Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 39 40 41 42 43 ... 49 След.
Сергей, на форум не надо выкладывать вредоносное вложение. удалите его из сообщения.
Цитата
1. если сохранился архив с вредоносным вложением, вышлите в почту [email protected] в архиве с паролем infected
ПРошу прощения , затупил!!!
Добрый день!!!
Выполнил скрипт!!! Про деинсталляцию вопросов не поступало!!! Прошла перезагрузка и,
после перезагрузки ноута, уже на фоне рабочего стола на секунду вышло черное окно командной строки с исполнением какого-то ехе файла, а так-же открылся пустой "VAULT - Блокнот"!!
покажите на скриншоте, что там выходит
Пока запустил R - Studio, может с его помощью, что - нибудь найду!!!
Santy, Добрый день!!! Пришлось выкупить ключи, получил два файла, могу обратиться к Вам за проверкой их на благонадежность???
вышлите в почту [email protected] ключ и несколько зашифрованных файлов - проверю.
Изменено: santy - 04.06.2016 18:04:04
Запустил полученный EXEшник, мин 20 шла прокрутка в cmd.exe потом финиш, перезагрузка!! Сейчас просматриваю восстановленные файлы (начал с самых важных), вроде встали без потерь!!
да, проверил расшифровку нескольких файлов на виртуалке.
расшифровались.
утилитка преобразует ключ sec.key в формате PGP, извлекает утилиту VAULT-RESTORE.exe для расшифровки (это gpg.exe),
iconv.dll библиотека к gpg.exe
cyan.cmd - командный файл расшифровки данных
Поймал эту штуковину, secring он затёр, но сдаётся мне где-то он должен быть в батнике, в нём идет запись в файлик secring.qpq - вот код батника, помогите, может есть возможность выудить ключик и просто чего-то недополнял
Код
echo c08b4194c9484c151e6e91f2ed912ac5 8e2632899f1caf255e86e626> "%temp%\secring.qpq"
echo 302f16dae13d2c4a 0c774782706050bb8e263289a0b0574e7fbf4b71>> "%temp%\secring.qpq"
echo 302f16da e13d2c4a0c774782 706050bb8e263289 a0b0574e7fbf4b71>> "%temp%\secring.qpq"
echo 5dc746a9bb235480609c04fedddaa835 62c7d4bc0ee8388742d0334c>> "%temp%\secring.qpq"
echo 8de35a43f3acb226 75b49e18cd3d687e280ec63e4a39e7a6972ca8a4>> "%temp%\secring.qpq"
echo bb235480 75b49e18 ed912ac51e6e91f2 fd25d8a4 a0b0574e7fbf4b71>> "%temp%\secring.qpq"
move /y "%temp%\secring.qpq" "%temp%\secring.gpg"
echo 302f16da e13d2c4a0c774782 706050bb8e263289 a0b0574e7fbf4b71> "%temp%\373b1cbc28fb39da.qpq"
echo 8de35a43f3acb226 75b49e18cd3d687e280ec63e4a39e7a6972ca8a4>> "%temp%\373b1cbc28fb39da.qpq"
echo 5dc746a9bb235480609c04fedddaa835 62c7d4bc0ee8388742d0334c>> "%temp%\373b1cbc28fb39da.qpq"
echo 8de35a43f3acb226 75b49e18cd3d687e280ec63e4a39e7a6972ca8a4>> "%temp%\373b1cbc28fb39da.qpq"
echo bb235480 75b49e18 ed912ac51e6e91f2 fd25d8a4 a0b0574e7fbf4b71>> "%temp%\373b1cbc28fb39da.qpq"
echo 5dc746a9bb235480609c04fedddaa835 62c7d4bc0ee8388742d0334c>> "%temp%\373b1cbc28fb39da.qpq"
echo c08b4194c9484c151e6e91f2ed912ac5 8e2632899f1caf255e86e626>> "%temp%\373b1cbc28fb39da.qpq"
echo 302f16dae13d2c4a 0c774782706050bb8e263289a0b0574e7fbf4b71>> "%temp%\373b1cbc28fb39da.qpq"
move /y "%temp%\373b1cbc28fb39da.qpq" "%temp%\28fb39da.373b1cbc"
echo 5dc746a9bb235480609c04fedddaa835 62c7d4bc0ee8388742d0334c> "%temp%\302f16da71ef7baf.qpq"
echo 302f16dae13d2c4a 0c774782706050bb8e263289a0b0574e7fbf4b71>> "%temp%\302f16da71ef7baf.qpq"
echo c08b4194c9484c151e6e91f2ed912ac5 8e2632899f1caf255e86e626>> "%temp%\302f16da71ef7baf.qpq"
move /y "%temp%\302f16da71ef7baf.qpq" "%temp%\71ef7baf.302f16da"
del /f /q "%temp%\secring.gpg"


удалил часть кода, вот этот кусочек мне не ясен, да в конце скрипта secring удаляется, но до этого туда пишется какая-то инфа, мб это ключ? Не знаю насколько вовремя выключили, но дело дошло до сетевых дисков, однако всё зашифровать он не успел
Изменено: Николай Гуляев - 04.06.2016 18:04:04
Пред. 1 ... 39 40 41 42 43 ... 49 След.
Читают тему