Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 20:27:57
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 14 15 16 17 18 ... 49 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 11:10:58
да, здесь в 59 строке экспортируется со связки секретных ключей именно ключ юзера (Cellar) и помещается в файл vaultkey.vlt
(на этой стадии если выловить vaultkey.vlt, то можно добраться до ключа расшифровки.

в 198 уже файл vaultkey.vlt шифруется публик ключом вымогателя
в 199 соотвественно этим же ключом (публик вымогателя) шифруется список документов.

----------------
59 команду я поначалу неправильно интерпретировал.
(предполагал, что следом за экспортом секретного ключа идет шифрование паблик ключом юзера (-r Cellar
оказывается эта опция -r Cellar указывает, что экспортируется не весь список, а только отдельный указанный ключ.)
Изменено: santy - 04.06.2016 17:52:17
[ Как создать образ автозапуска? ]
 
Kz kovich
Kz kovich
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 03.03.2015
Размещено 11.03.2015 11:45:12
Просканировал на удаленные файлы в поиске secring.gpg, был найден лишь один http://rghost.ru/6n8jsKSBs в пути "\Users\username\AppData\Roaming\gnupg\", но его размер показывает 0 байт.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 12:23:58
Цитата
Станислав Дёгтев написал:
VAULT.KEY - это не secring.gpg, это зашифрованный экспортированный из него секретный ключ. secring.gpg зашифрован в CONFIRMATION.KEY.
это не одно и тоже, потому что в VAULT.KEY добавлена еще информация о имени компа, об учетной записи, а дате шифрования, о количестве зашифрованных файлов.
кроме этого в VAULT. KEY так же добавлен и secring.gpg из уникальной ключевой пары pub/sec созданной на компе юзера при запуске шифратора.

вот таким может быть содержание VAULT.KEY в расшифрованном виде. т.е. на момент до шифрования паблик ключом вымогателей. (VAULT.KEY=RENAME(vaultkey.vlt.gpg))

Цитата
-----BEGIN PGP PRIVATE KEY BLOCK-----
Version: GnuPG v1

lQHYBFTHMgEBBADj047UoSz3HIN+oqqj0gMh8es5+QP4eJ1NZcmSgKgQRj5Q­rtZb
i02ptJB7FohhHroBLobpRqhnj/IeDZoXJg/AMOFZVMEyQkHSnyQTqp+i09WP­pk1a
cZy8otK+72VJsGJBMvjNinK8G7NgpNzeeYZbIwDCvqyEPR79RfUUe9ZIsQAR­AQAB
AAP/ZSLURBXspSI2SXAiuiiPlXEUUB74IURB6EroSa3tbZQRM7X5mJfleRGc­Fdgx
4JNIVR/3afUg6yBehfLZ1a7izEMgijD7tX5zxXSFKDt9n2JbzLu4FaMwX1/Y­yQno
J/d5uBbZz2yedkLKxNi+1+mc9mCrt7ar9tMvSR9d9gnp6DUCAOoDE8ma8p8O­PJU+
wzto4dadkrPKJEZKe4UnM/HJhyBW2iYKo2XrZtdPsPM/n77dGF//KwXHqK0g­6tDu
Z9wSWCcCAPk7sRW2w+P9Ka5A9je1cIBhZae8tBp2LV5Bi/hYPlr8s99t/9li­D1zc
NKOQeuvuECjpLgnVWUuaUdwQ4MUuR2cB+wfxAxat5u973T75b5MkVgrcM1ez­UaxA
ZbFyvXF+AgQ5cDUsrEXrR3VICn+Qjrd7W7otisQqGUl8ZvawjYPWWBakHLQY­Q2Vs
bGFyIChDZWxsYXIpIDx2QHUubHQ+iLgEEwECACIFAlTHMgECGy8GCwkIBwMC­BhUI
AgkKCwQWAgMBAh4BAheAAAoJEKgJFUnaPhmeTAUD/RZXaJX47INoqjE/BE2K­jsJ8
aYmLlEqFRsyJqt6INVN31wjehf1GOQkByocXOLk9gpx+BBljMJ7sTj/yWu9J­ca7Z
t9g0sLxNxEy6j1WXafhgd1+B7Wve3AYRYjwMw9SbLrD6Y1njMnsvpTH6MXfB­K2th
ebXUrvkzH1IkHz7PAsKM
=E5vW
-----END PGP PRIVATE KEY BLOCK-----

BDATE: 27.01.2015
UNAME: *****
CNAME: *****
ULANG: RU
01HSH: 284
02HSH: 26484
03HSH: 29780
04HSH: 18475
05HSH: 28341
FHASH: 8345


здесь как раз и содержится secring.gpg юзера между строками BEGIN и END
Изменено: santy - 04.06.2016 17:28:44
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2015 12:26:54
Цитата
Kz kovich написал:
Просканировал на удаленные файлы в поиске secring.gpg, был найден лишь один http://rghost.ru/6n8jsKSBs в пути "\Users\username\AppData\Roaming\gnupg\", но его размер показывает 0 байт.
нулевой ключ, конечно, будет бесполезен для расшифровки.
[ Как создать образ автозапуска? ]
 
Виктор Астанин
Виктор Астанин
Пользователь
Сообщений: 24
Баллов: 12
Регистрация: 20.10.2014
Размещено 11.03.2015 20:59:50
Цитата
Владимир Фёдоров написал:
Здравствуйте, 03.03.2015 заразился Vault Cryptolocker при использовании ESET Smart Security.
как заразиилсь? базы антивируса были обновлены?
 
Александр Шумаков
Александр Шумаков
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 12.03.2015
Размещено 12.03.2015 11:19:28
Добрый день. Также попался на этот вирус-шифровальщик VAULT. Вопрос такой, думаю он здесь уместен. Сделал теневое копирование данных(создал папку shadows, файлы с контрольной точки восстановления http://www.outsidethebox.ms/13764/). Некоторые фото удалось спасти, т.е. появилась возможность их открыть. Остальные фото хоть и пишут, что формат jpg, не получается открыть. Вопрос такой, почему только малая часть восстановилась и как это можно использовать? У меня Windows 8.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.03.2015 11:45:43
т.е. после запуска шифратора и завершения шифрования , вы открыли теневую копию в которой ваши документы были незашифрованы.

на какой момент относительно момента шифрования была точка восстановления?

были ли еще другие ранние точки?
[ Как создать образ автозапуска? ]
 
Александр Шумаков
Александр Шумаков
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 12.03.2015
Размещено 12.03.2015 11:58:52
Цитата
santy написал:
т.е. после запуска шифратора и завершения шифрования , вы открыли теневую копию в которой ваши документы были незашифрованы.

на какой момент относительно момента шифрования была точка восстановления?

были ли еще другие ранние точки?
Шифрование произошло 10.03. Открывал самую раннюю точку 19.02.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.03.2015 12:22:54
другие точки проверили? есть с чистыми документами ли все файлы испорчены и не открываются?
проверьте дату изменения данных файлов (в теневых копиях) которые не открываются
[ Как создать образ автозапуска? ]
 
Александр Шумаков
Александр Шумаков
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 12.03.2015
Размещено 12.03.2015 12:28:22
Цитата
santy написал:
другие точки проверили? есть с чистыми документами ли все файлы испорчены и не открываются?
проверьте дату изменения данных файлов (в теневых копиях) которые не открываются
На других точках результаты теже. Дата изменения стоит одинаковая и в открывшихся файлах и в неоткр. файлах.
 
Пред. 1 ... 14 15 16 17 18 ... 49 След.
Читают тему