новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS

Сообщений: 2

Баллов: 1

Регистрация: 02.11.2015

Размещено 02.11.2015 10:33:34

Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.

http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки

Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 3 4 5 6 7 ... 41 След.

Сообщений: 30

Баллов: 15

Регистрация: 31.07.2014

Размещено 07.11.2015 18:05:29

Цитата

santy написал:
обращаем ваше внимание,
что новый вариант шифратора, который распространяется со 2 ноября в электронной почте, в архивах с вложением js использует новый алгоритм шифрования.
прежние методы расшифровки с помощью GnuPG и секретного ключа secring.gpg не работают.

Цитата
gpg: packet(3) with unknown version 203 File: X:\active\shifr\VAULT.2.new\1\визитка.pdf.vault Time: 05.11.2015 10:07:09 (05.11.2015 4:07:09 UTC)

при этом шифратор будет отключать теневые копии через vssadmin.exe.
после выполнения своей работы удаляется.
остаются файлы vault.key, confirmatiom.key, vault.hta
в vault.key зашифрован ключ, который необходим для расшифровки документов.
---------

Получаеться, решения на сегодня на дефишрацию нет ?

Сообщений: 7

Баллов: 3

Регистрация: 07.11.2015

Размещено 07.11.2015 18:57:53

Здравствуйте. Прошу совета или помощи.
Тоже почтой словил этот вирус. Зашифрованы файлы оффиса и pdf. Связался со злоумышленниками, заплатил. Они дали ключ для ручной расшифровки и dec.exe для автоматической. Автоматическая не помогла - во время работы dec.exe напротив каждого файла пишет ERROR. При этом на их сайте есть возможность расшифровки 4х файлов для проверки, воспользовался - расшифровали. Т.е. ключ видимо настоящий, но как его использовать для расшифровки?

Инструкция с их сайта:
Выполняемая программа (DEC.EXE) - это автоматизированный дешифровщик. После ее запуска, все зашифрованные файлы на Вашем компьютере автоматически вернутся в их нормальное состояние. Данная программа компилируется с использованием купленого Вами уникального ключа, не содержит вредоносного ПО и имеет открытый код.SEC.KEY - это уникальный ключ восстановления. Он может быть использован для создания программы-дешифровщика. Это такой же ключ, который используется при бесплатном восстановлении Ваших файлов в режиме онлайн.
На Ваше усмотрение, Вы можете использовать нашу программу-дешифровщик для восстановления файлов, или же отправить ключ (SEC.KEY) в антивирусную лабораторию, где Вам создадут отдельную программу, если Вы не хотите использовать нашу (открытый код).

Прикрепляю логи, 4 зашифрованных файла (2 doc и 2 xls), полученный от них ключ для расшифоровки и архив с их расшифровщиком.
Надеюсь на вашу помощь

Изменено: Валентин - 09.11.2015 10:54:29

Сообщений: 17904

Баллов: 28645

Регистрация: 16.03.2010

Размещено 07.11.2015 19:05:41

Artem,

Цитата
Прикрепляю логи, 4 зашифрованных файла (2 doc и 2 xls), полученный от них ключ для расшифоровки и архив с их расшифровщиком. Надеюсь на вашу помощь

там же в инструкции написано, как воспользоваться данным ключом, если это сложно, напишите в техподдержку мошенников, там пояснят. ведь такие деньги заплатили за ключ

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 07.11.2015

Размещено 07.11.2015 19:07:29

santy, вот вся их инструкция: "На Ваше усмотрение, Вы можете использовать нашу программу-дешифровщик для восстановления файлов, или же отправить ключ (SEC.KEY) в антивирусную лабораторию, где Вам создадут отдельную программу, если Вы не хотите использовать нашу (открытый код)."

А их техподдержка молчит.

Сообщений: 17904

Баллов: 28645

Регистрация: 16.03.2010

Размещено 07.11.2015 19:31:50

Artem,
они могут послать вас куда угодно. Но ваша задача уточнить у них, как правильно воспользоваться их дешифратором. за который вы заплатили деньги.

Изменено: santy - 07.11.2015 19:32:20

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 07.11.2015

Размещено 07.11.2015 19:36:00

Цитата
santy написал: Artem, они могут послать вас куда угодно. Но ваша задача уточнить у них, как правильно воспользоваться их дешифратором. за который вы заплатили деньги.

В том то и дело, что они не отвечают. Поэтому к вам решил обратиться

Сообщений: 7

Баллов: 3

Регистрация: 07.11.2015

Размещено 07.11.2015 19:39:02

Вот так выглядит процесс расшифровки их автоматическим дешифратором

Сообщений: 17904

Баллов: 28645

Регистрация: 16.03.2010

Размещено 07.11.2015 19:51:41

значит одно из двух:
или кривой дешифратор у вас.
или не этим ключом зашифрованы файлы.

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 07.11.2015

Размещено 07.11.2015 19:56:29

Цитата
santy написал: значит одно из двух: или кривой дешифратор у вас. или не этим ключом зашифрованы файлы.

А какой программой шифровалось, можно как то узнать?

Сообщений: 17904

Баллов: 28645

Регистрация: 16.03.2010

Размещено 07.11.2015 20:22:56

по вашему дешифратору могу сказать, что если именно его вы выкупили у мошенников, то дешифратор нерабочий, так что все претензии напишите в их чате.

если же комплект дешифратора вы нашли на просторах Интернета, то этот номер не пройдет.
каждый ключ по данному заражению ВАУЛТ наверняка уникален, как и в предыдущем варианте бат-энкодера vault.

[ Как создать образ автозапуска? ]

Пред. 1 ... 3 4 5 6 7 ... 41 След.