Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
 
тагир гайсин
тагир гайсин
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 02.11.2015
Размещено 02.11.2015 10:33:34
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 2 3 4 5 6 ... 41 След.
 
Alex_Serena Alex_Serena
Alex_Serena Alex_Serena
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 05.11.2015
Размещено 05.11.2015 10:13:50
Цитата
santy написал:
возможно кто-либо (ESET, DrWeb, ЛК) найдут решение по дешифровке файлов. Следите на технических форумах.
Понятно. На этом форуме в этой ветке я смогу узнать что появился дешифратор ?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.11.2015 10:18:34
думаю, да. как только появятся счастливчики, которым удастся расшифровать свои документы, напишут. :)
---------
запускается он следующим образом, через lnk файл:
C:\WINDOWS\system32\wbem\WMIC.exe process call create "C:\Windows\SYSTEM32\GnuPG\GnuPG.cmd"
так же lnk- файл прописывается в автозапуск.
Цитата
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\GnuPG
C:\Windows\SYSTEM32\GnuPG\GnuPG.lnk
здесь GnuPG произвольная скрытая папка (к реальному GnuPG не имеет отношения), создаваемая в каталоге system32
GnuPG.cmd - произвольное имя файла, копия файла, извлекаемая из закодированного js
расширение так же может быть произвольным.

при каждом новом запуске, может быть другое имя скрытого каталога, и соответственно новое имя файла, который запускается через wmic

WMIC - это системный файл.
Изменено: santy - 05.11.2015 11:29:25
[ Как создать образ автозапуска? ]
 
Кристиана Хмель
Кристиана Хмель
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 04.11.2015
Размещено 05.11.2015 10:26:55
Цитата
santy написал:
Кристина,
ответил вам в почту, ну и здесь добавлю.
1. что secring.gpg это уникальный ключ, для другого случая шифрования он не подходит.
2. декодер от мошенников вместе с ключом соответственно будет полезен только тому, кому он был выписан после оплаты.
3. вариант ВАУЛТ, который рассылается со 2 ноября отличается от прежнего ваулта, который рассылался до 30октября.
отличается алгоритмом шифрования, поэтому прежние декодеры и ключи здесь никак не помогут.
------------
вот такие мелочи для полноты картины.
C помощью secring.gpg мы можем что нибудь сделать?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.11.2015 10:28:35
нет. в новом варианте VAULT нет такого ключа. там вообще не используется openGPG шифрование. что-то другое.
по новому варианту шифратора пишем здесь.
http://forum.esetnod32.ru/forum35/topic12600/
Изменено: santy - 10.08.2016 09:26:07
[ Как создать образ автозапуска? ]
 
NickM
NickM
Пользователь
Сообщений: 257
Баллов: 205
Регистрация: 17.05.2014
Размещено 05.11.2015 11:54:46
Цитата
santy написал:
создаваемая в каталоге system32

Т.е. "тру" пользователям этот зловред не страшен? Или там имеется возможность размещения Своих зловредных файлов в профиле пользователя?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.11.2015 12:20:40
Цитата
NickM написал:
Т.е. "тру" пользователям этот зловред не страшен? Или там имеется возможность размещения Своих зловредных файлов в профиле пользователя?
не проверял еще под ограниченной учетной записью. проверю.
думаю, шифрование будет в любом случае, в автозапуск только не сможет прописаться.
Изменено: santy - 05.11.2015 12:47:43
[ Как создать образ автозапуска? ]
 
Alex_Serena Alex_Serena
Alex_Serena Alex_Serena
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 05.11.2015
Размещено 05.11.2015 13:33:35
Цитата
santy написал:
---------
запускается он следующим образом, через lnk файл:
C:\WINDOWS\system32\wbem\WMIC.exe process call create "C:\Windows\SYSTEM32\GnuPG\GnuPG.cmd"
так же lnk- файл прописывается в автозапуск.
Цитата
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\GnuPG
C:\Windows\SYSTEM32\GnuPG\GnuPG.lnk
здесь GnuPG произвольная скрытая папка (к реальному GnuPG не имеет отношения), создаваемая в каталоге system32
GnuPG.cmd - произвольное имя файла, копия файла, извлекаемая из закодированного js
расширение так же может быть произвольным.

при каждом новом запуске, может быть другое имя скрытого каталога, и соответственно новое имя файла, который запускается через wmic

WMIC - это системный файл.
Вот на том компе что выжил скрытая папка называлась IEData. И там был cmd с таким же именем IEData. Он был самый свежий по дате. Когда я его удалил он опять появился. Я опять удалил и вирус видимо понял свою скрую кончину  :D , охерел и стал генерить файлы по нескольку в секунду.  Причём это уже был другой файл. Итого за время битвы 211 удалений файлов у НОД32, из них 54 - это 9 попыток по 6 раз прописать файл vault.hta, а остальные 157 раза попытка восстановить свою работоспособность. Причём последний раз vault.hta пытался прописаться уже после того, как я грохнул каталог IEData. Вот скрины как это всё происходило по времени.
1.jpg (112.43 КБ)
2.jpg (286.83 КБ)
3.jpg (300.89 КБ)
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 05.11.2015 14:29:38
да, он в памяти висит и оттуда за всем наблюдает :)
а то что в папку добавлено, это для автозапуска, на случай, если система будет перезагружена.
[ Как создать образ автозапуска? ]
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 05.11.2015 16:37:07
Сегодня опять была рассылка, есет уже ловит
https://www.virustotal.com/ru/file/dcd67757ee844f075ed260463ba6c723c6bf968decc3777f­e5237e34aad6a5fe/analysis/1446730441/
https://www.virustotal.com/ru/file/4f2f5b2f925a5557ecd9dd07a6d696415dea0a7b2303fa5f­7820aa2d5dcfa2d9/analysis/1446730443/

Дропер
https://www.virustotal.com/ru/file/a3e173d427fc3f836e5cdcdc05efd23b1469fb1030573bea­35efbb1fe84a2c6f/analysis/1446730466/
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 05.11.2015 16:40:13
Здравствуйте, Игорь. На данный момент вирлаб анализирует возможность подбора дешифратора. В случае, если у Вас есть лицензия ESET, отправьте запрос на [email protected]
ESET Technical Support
 
Пред. 1 2 3 4 5 6 ... 41 След.
Читают тему