Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 20:27:57
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 13 14 15 16 17 ... 49 След.
 
Владимир Фёдоров
Владимир Фёдоров
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 11.03.2015
Размещено 11.03.2015 10:08:03
Здравствуйте, 03.03.2015 заразился Vault Cryptolocker при использовании ESET Smart Security.

Согласно инструкциям на форуме, в директории %temp% в Windows 7 x64, собрал 3 файла в один архив.

-CONFIRMATION.KEY (57 kb)
-pubring.gpg (1 kb)
-VAULT.KEY (2kb)

Прикрепляю архив с данными файлами. Надеюсь на вашу, желательно, оперативную помощь! Заранее благодарю Вас, ребята!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 10:27:15
для расшифровки ваших документов одного pubring.gpg недостаточно. нужен secring.gpg или vaultkey.vlt

так же проверьте возможность восстановления документов из теневой копии.
----------
secring.gpg зашифрован и добавлен в VAULT.KEY
но расшифровать его невозможно. нет ключа для расшифровки

Цитата
gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\7\crypto\VAULT.KEY
Time: 11.03.2015 13:24:36 (11.03.2015 7:24:36 UTC)
Изменено: santy - 04.06.2016 18:34:15
[ Как создать образ автозапуска? ]
 
Станислав Дёгтев
Станислав Дёгтев
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 11.03.2015
Размещено 11.03.2015 10:27:41
Цитата
santy написал:
нет, ключ злоумышленников, который нужен для расшифровки VAULT.KEY здесь не светится.  только на сервере злоумышленников.
вот кстати можно почитать разбор полетов шифровальщика
http://forum.drweb.com/index.php?showtopic=320137&page=13#entry757399

Поправочка: для расшифровки файлов нужен либо  расшифрованный VAULT.KEY, либо расшифрованный CONFIRMATION.KEY.
CONFIRMATION.KEY - это secring.gpg, зашифрованный ключом вымогателя.
VAULT.KEY - это экспортированный из secring.gpg секретный ключ Cellar (уникальный для каждого компьютера-жертвы), также зашифрованный ключом вымогателя.
Публичный ключ вымогателя есть в тексте скрипта secured.bat, это ключ B6DAB2C0 VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage> длиной 1024 бита.

Единственный способ расшифровать файлы без секретного ключа вымогателя - найти в файловой системе компьютера жертвы копию secring.gpg. Задача нетривиальная, если вообще выполнимая: скрипт затирает исходный secring.gpg. Этот файл можно попытаться найти по двум первым байтам в кластере 0x95 0x01 или 0x95 0x00
 
Станислав Дёгтев
Станислав Дёгтев
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 11.03.2015
Размещено 11.03.2015 10:29:33
Единственный способ расшифровать файлы без секретного ключа вымогателя -
найти в файловой системе компьютера жертвы копию secring.gpg. Задача
нетривиальная, если вообще выполнимая: скрипт-шифровщик затирает исходный
secring.gpg. Этот файл можно попытаться найти по двум первым байтам в
кластере 0x95 0x01 или 0x95 0x00
Для такого поиска подходит чуть ли не любая программа с функцией "глубокого" восстановления удалённых файлов.
 
Станислав Дёгтев
Станислав Дёгтев
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 11.03.2015
Размещено 11.03.2015 10:31:27
Цитата
santy написал:
если успеете перехватить secring.gpg, то получится все расшифровать,
если не успеете, то расшифровать не получится.

по восстановлению докуметнтов проверьте возможность восстановить из теневой копии. эта функция поддерживается для вашей системы
Цитата
uVS v3.85.3 [ http://dsrt.dyndns.org] ;: Windows 7 Professional x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
другое дело, включена ли защита системы для дисков или нет.

Скрипт secured.bat удаляет теневые копии. Поэтому такое восстановление невозможно.

Единственный способ расшифровать файлы без секретного ключа вымогателя - найти в файловой системе компьютера жертвы копию secring.gpg. Задача  нетривиальная, если вообще выполнимая: скрипт-шифровщик затирает исходный secring.gpg. Этот файл можно попытаться найти по двум первым байтам в кластере 0x95 0x01 или 0x95 0x00

Для такого поиска подходит чуть ли не любая программа с функцией "глубокого" восстановления удалённых файлов, в том числе и RStudio.
 
Станислав Дёгтев
Станислав Дёгтев
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 11.03.2015
Размещено 11.03.2015 10:35:32
Цитата
santy написал:
если файлы зашифрованы, значит ключевая пара pub/sec была создана на стороне юзера. по алгоритму для шифрования sec key не нужен, поэтому он сразу же шифруется паб ключом злоумышленников (в итоге secring.gpg хранится в VAULT.KEY) и тщательно затирается на диске. нужен он только для расшифровки документов. но расшифровать VAULT.KEY могут только злоумышленники.

без secring.gpg расшифровать доки не получится, а без теневой копии и восстановить нельзя.

остается еще поискать специализированными утилитами среди удаленных файлов.


VAULT.KEY - это не secring.gpg, это зашифрованный экспортированный из него секретный ключ. secring.gpg зашифрован в CONFIRMATION.KEY.

Можно попытаться найти в файловой системе компьютера жертвы копию secring.gpg. Этот файл можно попытаться найти по двум первым байтам в кластере 0x95 0x01 или 0x95 0x00
Но скрипт-шифровщик затирает исходный secring.gpg.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 10:37:41
Цитата
CONFIRMATION.KEY - это secring.gpg, зашифрованный ключом вымогателя.

VAULT.KEY - это экспортированный из secring.gpg секретный ключ
Cellar (уникальный для каждого компьютера-жертвы), также зашифрованный
ключом вымогателя.
поправка неверная,
Цитата
в CONFIRMATION.KEY зашифрован список зашифрованных на компьютере пользователя документов.
confclean.list
------------------

gpg: зашифровано 1024-битным ключом RSA с ID 0841CBC9, созданным 27.01.2015
     "Cellar (Cellar) <[email protected]>"

File: Z:\virus!\shifratory\bat.encoder.vault\2\DATA\DATA\3\CONFIRMATION.KEY
Time: 11.03.2015 13:32:52 (11.03.2015 7:32:52 UTC)
причем зашифрован ключом пользователя.
хотя может что-то и поменялось в последнее время.

вот другой пример:
Цитата
gpg: зашифровано 1024-битным ключом RSA с ID 439B1F4F, созданным 12.02.2015
     "Cellar (Cellar) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\3\Temp\Temp\CONFIRMATION.KEY
Time: 11.03.2015 13:38:26 (11.03.2015 7:38:26 UTC)
здесь так же ID не соответствует публик ключу злоумышленников, которым они обычно шифруют экспортируемый со связки секретный ключ пользователя.
Изменено: santy - 04.06.2016 17:52:17
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 10:44:18
а вот судя по мартовским случаям заражений, изменили алгоритм, и стали шифровать список документов своим ключом.

Цитата
gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\7\crypto\CONFIRMATION.KEY
Time: 11.03.2015 13:41:50 (11.03.2015 7:41:50 UTC)
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 10:55:21
смысла нем им хоронить secring.gpg юзера в двух файлах.
а для автоматической расшифровки документов нужен еще и полный список всех зашифрованных файлов на стороне юзера.
по нему, скорее всего, они генерируют в личном кабинете свой декодер.
[ Как создать образ автозапуска? ]
 
Станислав Дёгтев
Станислав Дёгтев
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 11.03.2015
Размещено 11.03.2015 11:00:19
Действительно, я ошибся. В одном скрипте CONFIRMATION.KEY создаётся два раза, первый раз из secring, второй - уже из списка файлов. В другом - только во втором варианте. Видимо автор исправил ошибку.

Вот у меня на руках шифрующий скрипт, от которого пострадала опрометчивая г. бухгалтер.
(сначала идёт номер строки, Cellar - имя локальной пары ключей, VaultCrypt - имя ключа вымогателя)

59 "%temp%\svchost.exe" -r Cellar --export-secret-keys --yes --homedir "%temp%" -a> "%temp%\vaultkey.vlt"
198 "%temp%\svchost.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always -o "%temp%\VAULT.KEY" -e "%temp%\vaultkey.vlt"
199 "%temp%\svchost.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always -o "%temp%\CONFIRMATION.KEY" -e "%temp%\confclean.list"
 
Пред. 1 ... 13 14 15 16 17 ... 49 След.
Читают тему