Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 20:27:57
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 38 39 40 41 42 ... 49 След.
 
Сергей Логинов
Сергей Логинов
Пользователь
Сообщений: 15
Баллов: 7
Регистрация: 28.04.2015
Размещено 28.04.2015 14:00:17
Первый файл был перекодирован  в 8-32, а последний в 9-09, (в это время я перезагружал ноутбук), может после этого secring.gpg где -то сохраниться???
Если я  открываю зашифрованный  файл, то ни какое окно сообщений не всплывает!!!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.04.2015 14:03:49
где-то. это только в %temp%
выложите пару зашифрованных документов, или сами проверьте. переименуйте в нормальное расширение.
и проверьте файл на открытие.
иногда бывает, что выполняется только переименование файлов без шифровки. но очень редко.
Изменено: santy - 04.06.2016 18:02:26
[ Как создать образ автозапуска? ]
 
Сергей Логинов
Сергей Логинов
Пользователь
Сообщений: 15
Баллов: 7
Регистрация: 28.04.2015
Размещено 28.04.2015 14:07:26
Сейчас, после перезагрузки ноута, уже на фоне рабочего стола на секунду вышло черное окно командной строки с исполнением какого-то ехе файла, а так-же открылся пустой "VAULT - Блокнот"!!
Т.е. троян опять запущен???  
 
Сергей Логинов
Сергей Логинов
Пользователь
Сообщений: 15
Баллов: 7
Регистрация: 28.04.2015
Размещено 28.04.2015 14:53:06
Переименование ни чего не дает!!! Не открываются!!!

Файлы для передачи не сохраняются!!!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.04.2015 16:25:35
Цитата
Сергей Логинов написал:
Сейчас, после перезагрузки ноута, уже на фоне рабочего стола на секунду вышло черное окно командной строки с исполнением какого-то ехе файла, а так-же открылся пустой "VAULT - Блокнот"!!
Т.е. троян опять запущен???
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
Сергей Логинов
Сергей Логинов
Пользователь
Сообщений: 15
Баллов: 7
Регистрация: 28.04.2015
Размещено 28.04.2015 21:14:24
В архивах, несколько зашифрованных файлов и то, что осталось от шифровальщика в папке ТЕМР!
Есть еще файлы отправленные ESS в карантин!!!
Образ автозапуска отправлю чуть позже!!!
 
tarakan
tarakan
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 24.04.2015
Размещено 28.04.2015 23:30:21
Цитата
Сергей Логинов написал:
В архивах, несколько зашифрованных файлов и то, что осталось от шифровальщика в папке ТЕМР!
Есть еще файлы отправленные ESS в карантин!!!
Образ автозапуска отправлю чуть позже!!!
Ну что, поздравляю, добро пожаловать в наш клуб пострадавших. Ключ для расшифровки также затерт. Документы можно выкинуть или платить этим идиотам и надеяться, что не кинут, что врятли. Мой призыв не платите этим ... слов нет...
 
Сергей Логинов
Сергей Логинов
Пользователь
Сообщений: 15
Баллов: 7
Регистрация: 28.04.2015
Размещено 29.04.2015 07:11:33
Отправляю образ автозапуска!!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.04.2015 08:24:24
1. если сохранился архив с вредоносным вложением, вышлите в почту [email protected] в архиве с паролем infected
2.  по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

deldir %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\PIRRITSUGGESTOR
delref HTTP://WEBALTA.RU/SEARCH
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
3. по восстановлению - помогут архивные или теневые копии, если есть на дисках
4. по расшифровке документов нужен ключ secring.gpg
http://chklst.ru/forum/discussion/1481/vault-chto-delat#Item_2
Изменено: santy - 04.06.2016 18:03:15
[ Как создать образ автозапуска? ]
 
Сергей Логинов
Сергей Логинов
Пользователь
Сообщений: 15
Баллов: 7
Регистрация: 28.04.2015
Размещено 30.04.2015 09:32:00
архив вложения
Изменено: Сергей Логинов - 04.06.2016 18:03:15
 
Пред. 1 ... 38 39 40 41 42 ... 49 След.
Читают тему