новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Цитата
santy написал:
возможно кто-либо (ESET, DrWeb, ЛК) найдут решение по дешифровке файлов. Следите на технических форумах.
Понятно. На этом форуме в этой ветке я смогу узнать что появился дешифратор ?
думаю, да. как только появятся счастливчики, которым удастся расшифровать свои документы, напишут. :)
---------
запускается он следующим образом, через lnk файл:
C:\WINDOWS\system32\wbem\WMIC.exe process call create "C:\Windows\SYSTEM32\GnuPG\GnuPG.cmd"
так же lnk- файл прописывается в автозапуск.
Цитата
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\GnuPG
C:\Windows\SYSTEM32\GnuPG\GnuPG.lnk
здесь GnuPG произвольная скрытая папка (к реальному GnuPG не имеет отношения), создаваемая в каталоге system32
GnuPG.cmd - произвольное имя файла, копия файла, извлекаемая из закодированного js
расширение так же может быть произвольным.

при каждом новом запуске, может быть другое имя скрытого каталога, и соответственно новое имя файла, который запускается через wmic

WMIC - это системный файл.
Изменено: santy - 05.11.2015 11:29:25
Цитата
santy написал:
Кристина,
ответил вам в почту, ну и здесь добавлю.
1. что secring.gpg это уникальный ключ, для другого случая шифрования он не подходит.
2. декодер от мошенников вместе с ключом соответственно будет полезен только тому, кому он был выписан после оплаты.
3. вариант ВАУЛТ, который рассылается со 2 ноября отличается от прежнего ваулта, который рассылался до 30октября.
отличается алгоритмом шифрования, поэтому прежние декодеры и ключи здесь никак не помогут.
------------
вот такие мелочи для полноты картины.
C помощью secring.gpg мы можем что нибудь сделать?
нет. в новом варианте VAULT нет такого ключа. там вообще не используется openGPG шифрование. что-то другое.
по новому варианту шифратора пишем здесь.
http://forum.esetnod32.ru/forum35/topic12600/
Изменено: santy - 10.08.2016 09:26:07
Цитата
santy написал:
создаваемая в каталоге system32

Т.е. "тру" пользователям этот зловред не страшен? Или там имеется возможность размещения Своих зловредных файлов в профиле пользователя?
Цитата
NickM написал:
Т.е. "тру" пользователям этот зловред не страшен? Или там имеется возможность размещения Своих зловредных файлов в профиле пользователя?
не проверял еще под ограниченной учетной записью. проверю.
думаю, шифрование будет в любом случае, в автозапуск только не сможет прописаться.
Изменено: santy - 05.11.2015 12:47:43
Цитата
santy написал:
---------
запускается он следующим образом, через lnk файл:
C:\WINDOWS\system32\wbem\WMIC.exe process call create "C:\Windows\SYSTEM32\GnuPG\GnuPG.cmd"
так же lnk- файл прописывается в автозапуск.
Цитата
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\GnuPG
C:\Windows\SYSTEM32\GnuPG\GnuPG.lnk
здесь GnuPG произвольная скрытая папка (к реальному GnuPG не имеет отношения), создаваемая в каталоге system32
GnuPG.cmd - произвольное имя файла, копия файла, извлекаемая из закодированного js
расширение так же может быть произвольным.

при каждом новом запуске, может быть другое имя скрытого каталога, и соответственно новое имя файла, который запускается через wmic

WMIC - это системный файл.
Вот на том компе что выжил скрытая папка называлась IEData. И там был cmd с таким же именем IEData. Он был самый свежий по дате. Когда я его удалил он опять появился. Я опять удалил и вирус видимо понял свою скрую кончину  :D , охерел и стал генерить файлы по нескольку в секунду.  Причём это уже был другой файл. Итого за время битвы 211 удалений файлов у НОД32, из них 54 - это 9 попыток по 6 раз прописать файл vault.hta, а остальные 157 раза попытка восстановить свою работоспособность. Причём последний раз vault.hta пытался прописаться уже после того, как я грохнул каталог IEData. Вот скрины как это всё происходило по времени.
1.jpg (112.43 КБ)
2.jpg (286.83 КБ)
3.jpg (300.89 КБ)
да, он в памяти висит и оттуда за всем наблюдает :)
а то что в папку добавлено, это для автозапуска, на случай, если система будет перезагружена.
Сегодня опять была рассылка, есет уже ловит
https://www.virustotal.com/ru/file/dcd67757ee844f075ed260463ba6c723c6bf968decc3777f­e5237e34aad6a5fe/analysis/1446730441/
https://www.virustotal.com/ru/file/4f2f5b2f925a5557ecd9dd07a6d696415dea0a7b2303fa5f­7820aa2d5dcfa2d9/analysis/1446730443/

Дропер
https://www.virustotal.com/ru/file/a3e173d427fc3f836e5cdcdc05efd23b1469fb1030573bea­35efbb1fe84a2c6f/analysis/1446730466/

Здравствуйте, Игорь. На данный момент вирлаб анализирует возможность подбора дешифратора. В случае, если у Вас есть лицензия ESET, отправьте запрос на support@esetnod32.ru
ESET Technical Support
Читают тему (гостей: 1)