрый день!
По классике жанра пришло сотруднику письмо якобы со сканами ТН и вложенным архивом, в архиве файл .js, соответственно при открытие архива файлы на ПК с расширениями .doc, .xls, .jpg, .pdf зашифровались в .doc.vault и тд. Есть шанс расшифровки?
Цитата
Роман Воробьев написал:
Добрый день!
По классике жанра пришло сотруднику письмо якобы со сканами ТН и вложенным архивом, в архиве файл .js, соответственно при открытие архива файлы на ПК с расширениями .doc, .xls, .jpg, .pdf зашифровались в .doc.vault и тд. Есть шанс расшифровки?
пока нет.
разве что если ключи хакеры подарят, или отдадут, или посеют свой сервер с ключами, а антивирусные компании найдут его вместе с ключами.
если нет копий, и есть важные зашифрованные файлы, сохраните на будущее их на отдельный носитель, + файл VAUT.key
В общем поймали шифровальщик. Заплатили и получили ключ. Программа расшифровки работала всю ночь, но расшифровала не все файлы. В окне командной строки пишет ERROR:имя_файла.
Подскажите, может чем другим можно расшифровать при наличие ключа?
Спасибо.
вышлите в почту safety@chklst.ru несколько зашифрованных файлов и ключ sec.key в архиве, с паролем infected.
для проверки возможности расшифровки.
Пред. 1 ... 35 36 37 38 39 ... 41 След.
Читают тему (гостей: 1)