Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 20:27:57
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 17 18 19 20 21 ... 49 След.
 
Владимир Фёдоров
Владимир Фёдоров
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 11.03.2015
Размещено 24.03.2015 16:08:05
Дешифратор являлся вредоносным?

Ключ вместе с дешифратором был приобретен напрямую у тех чьи требования были выставлены при заражении компьютера.

Поэтому не совсем ясно о чем вы.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.03.2015 16:38:38
дешифратор вряд ли является вредоносным, скорее всего содержит ваш  список зашифрованных файлов.
-------------
поясните пожалуйста, подробнее это
Цитата
Даже когда компьютер был полностью пролечен, утилита авторов зловреда
смогла найти секретный ключ. Думаю реверс покажет какой именно файл был
секретным.
на самом деле, секретный ключ они вам поставили вместе с дешифратором.
sec_Ar3qpV.key. это и есть секретный ключ secring.gpg, просто переименован на свой вкус.

gpg: ключ 3BE21165: уже есть в таблице закрытых ключей
gpg: всего обработано: 1
gpg:       считано закрытых ключей: 1
gpg:  неизмененных закрытых ключей: 1

File: D:\Soft\users\~shifratory\vualt\1\Sec\sec_Ar3qpV.key
Time: 24.03.2015 19:42:36 (24.03.2015 13:42:36 UTC)
Изменено: santy - 04.06.2016 18:34:15
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.03.2015 16:53:25
а это ваш паблик ключ  (pubring.gpg) из первого сообщения
gpg: ключ 3BE21165: "Cellar (Cellar) <[email protected]>" не изменен
gpg: всего обработано: 1
gpg:                  неизмененных: 1

File: D:\Soft\users\~shifratory\vualt\1\crypto\pubring.gpg
Time: 24.03.2015 19:51:51 (24.03.2015 13:51:51 UTC)
---------
как видите ID ключей совпадают.
Изменено: santy - 04.06.2016 18:34:16
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.03.2015 16:57:40
разработчики vault модифицировали схему распространения шифратора.
теперь он распространяется через js, вложенный в архив,
архив добавлен в почту как вложение, и js содержит в себе закодированные файлы, все что необходимо для шифрования, без необходимости скачивать это из сети.
[ Как создать образ автозапуска? ]
 
Рамиль Ахмадуллин
Рамиль Ахмадуллин
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 24.03.2015
Размещено 24.03.2015 17:01:04
Цитата
santy написал:
а это ваш паблик ключ  (pubring.gpg) из первого сообщения
gpg: ключ  3BE21165 : "Cellar (Cellar) < [email protected] >" не изменен
gpg: всего обработано: 1
gpg:                  неизмененных: 1

File: D:\Soft\users\~shifratory\vualt\1\crypto\pubring.gpg
Time: 24.03.2015 19:51:51 (24.03.2015 13:51:51 UTC)
---------
как видите ID ключей совпадают.
А часто ли совпадают ID, как можно узнать ID своего pubring.gpg ? Есть ли у вас база данных расшиврованных ключей secring.gpg? Вероятность того что рандомно созданные ID совпадут очень низка, может быть есть закономерность в создании  secring.gpg и pubring.gpg ?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.03.2015 17:09:28
установите GnuPG и узнаете ID вашего ключа. вероятность, что будут у разных пользователей одинаковые ключи равна 0.
[ Как создать образ автозапуска? ]
 
Vladimir Калашников
Vladimir Калашников
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 25.03.2015
Размещено 25.03.2015 09:20:19
Если VAULT.KEY, CONFIRMATION.KEY. secring.gpg. есть что дальше делать?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.03.2015 09:32:21
secring.gpg посмотрите какого размера? если 0байт, значит расшифровка невозможна.
[ Как создать образ автозапуска? ]
 
Vladimir Калашников
Vladimir Калашников
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 25.03.2015
Размещено 25.03.2015 09:55:48
1 кб

Что дальше делать?
Изменено: Vladimir Калашников - 04.06.2016 17:53:10
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.03.2015 10:32:58
вышлите в почту [email protected] в архиве несколько зашифрованных файлов с расширением vault и ключ secring.gpg
для проверки расшифровки.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 17 18 19 20 21 ... 49 След.
Читают тему