Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 20:27:57
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 11 12 13 14 15 ... 49 След.
 
Галина Сотникова
Галина Сотникова
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 05.03.2015
Размещено 05.03.2015 18:52:34
У меня Windows 7. Я первый раз с таким столкнулась. Решила, что лучше удалить.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.03.2015 19:00:03
теневые копии проверили? есть с чистыми документами или нет?
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.03.2015 12:38:22
Kz kovich
если уж выкладывайте ссылки на js то добавляйте их в архив с паролем infected
расшифровке документов это не поможет,
Изменено: santy - 04.06.2016 17:28:43
[ Как создать образ автозапуска? ]
 
Андрей Есенцев
Андрей Есенцев
Пользователь
Сообщений: 1
Регистрация: 11.05.2014
Размещено 10.03.2015 11:27:08
Словил вирус, теперь файлы зашифрованы.
Хочу их расшифровать...

Или придётся их только восстановить R-Studio?
Изменено: Андрей Есенцев - 04.06.2016 18:37:10
 
Дмитрий Чернов
Дмитрий Чернов
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 10.03.2015
Размещено 10.03.2015 11:45:47
6 ПК поймали шифратор.


из 6 пк - ключи vault.key только на 4 ПК.
vault.hta - взят с ПК, который вообще не критичен. Хоть формат делай. ESET его распознает как шифратор и удаляет. как этот остался не понятно.
на 2 пк так и не нашли ключей
virs.jpg (104.36 КБ)
Изменено: Дмитрий Чернов - 04.06.2016 18:38:42
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2015 12:14:00
вы видимо образ делали в тот момент, когда еще идет шифрование
Цитата
"C:\Windows\TEMP\svchost.exe"  -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "D:\Documents\Pictures\2014-07-30 документ\документ 013.jpg"
надо перегрузить систему,
и проверить что там в %TEMP% юзера осталось.
возможно будет ключ secring.gpg
вообщем все подозрительные файлы из temp юзера добавьте в архив.
этот файл можно удалить
Цитата
C:\Windows\TEMP\svchost.exe
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2015 12:17:24
если успеете перехватить secring.gpg, то получится все расшифровать,
если не успеете, то расшифровать не получится.

по восстановлению докуметнтов проверьте возможность восстановить из теневой копии. эта функция поддерживается для вашей системы

Цитата
uVS v3.85.3 [http://dsrt.dyndns.org]: Windows 7 Professional x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
другое дело, включена ли защита системы для дисков или нет.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2015 12:22:01
gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\6\vir\VAULT.KEY
Time: 10.03.2015 15:19:46 (10.03.2015 9:19:46 UTC)
------------
этого ключа нет в вирлабах, только у злоумышленников.
соответственно, расшифровать и достать secring.gpg могут только они.
-------
поищите на дисках ключи: pubring.gpg, secring.gpg с ненулевым размером.
в каждом случае шифрования, для разных (ваших) компов это будут разные файлы.
--------
т.е. для каждого случая шифрования у вас должен быть свой VAULT.KEY и CONFIRMATION.kEY
если найдете еще и pubring.gpg/secring.gpg тоже сложите их аакуратно, каждый в свою папочку.
Изменено: santy - 04.06.2016 18:38:42
[ Как создать образ автозапуска? ]
 
Дмитрий Чернов
Дмитрий Чернов
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 10.03.2015
Размещено 10.03.2015 12:52:04
с другого ПК.
hhhhhh.jpg (144.33 КБ)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2015 13:11:23
по второму компу secring.gpg=0 для расшифровке не подойдет. проверьте возможность восстановления документов из теневых копий документов.
Изменено: santy - 04.06.2016 18:38:42
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 11 12 13 14 15 ... 49 След.
Читают тему