Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 13 14 15 16 17 ... 49 След.
Здравствуйте, 03.03.2015 заразился Vault Cryptolocker при использовании ESET Smart Security.

Согласно инструкциям на форуме, в директории %temp% в Windows 7 x64, собрал 3 файла в один архив.

-CONFIRMATION.KEY (57 kb)
-pubring.gpg (1 kb)
-VAULT.KEY (2kb)

Прикрепляю архив с данными файлами. Надеюсь на вашу, желательно, оперативную помощь! Заранее благодарю Вас, ребята!
для расшифровки ваших документов одного pubring.gpg недостаточно. нужен secring.gpg или vaultkey.vlt

так же проверьте возможность восстановления документов из теневой копии.
----------
secring.gpg зашифрован и добавлен в VAULT.KEY
но расшифровать его невозможно. нет ключа для расшифровки

Цитата
gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\7\crypto\VAULT.KEY
Time: 11.03.2015 13:24:36 (11.03.2015 7:24:36 UTC)
Изменено: santy - 04.06.2016 18:34:15
Цитата
santy написал:
нет, ключ злоумышленников, который нужен для расшифровки VAULT.KEY здесь не светится.  только на сервере злоумышленников.
вот кстати можно почитать разбор полетов шифровальщика
http://forum.drweb.com/index.php?showtopic=320137&page=13#entry757399

Поправочка: для расшифровки файлов нужен либо  расшифрованный VAULT.KEY, либо расшифрованный CONFIRMATION.KEY.
CONFIRMATION.KEY - это secring.gpg, зашифрованный ключом вымогателя.
VAULT.KEY - это экспортированный из secring.gpg секретный ключ Cellar (уникальный для каждого компьютера-жертвы), также зашифрованный ключом вымогателя.
Публичный ключ вымогателя есть в тексте скрипта secured.bat, это ключ B6DAB2C0 VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage> длиной 1024 бита.

Единственный способ расшифровать файлы без секретного ключа вымогателя - найти в файловой системе компьютера жертвы копию secring.gpg. Задача нетривиальная, если вообще выполнимая: скрипт затирает исходный secring.gpg. Этот файл можно попытаться найти по двум первым байтам в кластере 0x95 0x01 или 0x95 0x00
Единственный способ расшифровать файлы без секретного ключа вымогателя -
найти в файловой системе компьютера жертвы копию secring.gpg. Задача
нетривиальная, если вообще выполнимая: скрипт-шифровщик затирает исходный
secring.gpg. Этот файл можно попытаться найти по двум первым байтам в
кластере 0x95 0x01 или 0x95 0x00
Для такого поиска подходит чуть ли не любая программа с функцией "глубокого" восстановления удалённых файлов.
Цитата
santy написал:
если успеете перехватить secring.gpg, то получится все расшифровать,
если не успеете, то расшифровать не получится.

по восстановлению докуметнтов проверьте возможность восстановить из теневой копии. эта функция поддерживается для вашей системы
Цитата
uVS v3.85.3 [ http://dsrt.dyndns.org] ;: Windows 7 Professional x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
другое дело, включена ли защита системы для дисков или нет.

Скрипт secured.bat удаляет теневые копии. Поэтому такое восстановление невозможно.

Единственный способ расшифровать файлы без секретного ключа вымогателя - найти в файловой системе компьютера жертвы копию secring.gpg. Задача  нетривиальная, если вообще выполнимая: скрипт-шифровщик затирает исходный secring.gpg. Этот файл можно попытаться найти по двум первым байтам в кластере 0x95 0x01 или 0x95 0x00

Для такого поиска подходит чуть ли не любая программа с функцией "глубокого" восстановления удалённых файлов, в том числе и RStudio.
Цитата
santy написал:
если файлы зашифрованы, значит ключевая пара pub/sec была создана на стороне юзера. по алгоритму для шифрования sec key не нужен, поэтому он сразу же шифруется паб ключом злоумышленников (в итоге secring.gpg хранится в VAULT.KEY) и тщательно затирается на диске. нужен он только для расшифровки документов. но расшифровать VAULT.KEY могут только злоумышленники.

без secring.gpg расшифровать доки не получится, а без теневой копии и восстановить нельзя.

остается еще поискать специализированными утилитами среди удаленных файлов.


VAULT.KEY - это не secring.gpg, это зашифрованный экспортированный из него секретный ключ. secring.gpg зашифрован в CONFIRMATION.KEY.

Можно попытаться найти в файловой системе компьютера жертвы копию secring.gpg. Этот файл можно попытаться найти по двум первым байтам в кластере 0x95 0x01 или 0x95 0x00
Но скрипт-шифровщик затирает исходный secring.gpg.
Цитата
CONFIRMATION.KEY - это secring.gpg, зашифрованный ключом вымогателя.

VAULT.KEY - это экспортированный из secring.gpg секретный ключ
Cellar (уникальный для каждого компьютера-жертвы), также зашифрованный
ключом вымогателя.
поправка неверная,
Цитата
в CONFIRMATION.KEY зашифрован список зашифрованных на компьютере пользователя документов.
confclean.list
------------------

gpg: зашифровано 1024-битным ключом RSA с ID 0841CBC9, созданным 27.01.2015
     "Cellar (Cellar) <[email protected]>"

File: Z:\virus!\shifratory\bat.encoder.vault\2\DATA\DATA\3\CONFIRMATION.KEY
Time: 11.03.2015 13:32:52 (11.03.2015 7:32:52 UTC)
причем зашифрован ключом пользователя.
хотя может что-то и поменялось в последнее время.

вот другой пример:
Цитата
gpg: зашифровано 1024-битным ключом RSA с ID 439B1F4F, созданным 12.02.2015
     "Cellar (Cellar) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\3\Temp\Temp\CONFIRMATION.KEY
Time: 11.03.2015 13:38:26 (11.03.2015 7:38:26 UTC)
здесь так же ID не соответствует публик ключу злоумышленников, которым они обычно шифруют экспортируемый со связки секретный ключ пользователя.
Изменено: santy - 04.06.2016 17:52:17
а вот судя по мартовским случаям заражений, изменили алгоритм, и стали шифровать список документов своим ключом.

Цитата
gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\7\crypto\CONFIRMATION.KEY
Time: 11.03.2015 13:41:50 (11.03.2015 7:41:50 UTC)
смысла нем им хоронить secring.gpg юзера в двух файлах.
а для автоматической расшифровки документов нужен еще и полный список всех зашифрованных файлов на стороне юзера.
по нему, скорее всего, они генерируют в личном кабинете свой декодер.
Действительно, я ошибся. В одном скрипте CONFIRMATION.KEY создаётся два раза, первый раз из secring, второй - уже из списка файлов. В другом - только во втором варианте. Видимо автор исправил ошибку.

Вот у меня на руках шифрующий скрипт, от которого пострадала опрометчивая г. бухгалтер.
(сначала идёт номер строки, Cellar - имя локальной пары ключей, VaultCrypt - имя ключа вымогателя)

59 "%temp%\svchost.exe" -r Cellar --export-secret-keys --yes --homedir "%temp%" -a> "%temp%\vaultkey.vlt"
198 "%temp%\svchost.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always -o "%temp%\VAULT.KEY" -e "%temp%\vaultkey.vlt"
199 "%temp%\svchost.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always -o "%temp%\CONFIRMATION.KEY" -e "%temp%\confclean.list"
Пред. 1 ... 13 14 15 16 17 ... 49 След.
Читают тему