новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS

Сообщений: 2

Баллов: 1

Регистрация: 02.11.2015

Размещено 02.11.2015 10:33:34

Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.

http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки

Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 4 5 6 7 8 ... 41 След.

Сообщений: 7

Баллов: 3

Регистрация: 07.11.2015

Размещено 07.11.2015 20:29:39

Цитата
santy написал: по вашему дешифратору могу сказать, что если именно его вы выкупили у мошенников, то дешифратор нерабочий, так что все претензии напишите в их чате. если же комплект дешифратора вы нашли на просторах Интернета, то этот номер не пройдет. каждый ключ по данному заражению ВАУЛТ наверняка уникален, как и в предыдущем варианте бат-энкодера vault.

Цитата

santy написал:
по вашему дешифратору могу сказать, что если именно его вы выкупили у мошенников, то дешифратор нерабочий, так что все претензии напишите в их чате.

если же комплект дешифратора вы нашли на просторах Интернета, то этот номер не пройдет.
каждый ключ по данному заражению ВАУЛТ наверняка уникален, как и в предыдущем варианте бат-энкодера vault.

Дешифратор мошенников.
На форуме касперского один человек расшифровал 4 моих файла. Я попробовал на другом компьютере, но все равно выдает ошибку. Не пойму, что я делаю не так.
Вот ссылка на мою тему с того форума: https://forum.kasperskyclub.ru/index.php?showtopic=48260

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.11.2015 20:44:14

ну, тогда задайте этот вопрос еще раз Тирексу

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 07.11.2015

Размещено 07.11.2015 22:07:51

В общем вроде как получилось. Путь к папкам должен быть на латинице, папки тоже. Также пришлось сократить имя файла ключа до sec.key

Сообщений: 142

Баллов: 113

Регистрация: 10.06.2011

Размещено 08.11.2015 00:25:55

Там вроде Мартьянов что-то придумал с Vault. ))

Цитата
В общем, в техподдержку. Сделал что мог, но не знаю как оно на реальных системах будет.

Изменено: mike 1 - 08.11.2015 00:27:49

Михаил

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 08.11.2015 05:19:55

да, надо смотреть что там не так в cmd-скрипте

[ Как создать образ автозапуска? ]

Сообщений: 35

Баллов: 17

Регистрация: 21.10.2015

Размещено 08.11.2015 09:47:39

Цитата
santy написал: да, надо смотреть что там не так в cmd-скрипте

Тот который для ручной расшифровки (restore.exe), нормально работает
Там два файла - собствено дешифровщик VAULT-RESTORE.exe и командный файл revault.cmd

--------
@ECHO OFF
Setlocal Enabledelayedexpansion
chcp 866
cls
for %%i in (*.vault) do (
rename "%%~fi" "PROCESSING.file.vault" >nul
VAULT-RESTORE.exe -key_file: "sec.key" -decrypt_file: "PROCESSING.file.vault"
if exist "PROCESSING.file" (
rename "PROCESSING.file" "%%~ni" >nul
if exist "%%~ni" (
del /f /q "PROCESSING.file.vault" >nul
) else (
rename "PROCESSING.file.vault" "%%~ni.vault" >nul
)
echo DECRYPTED: %%~ni
) else (
echo ERROR: %%~ni
rename "PROCESSING.file.vault" "%%~ni.vault" >nul
)
)
ping 127.0.0.1 -n 3 >nul
echo.
echo DECRYPTING DONE
ping 127.0.0.1 -n 5 >nul
del /f /q "VAULT-RESTORE.exe" >nul
del /f /q "sec.key" >nul
del /f /q "revault.cmd" >nul
del /f /q %0
-------

Что касается пакетного дешифровщика, там две ошибки:
1. В командном файле revault.cmd - chcp 866 - при этом он неправильно понимает кириллицу в путях к зашифрованным файлам. Надо использовать chcp 1251
2. В самом дешифровщике - он не воспринимает пробелов в путях к зашифрованным файлам и в пути к ключу sec.key
То есть собственно дешифровка в этом случае не происходит:
"%TEMP%\VAULT-RESTORE.exe" -key_file: "%TEMP%\sec.key" -decrypt_file: "%1:%%~piPROCESSING.file.vault"

Изменено: Andrew Komissarov - 08.11.2015 12:29:25

Сообщений: 9

Баллов: 4

Регистрация: 05.11.2015

Размещено 09.11.2015 09:14:40

Цитата
Andrew Komissarov написал: Там два файла - собствено дешифровщик VAULT-RESTORE.exe и командный файл revault.cmd

А где можно взять эти файлы, попробовать ?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.11.2015 09:37:59

Alex_Serena,
без ключа, как говорится, не вынешь рыбку из пруда,
т.е. без ключа дешифратор бесполезен.
проверьте вариант расшифровки на форуме ДрВеб, какое то решение у них есть в техподдержке.

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 05.11.2015

Размещено 09.11.2015 10:03:17

Цитата
santy написал: без ключа, как говорится, не вынешь рыбку из пруда,

В смысле купленный ключ от мошенников ? Понял. Я то думал что работает с теми ключами, что сгенерил вирус.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.11.2015 10:29:38

вирус конечно генерирует ключи на вашей машине, но затем шифрует их скорее всего своим ключом, и расшифровать этот файл (VAULT.key) можно только на сервисе злоумышленников.
и любой ключ здесь тоже не подойдет. только уникальный, созданный на вашей машине. иначе было все просто.

Изменено: santy - 09.11.2015 10:30:05

[ Как создать образ автозапуска? ]

Пред. 1 ... 4 5 6 7 8 ... 41 След.