Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 20:27:57
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 42 43 44 45 46 ... 49 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.05.2015 08:27:08
NickM,
этот ключ шифратор удаляет по завершении работы
Цитата
C:\Users\0D88~1\AppData\Local\Temp\06dca008.js
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-21-3033825225-2200833762-766671363-1146\Software\Microsoft\Windows\CurrentVersion\Run, ffe7c7a0

вот завершающий блок команд
Цитата
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "5e86e626" /t REG_SZ /f /d "mshta %appdata%\f82a30ba4602d9a8.hta"
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "67d62b78" /f
del /f /q "%temp%\06dca008.js"
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "ffe7c7a0" /f
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "1c0cf7ed" /f
start mshta "%temp%\f82a30ba4602d9a8.hta"

если остался в автозапуске, значит скорее всего процесс работы шифратора был прерван.
в этом случае, (если не было очистки темпа от запчастей шифратора), после загрузки системы шифрование будет продолжено.
но ключ уже не будет удален из автозапуска.
[ Как создать образ автозапуска? ]
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 20.05.2015 15:08:32
https://www.virustotal.com/ru/file/c676a831abd7b2a46d993bd8ca5f209d317e94f70db5ee33­820412c994861d45/analysis/1432119227/
Приходит письмом, с вложением на Email: Счета-фактуры для проверки за 2013-2014 гг. Выписано главным бухгалтером. Согласовано директором на отправку  __attaсhmеnt_DrWеb_Scаnnеd_OK.dос .js

Файлы, через которые запускается:
C:\DOCUME~1\USER\LOCALS~1\Temp\Sec2.bat
C:\DOCUME~1\USER\LOCALS~1\Temp\sv.css

Пишите адрес почты, отправлю тело вируса.

Изменено: Виктор - 04.06.2016 18:05:32
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.05.2015 15:40:59
Виктор,
файл шифратора от какого числа получен в почте? по ссылке из сети или через вложение в сообщение?
Изменено: santy - 04.06.2016 18:05:32
[ Как создать образ автозапуска? ]
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 20.05.2015 15:49:32
santy,
Ответил в ЛС.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.05.2015 15:51:45
вышлите в почту [email protected] в архиве с паролем infected, проверю
судя по имени Sec2.bat - это js из последней рассылки от 13 мая.
Изменено: santy - 04.06.2016 18:05:32
[ Как создать образ автозапуска? ]
 
Виктор
Виктор
Пользователь
Сообщений: 411
Баллов: 328
Регистрация: 29.05.2010
Размещено 30.05.2015 11:05:14
Отправил.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.05.2015 13:44:11
этот вариант детектируется ESET. если будь свежие вариант ВАУЛТ, высылайте в ту же почту для анализа и проверки
[ Как создать образ автозапуска? ]
 
alex momai
alex momai
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 18.06.2015
Размещено 18.06.2015 16:40:57
Добрый день, поймал такой же вирус на паре машинок. С одной из них удалось вытянуть файлы trustdb.gpg pubring.gpg с не нулевым размером, при помощи утилиты RUndelete4 (отличная утилита, кстати). Отослал пароль на почту указанную santy тут. Буду благодарен, если будет возможность проверить возможность расшифровки.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.06.2015 17:31:32
alex momai,
ответил в почту.
если сохранились письма с вредоносным архивом, или ссылкой на вредоносный архив,
вышлите в мою почту в архиве с паролем infected
(если ссылка в письме, то можно и без пароля)
----------------
судя по данным в архиве что имеем:
два ключа pubring.gpg но видимо с разных машин, поскольку ID разные
документы из архива зашифрованы одним из ключей
VAULT.KEY конечно без расшифровки,

поищите еще файлы
Цитата
соберите в один архив все файлы из %TEMP% пользователя, созданные на дату и время шифрования документов.
Это могут быть и такие файлы (с произвольным набором букв и цифр):
268244f0.8e651db9, c3803433.adc31ea7, d6ccb63f.88b5e541
возможно, в одном из таких файлов хранится экспортированный секретный ключ (secring.gpg) в незашифрованном виде.
Изменено: santy - 04.06.2016 17:32:02
[ Как создать образ автозапуска? ]
 
I momai
I momai
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 18.06.2015
Размещено 19.06.2015 15:07:59
Santy спасибо, что посмотрели. Файлов к сожалению найдено нужных не было. Возможно они там и остались, но их поиск займёт слишком много времени.
Письмо есть, да. В данный момент чистим машинку на которую пришло письмо, позже, вышлю на почту архивированную версию.
 
Пред. 1 ... 42 43 44 45 46 ... 49 След.
Читают тему