Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 5 6 7 8 9 ... 41 След.
Цитата
santy написал:
проверьте вариант расшифровки на форуме ДрВеб, какое то решение у них есть в техподдержке.
Что то не нашёл там ничего подходячего для этого вируса. Киньте ссылку где Вы там читали ?
Alex_Serena,
кто ищет, тот всегда найдет
http://forum.drweb.com/index.php?showforum=35


Цитата
Возможна расшифровка файлов, пострадавших от действия последней версии троянца-шифровальщика «Vault»

9 ноября 2015 года

Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, пострадавших от действия опасного троянца-энкодера Trojan.Encoder.2843, известного пользователям под именем «Vault».

http://news.drweb.ru/show/?i=9689&lng=ru&c=14
Изменено: santy - 09.11.2015 17:28:04
Цитата
santy написал:
кто ищет, тот всегда найдет
http://forum.drweb.com/index.php?showforum=35

http://news.drweb.ru/show/?i=9689&lng=ru&c=14

За вторую ссылку спасибо ! Почитал и вычитал.
---
Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web.
---
У нашей организации её нет, у нас официально NOD32. Так что облом-с.  :(
Кстати не понял вот этой рекомендации.
  • ни в коем случае не пытайтесь переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит;
Почему они отговаривают от переустановки ? Форматнул диск и установил заново - какие проблемы то ?
Цитата
Alex_Serena Alex_Serena написал:
Почему они отговаривают от переустановки ? Форматнул диск и установил заново - какие проблемы то ?
потому что проблема с расшифровкой документов не решается с помощью переустановки системы.
это должно быть очевидно.
Alex_Serena Alex_Serena,
напоминаем, что вирусы, архивы с вирусами с паролем infected надо отправлять в [email protected]
(сюда можно еще [email protected])
на форуме не надо постить вирусные тела.
---------
похоже на свежий ВАУЛТ.2

как вариант защиты против ВАУЛТ.2 - сделайте папку в корне диска, добавьте в нее несколько документов doc, xls и защитите файлы папки от изменения и удаления с помощью HIPS.
Изменено: santy - 10.11.2015 10:43:22
Цитата
santy написал:
как вариант защиты против ВАУЛТ.2 - сделайте папку в корне диска, добавьте в нее несколько документов doc, xls и защитите файлы папки от изменения и удаления с помощью HIPS.

Что даёт такая защита? Типа ваулт.2 начинает сканирование с корня, нарывается на такую папку, обламывается, крашится исполняемый процесс/программа и шифрование прерывается?
NickM,
мы не работаем в техподдержке ВАУЛТа, чтобы разбирать детально ошибки этого шифратора, :)
просто выдаем рекомендации пользователям ЕСЕТ на основе опытов и наблюдений.
Изменено: santy - 10.11.2015 13:36:55
вот реакция в песочнице Комодо на запуск исполняемого файла из js
http://camas.comodo.com/cgi-bin/submit?file=335dd30743ae9579c436adcc10e7aff6e1acebd5e139924eb73f503­8c7974c1d

Цитата
• Values Created
Name Type Size Value
CU\Software\Microsoft\ REG_BINARY 19792 ?
CU\Software\Microsoft\Windows\ REG_BINARY 4623 ?

• Directories Created
Name Last Write Time Creation Time Last Access Time Attr
C:\WINDOWS\system32\KB911164 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 0x14

• Files Created
Name Size Last Write Time Creation Time Last Access Time Attr
C:\WINDOWS\system32\KB911164\acctres.dll 64512 2007.07.27 12:00:00.000 2009.01.09 10:37:31.890 2009.01.09 10:37:31.890 0x20
C:\WINDOWS\system32\KB911164\KB911164.exe 120834 2007.07.27 12:00:00.000 2007.07.27 12:00:00.000 2008.08.08 09:14:22.234 0x4
C:\WINDOWS\system32\KB911164\KB911164.lnk 1579 2007.07.27 12:00:00.000 2007.07.27 12:00:00.000 2008.08.08 09:14:22.234 0x2

• Processes Created
PId Process Name Image Name
0x4b4 explorer.exe C:\WINDOWS\explorer.exe

• Files Deleted
Name Size Last Write Time Creation Time Last Access Time Attr
C:\TEST\sample.exe 120834 2009.01.09 10:37:25.218 2009.01.09 10:36:42.187 2009.01.09 10:36:42.187 0x20
Добрый день!  и на этом успокоиться?
Изменено: Дмитрий Овчаров - 10.08.2016 09:27:07
ВАУЛТ, да не тот.
это новый вариант распространяется со 2 ноября.
по ходу будет модифицироваться и совершенствоваться в сокрытии от антивирусов и от расшифровки зараженных документов антивирусными аналитиками.
возможно у него будет такая же долгая и продуктивная жизнь (со большим количеством полученных биткойнов от пострадавших пользователей),
как и у предыдущего варианта bat-энкодера, с шифрованием openPGP,
поэтому изучите и применяйте все известные способы защиты ваших документов.
Изменено: santy - 10.08.2016 09:27:07
Пред. 1 ... 5 6 7 8 9 ... 41 След.
Читают тему