Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
 
тагир гайсин
тагир гайсин
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 02.11.2015
Размещено 02.11.2015 10:33:34
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 35 36 37 38 39 ... 41 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.07.2016 11:23:32
вот кстати, новая тема про ошибочный перевод.
Цитата
27-го числа на наш банковский счет поступили деньги от Вашей организации. Скорее всего это случайность. Для бухгалтера хватит нашей заполненной формы возврата. Вернем назад без всяких проблем.
[ Как создать образ автозапуска? ]
 
Сергей С
Сергей С
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 18.11.2015
Размещено 29.07.2016 11:57:53
т.е. для запуска вируса достаточно перейти по ссылке?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.07.2016 12:45:19
достаточно  открыть lnk файл (одно нажатие)
Изменено: santy - 29.07.2016 12:45:49
[ Как создать образ автозапуска? ]
 
Сергей С
Сергей С
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 18.11.2015
Размещено 01.08.2016 10:09:13
Цитата
santy написал:
Сергей,
файл lnk через который сейчас распространяется ВАУЛТ мог быть и не в архиве, поэтому достаточно на него было нажать один раз, и процесс шифрования бы запустился.
возможно, в случае вашего сотрудника так и было.
образ сейчас гляну.
Добрый день, подскажите посмотрели ли вы образ?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.08.2016 10:24:21
Цитата
Сергей С написал:
Цитата
santy   написал:
Сергей,
файл lnk через который сейчас распространяется ВАУЛТ мог быть и не в архиве, поэтому достаточно на него было нажать один раз, и процесс шифрования бы запустился.
возможно, в случае вашего сотрудника так и было.
образ сейчас гляну.
Добрый день, подскажите посмотрели ли вы образ?
видимо не обратил внимание на образ.

вот скрипт очистки.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
del %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VAULT.HTA
delall %SystemDrive%\TEMP\RAR$EX00.375\OBRAZEC.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
[ Как создать образ автозапуска? ]
 
Сергей С
Сергей С
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 18.11.2015
Размещено 01.08.2016 11:02:31
Спасибо, попробую
 
Роман Воробьев
Роман Воробьев
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 18.08.2014
Размещено 01.08.2016 12:57:06
Добрый день!
По классике жанра пришло сотруднику письмо якобы со сканами ТН и вложенным архивом, в архиве файл .js, соответственно при открытие архива файлы на ПК с расширениями .doc, .xls, .jpg, .pdf зашифровались в .doc.vault и тд. Есть шанс расшифровки?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.08.2016 15:29:13
Цитата
Роман Воробьев написал:
Добрый день!
По классике жанра пришло сотруднику письмо якобы со сканами ТН и вложенным архивом, в архиве файл .js, соответственно при открытие архива файлы на ПК с расширениями .doc, .xls, .jpg, .pdf зашифровались в .doc.vault и тд. Есть шанс расшифровки?
пока нет.
разве что если ключи хакеры подарят, или отдадут, или посеют свой сервер с ключами, а антивирусные компании найдут его вместе с ключами.
если нет копий, и есть важные зашифрованные файлы, сохраните на будущее их на отдельный носитель, + файл VAUT.key
[ Как создать образ автозапуска? ]
 
Дмитрий Мазуркевич
Дмитрий Мазуркевич
Пользователь
Сообщений: 1
Регистрация: 09.08.2016
Размещено 09.08.2016 14:54:47
В общем поймали шифровальщик. Заплатили и получили ключ. Программа расшифровки работала всю ночь, но расшифровала не все файлы. В окне командной строки пишет ERROR:имя_файла.
Подскажите, может чем другим можно расшифровать при наличие ключа?
Спасибо.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.08.2016 15:06:49
вышлите в почту [email protected] несколько зашифрованных файлов и ключ sec.key в архиве, с паролем infected.
для проверки возможности расшифровки.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 35 36 37 38 39 ... 41 След.
Читают тему