новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS

Сообщений: 2

Баллов: 1

Регистрация: 02.11.2015

Размещено 02.11.2015 10:33:34

Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.

http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки

Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 35 36 37 38 39 ... 41 След.

Сообщений: 17909

Баллов: 28653

Регистрация: 16.03.2010

Размещено 29.07.2016 11:23:32

вот кстати, новая тема про ошибочный перевод.

Цитата
27-го числа на наш банковский счет поступили деньги от Вашей организации. Скорее всего это случайность. Для бухгалтера хватит нашей заполненной формы возврата. Вернем назад без всяких проблем.

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 18.11.2015

Размещено 29.07.2016 11:57:53

т.е. для запуска вируса достаточно перейти по ссылке?

Сообщений: 17909

Баллов: 28653

Регистрация: 16.03.2010

Размещено 29.07.2016 12:45:19

достаточно открыть lnk файл (одно нажатие)

Изменено: santy - 29.07.2016 12:45:49

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 18.11.2015

Размещено 01.08.2016 10:09:13

Цитата
santy написал: Сергей, файл lnk через который сейчас распространяется ВАУЛТ мог быть и не в архиве, поэтому достаточно на него было нажать один раз, и процесс шифрования бы запустился. возможно, в случае вашего сотрудника так и было. образ сейчас гляну.

Цитата

santy написал:
Сергей,
файл lnk через который сейчас распространяется ВАУЛТ мог быть и не в архиве, поэтому достаточно на него было нажать один раз, и процесс шифрования бы запустился.
возможно, в случае вашего сотрудника так и было.
образ сейчас гляну.

Добрый день, подскажите посмотрели ли вы образ?

Сообщений: 17909

Баллов: 28653

Регистрация: 16.03.2010

Размещено 01.08.2016 10:24:21

Цитата

Сергей С написал:

Цитата

Добрый день, подскажите посмотрели ли вы образ?

видимо не обратил внимание на образ.

вот скрипт очистки.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VAULT.HTA delall %SystemDrive%\TEMP\RAR$EX00.375\OBRAZEC.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VAULT.HTA
delall %SystemDrive%\TEMP\RAR$EX00.375\OBRAZEC.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 18.11.2015

Размещено 01.08.2016 11:02:31

Спасибо, попробую

Сообщений: 3

Баллов: 1

Регистрация: 18.08.2014

Размещено 01.08.2016 12:57:06

Добрый день!
По классике жанра пришло сотруднику письмо якобы со сканами ТН и вложенным архивом, в архиве файл .js, соответственно при открытие архива файлы на ПК с расширениями .doc, .xls, .jpg, .pdf зашифровались в .doc.vault и тд. Есть шанс расшифровки?

Сообщений: 17909

Баллов: 28653

Регистрация: 16.03.2010

Размещено 01.08.2016 15:29:13

Цитата
Роман Воробьев написал: Добрый день! По классике жанра пришло сотруднику письмо якобы со сканами ТН и вложенным архивом, в архиве файл .js, соответственно при открытие архива файлы на ПК с расширениями .doc, .xls, .jpg, .pdf зашифровались в .doc.vault и тд. Есть шанс расшифровки?

Цитата

Роман Воробьев написал:
Добрый день!
По классике жанра пришло сотруднику письмо якобы со сканами ТН и вложенным архивом, в архиве файл .js, соответственно при открытие архива файлы на ПК с расширениями .doc, .xls, .jpg, .pdf зашифровались в .doc.vault и тд. Есть шанс расшифровки?

пока нет.
разве что если ключи хакеры подарят, или отдадут, или посеют свой сервер с ключами, а антивирусные компании найдут его вместе с ключами.
если нет копий, и есть важные зашифрованные файлы, сохраните на будущее их на отдельный носитель, + файл VAUT.key

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 09.08.2016

Размещено 09.08.2016 14:54:47

В общем поймали шифровальщик. Заплатили и получили ключ. Программа расшифровки работала всю ночь, но расшифровала не все файлы. В окне командной строки пишет ERROR:имя_файла.
Подскажите, может чем другим можно расшифровать при наличие ключа?
Спасибо.

Сообщений: 17909

Баллов: 28653

Регистрация: 16.03.2010

Размещено 09.08.2016 15:06:49

вышлите в почту [email protected] несколько зашифрованных файлов и ключ sec.key в архиве, с паролем infected.
для проверки возможности расшифровки.

[ Как создать образ автозапуска? ]

Пред. 1 ... 35 36 37 38 39 ... 41 След.