файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 17 18 19 20 21 ... 49 След.
Дешифратор являлся вредоносным?

Ключ вместе с дешифратором был приобретен напрямую у тех чьи требования были выставлены при заражении компьютера.

Поэтому не совсем ясно о чем вы.
дешифратор вряд ли является вредоносным, скорее всего содержит ваш  список зашифрованных файлов.
-------------
поясните пожалуйста, подробнее это
Цитата
Даже когда компьютер был полностью пролечен, утилита авторов зловреда
смогла найти секретный ключ. Думаю реверс покажет какой именно файл был
секретным.
на самом деле, секретный ключ они вам поставили вместе с дешифратором.
sec_Ar3qpV.key. это и есть секретный ключ secring.gpg, просто переименован на свой вкус.

gpg: ключ 3BE21165: уже есть в таблице закрытых ключей
gpg: всего обработано: 1
gpg:       считано закрытых ключей: 1
gpg:  неизмененных закрытых ключей: 1

File: D:\Soft\users\~shifratory\vualt\1\Sec\sec_Ar3qpV.key
Time: 24.03.2015 19:42:36 (24.03.2015 13:42:36 UTC)
Изменено: santy - 04.06.2016 18:34:15
а это ваш паблик ключ  (pubring.gpg) из первого сообщения
gpg: ключ 3BE21165: "Cellar (Cellar) <v@u.lt>" не изменен
gpg: всего обработано: 1
gpg:                  неизмененных: 1

File: D:\Soft\users\~shifratory\vualt\1\crypto\pubring.gpg
Time: 24.03.2015 19:51:51 (24.03.2015 13:51:51 UTC)
---------
как видите ID ключей совпадают.
Изменено: santy - 04.06.2016 18:34:16
разработчики vault модифицировали схему распространения шифратора.
теперь он распространяется через js, вложенный в архив,
архив добавлен в почту как вложение, и js содержит в себе закодированные файлы, все что необходимо для шифрования, без необходимости скачивать это из сети.
Цитата
santy написал:
а это ваш паблик ключ  (pubring.gpg) из первого сообщения
gpg: ключ  3BE21165 : "Cellar (Cellar) < v@u.lt >" не изменен
gpg: всего обработано: 1
gpg:                  неизмененных: 1

File: D:\Soft\users\~shifratory\vualt\1\crypto\pubring.gpg
Time: 24.03.2015 19:51:51 (24.03.2015 13:51:51 UTC)
---------
как видите ID ключей совпадают.
А часто ли совпадают ID, как можно узнать ID своего pubring.gpg ? Есть ли у вас база данных расшиврованных ключей secring.gpg? Вероятность того что рандомно созданные ID совпадут очень низка, может быть есть закономерность в создании  secring.gpg и pubring.gpg ?
установите GnuPG и узнаете ID вашего ключа. вероятность, что будут у разных пользователей одинаковые ключи равна 0.
Если VAULT.KEY, CONFIRMATION.KEY. secring.gpg. есть что дальше делать?
secring.gpg посмотрите какого размера? если 0байт, значит расшифровка невозможна.
1 кб

Что дальше делать?
Изменено: Vladimir Калашников - 04.06.2016 17:53:10
вышлите в почту safety@chklst.ru в архиве несколько зашифрованных файлов с расширением vault и ключ secring.gpg
для проверки расшифровки.
Пред. 1 ... 17 18 19 20 21 ... 49 След.
Читают тему (гостей: 1)