Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 5 6 7 8 9 ... 49 След.
Дмитрий, да, ключ рабочий (интересно, откуда вы его достали: восстановили из удаленных?), и файл что вы выслали я расшифровал. отвечу в почту.
дешифратора с большой вероятности нет будет в ближайшее и отдаленное будущее.

добавьте образ автозапуска для системы, которая пострадала от vault
http://forum.esetnod32.ru/forum9/topic2687/
1. проверьте возможность восстановления данных из теневой копии.

2. поищите среди удаленных файлов файл secring.gpg
Изменено: santy - 04.06.2016 17:28:43
файл лежит в рабочей папке шифровальщика /users/Имярек/AppData/Local/Temp
Изменено: Дмитрий Добрынин - 04.06.2016 17:47:26
странно, но интересно :), даже так бывает.
нужный ключ есть так что сможете дешифровать зашифрованные файлы.
можно еще на паре зашифрованных файлов проверить.
туда же в почту
выслал вам скрин рабочей папки зловреда, там явно видны крипто и рабочие файлы
рабочие файлы шифратора в основном известны. тестировал на виртуалке.
там все известные файлы.
svchost.exe - это упакованный UPX-ом легальный модуль gpg.exe v.14.18 от GNUPG
index.vlt - это в таком виде svchost.exe скачивается из сети, затем после запуска бат-энкодера переименовывается.
iconv.vlt - это легальная iconv.dll, библиотека, которая используется для шифрования. вместе с gpg.exe


посмотрите какое время у зашифрованных файлов.
время создания secring.gpg 02.03.2015 9:26
Изменено: santy - 04.06.2016 17:47:26
примерно с 9-40 до 12-30
а шифрование завершилось выставлением заставки vault.hta? в таком случае посмотрите есть ли файл vaultkey.vlt?
Цитата
vaultkey.vlt
в него импортируется секретный ключ secring.gpg, и затем шифруется с помощью pub key злоумышленников, и затем переименовывается в VAULT.key

после завершения шифрования vaultkey.vlt так же должен удалиться.

посмотрите, какие еще есть батники и exe в этой папке с датой создания 2.03.2015
Изменено: santy - 04.06.2016 17:48:15
в частности, вот эта утилитка есть или нет?
Цитата
audiodg.exe
Пред. 1 ... 5 6 7 8 9 ... 49 След.
Читают тему