файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 40 41 42 43 44 ... 49 След.
Николай,
код батника здесь не нужен в виде простыни,
отредактируйте сообщение и добавьте его как вложенный текстовый файл, или совсем удалите
все таки это вредоносный файлик.
фрагмент из него можете доабвить.
--------
по secring.gpg здесь все сделано как надо. файл затирается мусором, потом удаляется, так что восстановить крайне проблематично.
шанс есть если вовремя выключить комп.
ой, кажется понял, то есть в батнике никакой полезной инфы о secring нет и быть не может...там есть только публичный ключ, который мне никак не поможет...
нет,
там есть только команда создания ключевой пары pub/sec и код публик ключа от злоумышленников, которым они потом шифруют ваш секретный ключ.
после этого тщательно затирается secring.gpg и промежуточные файлы, в которых он еще не зашифрован.
-------
ключ secring.gpg от злоумышленников здесь не светится.
только на их площадке, куда они зазывают протестировать возможность расшифровки ваших файлов.
соответственно из VAULT.key и вытаскивается на их сервере ваш секретный ключ, а потом он используется для расшифровки загруженных документов.
Уважаемые.
Подскажите пожалуйста с какой надобностью VAULT прописывает Свой *.js  в автозапуск?
NickM,
о каком из js (из коллекции собрания сочинений VAULT) идет речь?
о самом исходнике (в котором закодированы модули шифратора), с запуска которого и начинается процесс шифрования, или о других js, которые по ходу работы шифратора создаются дополнительно?
не замечал пока за VAULT такой эффект, пока что в автозапуск прописывался только hta-заставка.
-----
по крайней мере так было в апрельских вариантах.(где-то на 27 апреля)
santy,
Я не особо силен в версиях .vault.
Есть лог АВЗ, *.js и командный сценарий который запускается из этого *.js.
Интересует такой момент... и *.js и *.cmd - оба лежат в %temp% пользователя. Тогда, получается так, что очистка данного каталога перед/при перезагрузке спасет файлы от шифрования?
NickM,
добавь лог АВЗ, посмотрю, но скорее всего он там указывает просто как на подозрительный файл. не в автозапуске.
в принципе, пока,
можно просто перегрузить систему в момент запуска шифратора VAULT
процесс шифрования прекратится, и есть возможность таким образом сохранить от удаления secring.gpg

повторно процесс шифрования не запустится (для ВАУЛТ-а)
по крайней мере, сейчас это так. как дальше будет - зависит от кодеров ВАУЛТа.
santy,
ок, прикрепляю архив с безобидными файлами
js скорее всего запускает cmd, в котором прописаны команды шифрования файлов.
а вот cmd - тот самый, содержит всю инфо по документам с локальных и сетевых дисков.
это в данном случае основной шифратор.
лог АВЗ сейчас гляну
уху, видимо поправили свой бат-энкодер.
теперь процесс шифрования прописан в автозапуск, надо будет посмотреть последние свежие варианты шифратора.
возможно дошифрование того что осталось незашифрованным или восстановленным.
поэтому темп надо зачищать от файлов ВАУЛТ

Цитата
C:\Users\0D88~1\AppData\Local\Temp\06dca008.js
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-21-3033825225-2200833762-766671363-1146\Software\Microsoft\Windows\CurrentVersion\Run, ffe7c7a0

этот файлик 06dca008.js
запускает 280ec63e.cmd
в котором прописано шифрование файлов.
т.е. это как раз дошифрование, потому что после перезагрузки cmd уже не меняется.
------
если этот файлик будет удален, то дошифрование, конечно, не произойдет. нечем шифровать.
Цитата
C:\Users\0D88~1\AppData\Local\Temp\svchost.exe
Изменено: santy - 04.06.2016 18:04:48
Пред. 1 ... 40 41 42 43 44 ... 49 След.
Читают тему (гостей: 1)