Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 14 15 16 17 18 ... 49 След.
да, здесь в 59 строке экспортируется со связки секретных ключей именно ключ юзера (Cellar) и помещается в файл vaultkey.vlt
(на этой стадии если выловить vaultkey.vlt, то можно добраться до ключа расшифровки.

в 198 уже файл vaultkey.vlt шифруется публик ключом вымогателя
в 199 соотвественно этим же ключом (публик вымогателя) шифруется список документов.

----------------
59 команду я поначалу неправильно интерпретировал.
(предполагал, что следом за экспортом секретного ключа идет шифрование паблик ключом юзера (-r Cellar
оказывается эта опция -r Cellar указывает, что экспортируется не весь список, а только отдельный указанный ключ.)
Изменено: santy - 04.06.2016 17:52:17
Просканировал на удаленные файлы в поиске secring.gpg, был найден лишь один http://rghost.ru/6n8jsKSBs в пути "\Users\username\AppData\Roaming\gnupg\", но его размер показывает 0 байт.
Цитата
Станислав Дёгтев написал:
VAULT.KEY - это не secring.gpg, это зашифрованный экспортированный из него секретный ключ. secring.gpg зашифрован в CONFIRMATION.KEY.
это не одно и тоже, потому что в VAULT.KEY добавлена еще информация о имени компа, об учетной записи, а дате шифрования, о количестве зашифрованных файлов.
кроме этого в VAULT. KEY так же добавлен и secring.gpg из уникальной ключевой пары pub/sec созданной на компе юзера при запуске шифратора.

вот таким может быть содержание VAULT.KEY в расшифрованном виде. т.е. на момент до шифрования паблик ключом вымогателей. (VAULT.KEY=RENAME(vaultkey.vlt.gpg))

Цитата
-----BEGIN PGP PRIVATE KEY BLOCK-----
Version: GnuPG v1

lQHYBFTHMgEBBADj047UoSz3HIN+oqqj0gMh8es5+QP4eJ1NZcmSgKgQRj5Q­rtZb
i02ptJB7FohhHroBLobpRqhnj/IeDZoXJg/AMOFZVMEyQkHSnyQTqp+i09WP­pk1a
cZy8otK+72VJsGJBMvjNinK8G7NgpNzeeYZbIwDCvqyEPR79RfUUe9ZIsQAR­AQAB
AAP/ZSLURBXspSI2SXAiuiiPlXEUUB74IURB6EroSa3tbZQRM7X5mJfleRGc­Fdgx
4JNIVR/3afUg6yBehfLZ1a7izEMgijD7tX5zxXSFKDt9n2JbzLu4FaMwX1/Y­yQno
J/d5uBbZz2yedkLKxNi+1+mc9mCrt7ar9tMvSR9d9gnp6DUCAOoDE8ma8p8O­PJU+
wzto4dadkrPKJEZKe4UnM/HJhyBW2iYKo2XrZtdPsPM/n77dGF//KwXHqK0g­6tDu
Z9wSWCcCAPk7sRW2w+P9Ka5A9je1cIBhZae8tBp2LV5Bi/hYPlr8s99t/9li­D1zc
NKOQeuvuECjpLgnVWUuaUdwQ4MUuR2cB+wfxAxat5u973T75b5MkVgrcM1ez­UaxA
ZbFyvXF+AgQ5cDUsrEXrR3VICn+Qjrd7W7otisQqGUl8ZvawjYPWWBakHLQY­Q2Vs
bGFyIChDZWxsYXIpIDx2QHUubHQ+iLgEEwECACIFAlTHMgECGy8GCwkIBwMC­BhUI
AgkKCwQWAgMBAh4BAheAAAoJEKgJFUnaPhmeTAUD/RZXaJX47INoqjE/BE2K­jsJ8
aYmLlEqFRsyJqt6INVN31wjehf1GOQkByocXOLk9gpx+BBljMJ7sTj/yWu9J­ca7Z
t9g0sLxNxEy6j1WXafhgd1+B7Wve3AYRYjwMw9SbLrD6Y1njMnsvpTH6MXfB­K2th
ebXUrvkzH1IkHz7PAsKM
=E5vW
-----END PGP PRIVATE KEY BLOCK-----

BDATE: 27.01.2015
UNAME: *****
CNAME: *****
ULANG: RU
01HSH: 284
02HSH: 26484
03HSH: 29780
04HSH: 18475
05HSH: 28341
FHASH: 8345


здесь как раз и содержится secring.gpg юзера между строками BEGIN и END
Изменено: santy - 04.06.2016 17:28:44
Цитата
Kz kovich написал:
Просканировал на удаленные файлы в поиске secring.gpg, был найден лишь один http://rghost.ru/6n8jsKSBs в пути "\Users\username\AppData\Roaming\gnupg\", но его размер показывает 0 байт.
нулевой ключ, конечно, будет бесполезен для расшифровки.
Цитата
Владимир Фёдоров написал:
Здравствуйте, 03.03.2015 заразился Vault Cryptolocker при использовании ESET Smart Security.
как заразиилсь? базы антивируса были обновлены?
Добрый день. Также попался на этот вирус-шифровальщик VAULT. Вопрос такой, думаю он здесь уместен. Сделал теневое копирование данных(создал папку shadows, файлы с контрольной точки восстановления http://www.outsidethebox.ms/13764/). Некоторые фото удалось спасти, т.е. появилась возможность их открыть. Остальные фото хоть и пишут, что формат jpg, не получается открыть. Вопрос такой, почему только малая часть восстановилась и как это можно использовать? У меня Windows 8.
т.е. после запуска шифратора и завершения шифрования , вы открыли теневую копию в которой ваши документы были незашифрованы.

на какой момент относительно момента шифрования была точка восстановления?

были ли еще другие ранние точки?
Цитата
santy написал:
т.е. после запуска шифратора и завершения шифрования , вы открыли теневую копию в которой ваши документы были незашифрованы.

на какой момент относительно момента шифрования была точка восстановления?

были ли еще другие ранние точки?
Шифрование произошло 10.03. Открывал самую раннюю точку 19.02.
другие точки проверили? есть с чистыми документами ли все файлы испорчены и не открываются?
проверьте дату изменения данных файлов (в теневых копиях) которые не открываются
Цитата
santy написал:
другие точки проверили? есть с чистыми документами ли все файлы испорчены и не открываются?
проверьте дату изменения данных файлов (в теневых копиях) которые не открываются
На других точках результаты теже. Дата изменения стоит одинаковая и в открывшихся файлах и в неоткр. файлах.
Пред. 1 ... 14 15 16 17 18 ... 49 След.
Читают тему