файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS

Сообщений: 11

Баллов: 5

Регистрация: 19.02.2015

Размещено 19.02.2015 20:27:57

Зашифровались файлы с расшрирением doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Прикрепленные файлы

DMITRY-MSI_2015-02-19_20-15-14.TXT

Ответы

Пред. 1 ... 15 16 17 18 19 ... 49 След.

Сообщений: 2

Баллов: 1

Регистрация: 16.03.2015

Размещено 16.03.2015 10:32:39

https://yadi.sk/d/Wc4uUe3JfH5Kb
пароль 1
Все что смог собрать(дампы файлы и т.п.)

Прошу помощи.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.03.2015 10:54:59

secring.gpg к сожалению по нулям. значит расшифровка документов не получится.
опубликуйте, пожалуйста, текст письма, которое получили.

приватный ключ злоумышленников не изменился.

Цитата
gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015 "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>" gpg: сбой расшифровки: закрытый ключ не найден File: Z:\virus!\shifratory\bat.encoder.vault\8\vir\5658BAK_VAULT.KEY Time: 16.03.2015 13:55:00 (16.03.2015 7:55:00 UTC)

Изменено: santy - 04.06.2016 18:30:15

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.03.2015 11:00:00

добавьте образ автозапуска системы, возможно там кроме шифратора еще и другие вредоносные программы побывали
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 16.03.2015

Размещено 16.03.2015 11:13:27

Цитата

santy написал:
secring.gpg к сожалению по нулям. значит расшифровка документов не получится.
опубликуйте, пожалуйста, текст письма, которое получили.

приватный ключ злоумышленников не изменился.

Цитата
gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015 "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>" gpg: сбой расшифровки: закрытый ключ не найден File: Z:\virus!\shifratory\bat.encoder.vault\8\vir\5658BAK_VAULT.KEY Time: 16.03.2015 13:55:00 (16.03.2015 7:55:00 UTC)

Там поэтому лежат дампы процессов, из них разве нельзя получить ключ под которым он шифрует?

По поводу других вирусов не побывали, ЮВС уже смотрел, только он.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.03.2015 12:04:55

это дампы процессов, которые не имеют отношение к процессу шифрования.
тем более, что шифрование было публик ключом, а для расшифровки нужен secring.gpg
к тому же, судя по тексту энкодера, теперь они добавили в скрипт отключение теневых копий.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 16.03.2015

Размещено 16.03.2015 12:37:03

Зашифрованы файлы с различными расширениями.
Удалось выявить зловреда и (как я понял) ключи.
Сделайте пожалуйста дешефратор.

Изменено: Валентин - 04.06.2016 18:36:08

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.03.2015 13:27:58

secring.gpg к сожалению нулевого размера, поэтому бесполезен для расшифровки документов,
оригинал secring.gpg добавлен в VAULT.KEY но в зашифрованном виде.

Цитата
gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015 "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>" gpg: сбой расшифровки: закрытый ключ не найден File: Z:\virus!\shifratory\bat.encoder.vault\10\Осторожно ВИРУС\!!!!!!!!!!Осторожно ВИРУС\Temp\Temp\VAULT.KEY Time: 16.03.2015 16:24:09 (16.03.2015 10:24:09 UTC)

Цитата

gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
"VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\10\Осторожно ВИРУС\!!!!!!!!!!Осторожно ВИРУС\Temp\Temp\VAULT.KEY
Time: 16.03.2015 16:24:09 (16.03.2015 10:24:09 UTC)

ключ к расшифровке этого файла только у злоумышленников.
помочь с расшифровкой не сможем.
теневые копии судя по скрипту secured.bat по скрипту отключены.
поэтому восстановить документы из ТК не получится, только если есть архивная копия документов.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 16.03.2015

Размещено 16.03.2015 13:45:03

Спасибо.
Тему можно считать закрытой.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.03.2015 13:50:12

если сохранился текст письма, откуда был запущен шифратор, добавьте его, пожалуйста, в вашу тему.

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 03.03.2015

Размещено 17.03.2015 07:31:31

Здравствуйте!

снова пришли письма о небольших задолженностях ...

Уважаемые коллеги,

Пересылаю счета-фактурысогласно Договора от 17 декабря 2014 года (в приложении).

Прошу
осуществить доплату, поскольку средства за пользование системой
"1С:Бухгалтерия" в полном объеме мы так и не получили. По нашей
оборотно-сальдовой ведомости за вами числиться небольшой долг.
Если оплата не будет произведена в ближайшие 10 дней, мы будем вынуждены прекратить Ваше обслуживание.

Спасибо.

Прикреплённые файлы:
1. Счет 1С - Бухгалтерия.zip

--
С Уважением,
Владимир Никифоров
Менеджер по продажам
Компания "1C"
123056, Россия, Москва, Селезневская ул., д.21

и еще такое письмо

Здравствуйте,
Согласно распоряжению руководства мы подготовили Акт сверки за прошлый год (в приложении).
Прошу ознакомиться с документом и согласовать указанные в нем цифры.
Если по содержанию все ок, я передам его на подпись главному бухгалтеру и вышлю Вам оригиналы.

Прикреплённые файлы:
1. Акт сверки (2014г).zip

____________________
С Уважением, Максим,
ООО "ПромПолимерСервис"

что с ними делать?
Просто удалить на почтовом сервере ?

Вам они нужны?

Пред. 1 ... 15 16 17 18 19 ... 49 След.