Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 20:27:57
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 9 10 11 12 13 ... 49 След.
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 05.03.2015 11:47:25
вообще интересно. время шифрования файла
(05.03.2015 8:32:54 UTC)
а время создания ключа secring.gpg на три минуты позднее
05.03.2015 8:35:41 UTC)

но ключи с разными ID.
выложите, или вышлите еще несколько зашифрованных файлов.
-------------
понятно. поищите на диске среди удаленных vaultkey.vlt в нем secring.gpg помещен без шифрования.
Изменено: santy - 04.06.2016 17:49:57
[ Как создать образ автозапуска? ]
 
Дмитрий Аверин
Дмитрий Аверин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 05.03.2015
Размещено 05.03.2015 11:49:00
Просто процедуру повторял несколько раз. Мне удалось поймать файл secring.gpg в нужный момент и расшифровать файлы.
При каждом запуске вируса создается ключ с уникальным ID
Изменено: Дмитрий Аверин - 04.06.2016 17:49:57
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 05.03.2015 11:50:41
понятно. сам иногда такие эксперименты проделываю :). чтобы посмотреть на запчасти шифратора.

поищите на диске среди удаленных vaultkey.vlt в нем secring.gpg помещен без шифрования.
[ Как создать образ автозапуска? ]
 
Дмитрий Аверин
Дмитрий Аверин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 05.03.2015
Размещено 05.03.2015 12:00:35
 не находит :(. А если бы нашел, то как его достать?
Изменено: Дмитрий Аверин - 04.06.2016 17:49:57
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 05.03.2015 12:06:15
через функцию import, ключ будет извлечен.
Цитата
gpg.exe --import vaultkey.vlt

там просто алгоритм работы такой.
вначале создается пара puring.gpg/secring.gpg
затем все секретные ключи экспортируются на файл vaultkey.vlt
затем файл vaultkey.vlt шифруется, но уже другим ключом
pub key злоумышленников.
после этого шифрования ваш ключ обратно извлечь могут только они сами. поскольку sec key необходимый только у них хранится.
Изменено: santy - 04.06.2016 17:50:39
[ Как создать образ автозапуска? ]
 
Дмитрий Аверин
Дмитрий Аверин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 05.03.2015
Размещено 05.03.2015 12:08:09
Спасибо! Получается, что на первоначально зараженном компьютере файлы secring.gpg и vaultkey.vlt были сначала перезаписаны в 0 а затем удалены. Восстановить их не возможно.   Интересно, а нельзя изменить ID ключа?
Изменено: Дмитрий Аверин - 04.06.2016 17:50:39
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 05.03.2015 12:12:14
да, там спец. утилита sdelete Руссиновича) используется для затирания этих файлов.

Цитата
"%temp%\audiodg.exe" /accepteula -p 16 -q "%temp%\secring.gpg"
"%temp%\audiodg.exe" /accepteula -p 16 -q "%temp%\vaultkey.vlt"
"%temp%\audiodg.exe" /accepteula -p 16 -q "%temp%\confclean.list"

в этом файле confclean.list хранятся полные пути на все зашифрованные документы. файл после шифруется и помещается в CONFIRMATION.KEY
Изменено: santy - 04.06.2016 17:50:39
[ Как создать образ автозапуска? ]
 
Дмитрий Аверин
Дмитрий Аверин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 05.03.2015
Размещено 05.03.2015 12:16:35
Хотелось бы сказать, что автор молодец, но испортил работу изрядно нам.
 
Галина Сотникова
Галина Сотникова
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 05.03.2015
Размещено 05.03.2015 12:16:42
Я его к сожалению удалила.
В письме говорилось о том, что "Вами не оплачен счет на поставку компьютерной техники" и приложен файл-счет". Я его открыла и все значки стали с расширением .vault
 
santy
santy
Администратор
Сообщений: 17970
Баллов: 28751
Регистрация: 16.03.2010
Размещено 05.03.2015 12:24:08
ну, молодцы здесь разработчики PGP/GNUPG, которые создали надежную криптостойкую систему шифрования (и те кто создавал алгоритмы шифрования), а злоумышленники лишь воспользовались результатами их работы. :)
Изменено: santy - 04.06.2016 17:50:39
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 9 10 11 12 13 ... 49 След.
Читают тему