Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 11 12 13 14 15 ... 49 След.
У меня Windows 7. Я первый раз с таким столкнулась. Решила, что лучше удалить.
теневые копии проверили? есть с чистыми документами или нет?
Kz kovich
если уж выкладывайте ссылки на js то добавляйте их в архив с паролем infected
расшифровке документов это не поможет,
Изменено: santy - 04.06.2016 17:28:43
Словил вирус, теперь файлы зашифрованы.
Хочу их расшифровать...

Или придётся их только восстановить R-Studio?
Изменено: Андрей Есенцев - 04.06.2016 18:37:10
6 ПК поймали шифратор.


из 6 пк - ключи vault.key только на 4 ПК.
vault.hta - взят с ПК, который вообще не критичен. Хоть формат делай. ESET его распознает как шифратор и удаляет. как этот остался не понятно.
на 2 пк так и не нашли ключей
virs.jpg (104.36 КБ)
Изменено: Дмитрий Чернов - 04.06.2016 18:38:42
вы видимо образ делали в тот момент, когда еще идет шифрование
Цитата
"C:\Windows\TEMP\svchost.exe"  -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "D:\Documents\Pictures\2014-07-30 документ\документ 013.jpg"
надо перегрузить систему,
и проверить что там в %TEMP% юзера осталось.
возможно будет ключ secring.gpg
вообщем все подозрительные файлы из temp юзера добавьте в архив.
этот файл можно удалить
Цитата
C:\Windows\TEMP\svchost.exe
если успеете перехватить secring.gpg, то получится все расшифровать,
если не успеете, то расшифровать не получится.

по восстановлению докуметнтов проверьте возможность восстановить из теневой копии. эта функция поддерживается для вашей системы

Цитата
uVS v3.85.3 [http://dsrt.dyndns.org]: Windows 7 Professional x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
другое дело, включена ли защита системы для дисков или нет.
gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\6\vir\VAULT.KEY
Time: 10.03.2015 15:19:46 (10.03.2015 9:19:46 UTC)
------------
этого ключа нет в вирлабах, только у злоумышленников.
соответственно, расшифровать и достать secring.gpg могут только они.
-------
поищите на дисках ключи: pubring.gpg, secring.gpg с ненулевым размером.
в каждом случае шифрования, для разных (ваших) компов это будут разные файлы.
--------
т.е. для каждого случая шифрования у вас должен быть свой VAULT.KEY и CONFIRMATION.kEY
если найдете еще и pubring.gpg/secring.gpg тоже сложите их аакуратно, каждый в свою папочку.
Изменено: santy - 04.06.2016 18:38:42
с другого ПК.
hhhhhh.jpg (144.33 КБ)
по второму компу secring.gpg=0 для расшифровке не подойдет. проверьте возможность восстановления документов из теневых копий документов.
Изменено: santy - 04.06.2016 18:38:42
Пред. 1 ... 11 12 13 14 15 ... 49 След.
Читают тему