файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS

Сообщений: 11

Баллов: 5

Регистрация: 19.02.2015

Размещено 19.02.2015 20:27:57

Зашифровались файлы с расшрирением doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Прикрепленные файлы

DMITRY-MSI_2015-02-19_20-15-14.TXT

Ответы

Пред. 1 ... 39 40 41 42 43 ... 49 След.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.04.2015 09:38:24

Сергей, на форум не надо выкладывать вредоносное вложение. удалите его из сообщения.

Цитата
1. если сохранился архив с вредоносным вложением, вышлите в почту [email protected] в архиве с паролем infected

[ Как создать образ автозапуска? ]

Сообщений: 15

Баллов: 7

Регистрация: 28.04.2015

Размещено 30.04.2015 09:42:13

ПРошу прощения , затупил!!!

Сообщений: 15

Баллов: 7

Регистрация: 28.04.2015

Размещено 30.04.2015 13:57:23

Добрый день!!!
Выполнил скрипт!!! Про деинсталляцию вопросов не поступало!!! Прошла перезагрузка и,
после перезагрузки ноута, уже на фоне рабочего стола на секунду вышло черное окно командной строки с исполнением какого-то ехе файла, а так-же открылся пустой "VAULT - Блокнот"!!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.04.2015 16:16:22

покажите на скриншоте, что там выходит

[ Как создать образ автозапуска? ]

Сообщений: 15

Баллов: 7

Регистрация: 28.04.2015

Размещено 30.04.2015 17:09:26

Пока запустил R - Studio, может с его помощью, что - нибудь найду!!!

Сообщений: 15

Баллов: 7

Регистрация: 28.04.2015

Размещено 11.05.2015 11:03:06

Santy, Добрый день!!! Пришлось выкупить ключи, получил два файла, могу обратиться к Вам за проверкой их на благонадежность???

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.05.2015 12:01:00

вышлите в почту [email protected] ключ и несколько зашифрованных файлов - проверю.

Изменено: santy - 04.06.2016 18:04:04

[ Как создать образ автозапуска? ]

Сообщений: 15

Баллов: 7

Регистрация: 28.04.2015

Размещено 12.05.2015 10:11:50

Запустил полученный EXEшник, мин 20 шла прокрутка в cmd.exe потом финиш, перезагрузка!! Сейчас просматриваю восстановленные файлы (начал с самых важных), вроде встали без потерь!!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.05.2015 10:19:34

да, проверил расшифровку нескольких файлов на виртуалке.
расшифровались.
утилитка преобразует ключ sec.key в формате PGP, извлекает утилиту VAULT-RESTORE.exe для расшифровки (это gpg.exe),
iconv.dll библиотека к gpg.exe
cyan.cmd - командный файл расшифровки данных

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 13.05.2015

Размещено 13.05.2015 14:19:11

Поймал эту штуковину, secring он затёр, но сдаётся мне где-то он должен быть в батнике, в нём идет запись в файлик secring.qpq - вот код батника, помогите, может есть возможность выудить ключик и просто чего-то недополнял

Код
echo c08b4194c9484c151e6e91f2ed912ac5 8e2632899f1caf255e86e626> "%temp%\secring.qpq" echo 302f16dae13d2c4a 0c774782706050bb8e263289a0b0574e7fbf4b71>> "%temp%\secring.qpq" echo 302f16da e13d2c4a0c774782 706050bb8e263289 a0b0574e7fbf4b71>> "%temp%\secring.qpq" echo 5dc746a9bb235480609c04fedddaa835 62c7d4bc0ee8388742d0334c>> "%temp%\secring.qpq" echo 8de35a43f3acb226 75b49e18cd3d687e280ec63e4a39e7a6972ca8a4>> "%temp%\secring.qpq" echo bb235480 75b49e18 ed912ac51e6e91f2 fd25d8a4 a0b0574e7fbf4b71>> "%temp%\secring.qpq" move /y "%temp%\secring.qpq" "%temp%\secring.gpg" echo 302f16da e13d2c4a0c774782 706050bb8e263289 a0b0574e7fbf4b71> "%temp%\373b1cbc28fb39da.qpq" echo 8de35a43f3acb226 75b49e18cd3d687e280ec63e4a39e7a6972ca8a4>> "%temp%\373b1cbc28fb39da.qpq" echo 5dc746a9bb235480609c04fedddaa835 62c7d4bc0ee8388742d0334c>> "%temp%\373b1cbc28fb39da.qpq" echo 8de35a43f3acb226 75b49e18cd3d687e280ec63e4a39e7a6972ca8a4>> "%temp%\373b1cbc28fb39da.qpq" echo bb235480 75b49e18 ed912ac51e6e91f2 fd25d8a4 a0b0574e7fbf4b71>> "%temp%\373b1cbc28fb39da.qpq" echo 5dc746a9bb235480609c04fedddaa835 62c7d4bc0ee8388742d0334c>> "%temp%\373b1cbc28fb39da.qpq" echo c08b4194c9484c151e6e91f2ed912ac5 8e2632899f1caf255e86e626>> "%temp%\373b1cbc28fb39da.qpq" echo 302f16dae13d2c4a 0c774782706050bb8e263289a0b0574e7fbf4b71>> "%temp%\373b1cbc28fb39da.qpq" move /y "%temp%\373b1cbc28fb39da.qpq" "%temp%\28fb39da.373b1cbc" echo 5dc746a9bb235480609c04fedddaa835 62c7d4bc0ee8388742d0334c> "%temp%\302f16da71ef7baf.qpq" echo 302f16dae13d2c4a 0c774782706050bb8e263289a0b0574e7fbf4b71>> "%temp%\302f16da71ef7baf.qpq" echo c08b4194c9484c151e6e91f2ed912ac5 8e2632899f1caf255e86e626>> "%temp%\302f16da71ef7baf.qpq" move /y "%temp%\302f16da71ef7baf.qpq" "%temp%\71ef7baf.302f16da" del /f /q "%temp%\secring.gpg"

Код

echo c08b4194c9484c151e6e91f2ed912ac5 8e2632899f1caf255e86e626> "%temp%\secring.qpq"
echo 302f16dae13d2c4a 0c774782706050bb8e263289a0b0574e7fbf4b71>> "%temp%\secring.qpq"
echo 302f16da e13d2c4a0c774782 706050bb8e263289 a0b0574e7fbf4b71>> "%temp%\secring.qpq"
echo 5dc746a9bb235480609c04fedddaa835 62c7d4bc0ee8388742d0334c>> "%temp%\secring.qpq"
echo 8de35a43f3acb226 75b49e18cd3d687e280ec63e4a39e7a6972ca8a4>> "%temp%\secring.qpq"
echo bb235480 75b49e18 ed912ac51e6e91f2 fd25d8a4 a0b0574e7fbf4b71>> "%temp%\secring.qpq"
move /y "%temp%\secring.qpq" "%temp%\secring.gpg"
echo 302f16da e13d2c4a0c774782 706050bb8e263289 a0b0574e7fbf4b71> "%temp%\373b1cbc28fb39da.qpq"
echo 8de35a43f3acb226 75b49e18cd3d687e280ec63e4a39e7a6972ca8a4>> "%temp%\373b1cbc28fb39da.qpq"
echo 5dc746a9bb235480609c04fedddaa835 62c7d4bc0ee8388742d0334c>> "%temp%\373b1cbc28fb39da.qpq"
echo 8de35a43f3acb226 75b49e18cd3d687e280ec63e4a39e7a6972ca8a4>> "%temp%\373b1cbc28fb39da.qpq"
echo bb235480 75b49e18 ed912ac51e6e91f2 fd25d8a4 a0b0574e7fbf4b71>> "%temp%\373b1cbc28fb39da.qpq"
echo 5dc746a9bb235480609c04fedddaa835 62c7d4bc0ee8388742d0334c>> "%temp%\373b1cbc28fb39da.qpq"
echo c08b4194c9484c151e6e91f2ed912ac5 8e2632899f1caf255e86e626>> "%temp%\373b1cbc28fb39da.qpq"
echo 302f16dae13d2c4a 0c774782706050bb8e263289a0b0574e7fbf4b71>> "%temp%\373b1cbc28fb39da.qpq"
move /y "%temp%\373b1cbc28fb39da.qpq" "%temp%\28fb39da.373b1cbc"
echo 5dc746a9bb235480609c04fedddaa835 62c7d4bc0ee8388742d0334c> "%temp%\302f16da71ef7baf.qpq"
echo 302f16dae13d2c4a 0c774782706050bb8e263289a0b0574e7fbf4b71>> "%temp%\302f16da71ef7baf.qpq"
echo c08b4194c9484c151e6e91f2ed912ac5 8e2632899f1caf255e86e626>> "%temp%\302f16da71ef7baf.qpq"
move /y "%temp%\302f16da71ef7baf.qpq" "%temp%\71ef7baf.302f16da"
del /f /q "%temp%\secring.gpg"

удалил часть кода, вот этот кусочек мне не ясен, да в конце скрипта secring удаляется, но до этого туда пишется какая-то инфа, мб это ключ? Не знаю насколько вовремя выключили, но дело дошло до сетевых дисков, однако всё зашифровать он не успел

Изменено: Николай Гуляев - 04.06.2016 18:04:04

Пред. 1 ... 39 40 41 42 43 ... 49 След.