Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 20:27:57
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 29 30 31 32 33 ... 49 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.04.2015 16:33:46
sdelete.exe (но имя может быть другим) затирает secring.gpg, потом еще и обычной системной командой удаляют del.
http://forum.esetnod32.ru/forum35/topic11845/
Изменено: santy - 04.06.2016 17:56:17
[ Как создать образ автозапуска? ]
 
Игорь Вышлов
Игорь Вышлов
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 01.04.2015
Размещено 02.04.2015 16:52:38
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"

вот. вот эти строки где прописаны ? в самом скрипте ?  или в bat-файле ?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.04.2015 16:55:28
вы же можете посмотреть и сам js и bat-файл.
у вас шифратор на руках + установлена виртуалка. если есть определенный интерес к этой теме, то изучайте все файлы, которые будут найдены в %TEMP%
это будет полезнее для вас, чем "кушать с ложечки" все готовые ответы.
[ Как создать образ автозапуска? ]
 
Игорь Вышлов
Игорь Вышлов
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 01.04.2015
Размещено 02.04.2015 18:38:38
Цитата
santy написал:
вы же можете посмотреть и сам js и bat-файл.
у вас шифратор на руках + установлена виртуалка. если есть определенный интерес к этой теме, то изучайте все файлы, которые будут найдены в %TEMP%
это будет полезнее для вас, чем "кушать с ложечки" все готовые ответы.
Вопросов нет.
 
Пересвет Лоскутов
Пересвет Лоскутов
Пользователь
Сообщений: 1
Регистрация: 02.04.2015
Размещено 02.04.2015 18:58:26
Подскажите если secring.gpg 0 байт но при импорте в Kleopatra показывает инфу 'skrin' есть шанс восстановить данные?
222.JPG (145.19 КБ)
 
Игорь Вышлов
Игорь Вышлов
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 01.04.2015
Размещено 02.04.2015 19:05:32
Цитата
Пересвет Лоскутов написал:
Подскажите если secring.gpg 0 байт но при импорте в Kleopatra показывает инфу 'skrin' есть шанс восстановить данные?
нет. тут без шансов. нечем расшифровывать. ключ - это не сам файл, а данные внутри файла.
Изменено: Игорь Вышлов - 04.06.2016 17:56:17
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.04.2015 19:07:24
здесь, скорее всего импортирован только pubring.gpg
[ Как создать образ автозапуска? ]
 
Роман Малахов
Роман Малахов
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 03.04.2015
Размещено 03.04.2015 10:59:24
Здравствуйте, столкнулся с такой же проблемой, когда один из работников открыл "Акты сверок". Файл secring.gpg уже нулевого размера, но vaultkey.vlt не обнаружен на компьютере, только vault.key. Тут ещё писали что-то про audiodg.exe, но я не понял для чего он может пригодится, но он имеется. Я понял что без secring.gpg не удастся вытащить ключ, но хотелось бы узнать какие вообще пути решения возможны в данной ситуации и есть ли смысл платить злоумышленникам, т.к. файлы достаточно ценные.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.04.2015 11:36:29
VAULT. что делать?
http://forum.esetnod32.ru/forum35/topic11845/

если останутся вопросы после чтения этой статьи - спросите.
[ Как создать образ автозапуска? ]
 
Элина Данилина
Элина Данилина
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 14.04.2015
Размещено 14.04.2015 08:18:20
Добрый день, та же история, помогите пожалуйста.
Пыталась делать восстановление системы на более раннюю дату, все равно файлы зашифрованы, сделала возврат. Теневые копии не знаю создавались или нет, программа Shadow  указано только для 7 и 8, а у меня XP, подскажите как быть, очень нужны зашифрованные файлы, вся работа встала.
 
Пред. 1 ... 29 30 31 32 33 ... 49 След.
Читают тему