файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS

Сообщений: 11

Баллов: 5

Регистрация: 19.02.2015

Размещено 19.02.2015 20:27:57

Зашифровались файлы с расшрирением doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Прикрепленные файлы

DMITRY-MSI_2015-02-19_20-15-14.TXT

Ответы

Пред. 1 ... 43 44 45 46 47 ... 49 След.

Сообщений: 2

Баллов: 1

Регистрация: 25.06.2015

Размещено 25.06.2015 14:45:11

скажите пожалуйста, у меня есть этот файл, мог ли я как то расшифровать? но правда он 0кб

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.06.2015 16:05:56

Иван Бондарев,
о каком файле вы говорите? о secring.gpg? если он с нулевым размером, то он бесполезен для расшифровки.
вышлите все что у вас сохранилось в папке %temp% после запуска vault в архиве с паролем infected в почту [email protected]

Изменено: santy - 04.06.2016 18:06:15

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 25.06.2015

Размещено 25.06.2015 17:19:23

перевыслал

Изменено: Иван Бондарев - 04.06.2016 18:06:15

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.06.2015 18:11:29

Иван Бондарев,
secring.gpg нулевой, поэтому бесполезен для расшифровки документов.
поищите среди удаленных следующие файлы:

Цитата
%temp%\d623756e.1e103e00 %temp%\8eacbbf1.e2fe1f1a

[ Как создать образ автозапуска? ]

Сообщений: 35

Баллов: 17

Регистрация: 09.03.2012

Размещено 12.08.2015 17:04:46

Пользователь словил Vault, первые сообщения о заражении пришли на почту

Скрытый текст

комп. тут же от сети отключил но поздно. зашифровал файлы на локальном диске (*.doc и *.xls) ну и само паскудство на сетевых дисках, к которым юзер имел доступ. часть информации с бекапов поднял, но не всю

полечил Eset endpoint antivirus 5.0.2214.7, потом прогнал Malaware-bytes, затем AdwCleaener

собственно сейчас выложу файл образа с uVs и то что осталось на компе от вируса (ключи,gpg, cmd скрипты). может есть варианты расшифровать файлы ?

Прикрепленные файлы

valera.png (38.04 КБ)

ID-4_2015-08-12_16-53-00.7z (334.89 КБ)
vault.zip (11.77 МБ)

Изменено: kas - 04.06.2016 18:21:57

EAV-0136450696

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.08.2015 17:29:52

kas,
судя по образу система сейчас чистая, единственно, можно удалить ярлыки браузера Оперы, и заново создать их.
там есть ссылка в ярлыке на webalta, она не нужна в ярлыке,
сайт с ней стартует при запуске оперы.

из ключей secring.gpg нулевой, поэтому расшифровка им невозможна.
доки зашифрованы этим ключом

Цитата
gpg: ключ с ID 8F934976: "Cellar" File: X:\viruses\shifratory\VAULT\94\vault\vault\pubring.gpg Time: 12.08.2015 20:26:17 (12.08.2015 14:26:17 UTC)

VAULT.key зашифрован этим ключом:

Цитата
gpg: RSA c ID 28B9CBE7 File: X:\viruses\shifratory\VAULT\94\vault\vault\VAULT.KEY Time: 12.08.2015 20:27:29 (12.08.2015 14:27:29 UTC)

рекомендации здесь, для попытки самостоятельного восстановления документов.
http://chklst.ru/forum/discussion/1481/vault-chto-delat

Изменено: santy - 04.06.2016 18:21:57

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.08.2015 17:34:16

kas,
и да, поясните, пожалуйста, по логам из спойлера.
стоял ESET и пропустил ВАУЛТ? или антивирус уже после заражения был установлен? и если был установлен до зашифровки, то в каком состоянии были антивирусные базы на момент зашифровки?

если вот эта штука вышла, значит процесс шифрования уже завершен

Цитата
12.08.2015 9:15:28 - Модуль Защита в режиме реального времени - Предупреждение об угрозе на ID-4: C:\DOCUME~1\user\LOCALS~1\Temp\VAULT.txt заражен BAT/Filecoder.AI троянская программа.

Изменено: santy - 04.06.2016 18:21:57

[ Как создать образ автозапуска? ]

Сообщений: 35

Баллов: 17

Регистрация: 09.03.2012

Размещено 12.08.2015 21:36:49

Цитата
и да, поясните, пожалуйста, по логам из спойлера. стоял ESET и пропустил ВАУЛТ

на клиенте в момент реации Eset было (по данным ERA):

Скрытый текст
информация об исполняемых частях База данных сигнатур вирусов: 12082 (20150812) Модуль быстрого реагирования: 6499 (20150812) Модуль обновления: 1060 (20150617) Модуль резидентного сканирования: 1465 (20150804) Модуль расширенной эвристики: 1158 (20150730) Модуль поддержки архивов: 1234 (20150721) Модуль очистки: 1109 (20150519) Модуль Anti-Stealth: 1073 (20150320) Модуль ESET SysInspector: 1247 (20150618) Модуль поддержки самозащиты: 1018 (20100812) Модуль защиты файловой системы в реальном времени: 1007 (20111129) Модуль поддержки перевода: 1382 (20150803) Модуль поддержки HIPS: 1185 (20150608) Модуль защиты доступа в Интернет: 1173.9 (20150617) Модуль базы данных: 1070 (20150721)

Скрытый текст

так же в момент заражения была еще вот такая активность:

вредонос смотрю активно развивается. т.е базы были актуальны. и эта машина еще начала по контактам в ms outlook по списку слать троянца

Изменено: kas - 04.06.2016 18:21:57

EAV-0136450696

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.08.2015 05:39:55

kas,
возможно, но и маловероятно.
вчерашние варианты я тестировал, все прибивались антивирусом. некоторые детектировались еще на подлете, другие по факту запуска js

[ Как создать образ автозапуска? ]

Сообщений: 35

Баллов: 17

Регистрация: 09.03.2012

Размещено 13.08.2015 09:15:05

пользователь сказал прекратить попытку расшифровки т.к у него были бекапы на флешке. бекапы рулят! в очередной раз всем совет

тему можно закрывать.

EAV-0136450696

Пред. 1 ... 43 44 45 46 47 ... 49 След.