новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS

Сообщений: 2

Баллов: 1

Регистрация: 02.11.2015

Размещено 02.11.2015 10:33:34

Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.

http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки

Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 17 18 19 20 21 ... 41 След.

Сообщений: 11

Баллов: 5

Регистрация: 11.12.2015

Размещено 28.12.2015 11:21:37

Цитата
santy написал: Евгений, если времени прошло энное количество дней, то могут и затереть ваш пароль, как они обычно предупреждают. в особенности, не доверяйте посредникам.

на сегодняшний день сайт снова доступен и переписка наша вся на месте .. ресурс на которм покупаешь дешифратор .. из файла ваулт.хта, который появился после шифрования .. вроде первее некуда.... просто боязно что кинут... да и неясно вдруг уже дешифратор от антивирусников.. вышел неспроста же сайт вырубали...

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 28.12.2015 11:40:17

решите для себя все таки гамлетовский вопрос: "платить или не платить.",
все последующие сообщения будем просто удалять с форума.

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 01.01.2016

Размещено 01.01.2016 12:49:17

Здравствуйте! Поймал вирус filecoder.fh
Подскажите что делает утилита ESETFilecoderFhCleaner ?
При запуске в логе пишет следующее:

Скрытый текст
[2015.12.31 19:17:54.783] - INFO: OS: 6.2.9200 SP0 [2015.12.31 19:17:54.784] - INFO: Product Type: Workstation [2015.12.31 19:17:54.784] - INFO: WoW64: True [2015.12.31 19:17:54.785] - INFO: Machine guid: C384B687-3D97-416D-8867-1662848BD18B [2015.12.31 19:17:54.785] - [2015.12.31 19:18:37.215] - INFO: Can't open file [C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\069b57c8c923697dfedc6e808a3e824b_c384b687-3d97-416d-8867-1662848bd18b] [2015.12.31 19:18:37.226] - INFO: Can't open file [C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\bf30db2be7767f82fa0c4397ea7a888a_c384b687-3d97-416d-8867-1662848bd18b] [2015.12.31 19:18:37.248] - INFO: Can't open file [C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\ec0e7e1fd22c4d397af13fc9b188a95e_c384b687-3d97-416d-8867-1662848bd18b] [2015.12.31 19:18:37.287] - ERROR: ERR13, files can't be decoded. [2015.12.31 19:18:37.287] - ERROR: Cleaner initialization failed! [2015.12.31 19:18:37.287] - End

Скрытый текст

Если указать например параметр /k vault.key то в логе пишется следующее:

Скрытый текст
[2015.12.31 19:39:27.973] - INFO: Backup: 3 [2015.12.31 19:39:27.974] - INFO: Looking for infected files... [2015.12.31 19:39:27.975] - -------------------------------------------------------------------------------- [2015.12.31 19:39:27.976] - [2015.12.31 19:39:27.977] - [2015.12.31 19:39:27.977] - INFO: Cleaning file [c:\vault\Договор.doc.vault] [2015.12.31 19:39:28.048] - ERROR: ERR8 GLE(0x80090007) [2015.12.31 19:39:28.063] - INFO: Error while decrypting key for the file. [2015.12.31 19:39:28.068] - ERROR: Not cleaned [2015.12.31 19:39:28.070] - [2015.12.31 19:39:28.070] - INFO: Cleaning file [c:\vault\Форма.docx.vault] [2015.12.31 19:39:28.080] - ERROR: ERR8 GLE(0x80090007) [2015.12.31 19:39:28.085] - INFO: Error while decrypting key for the file. [2015.12.31 19:39:28.090] - ERROR: Not cleaned [2015.12.31 19:39:28.092] - [2015.12.31 19:39:28.092] - INFO: Cleaning file [c:\vault\Художник.doc.vault] [2015.12.31 19:39:28.104] - ERROR: ERR8 GLE(0x80090007) [2015.12.31 19:39:28.107] - INFO: Error while decrypting key for the file. [2015.12.31 19:39:28.112] - ERROR: Not cleaned [2015.12.31 19:39:28.113] - -------------------------------------------------------------------------------- [2015.12.31 19:39:28.115] - INFO: 3 infected files found. [2015.12.31 19:39:28.117] - INFO: 0 file(s) cleaned. [2015.12.31 19:39:40.623] - End

Скрытый текст

Запускаю утилиту на компе который не был заражен. Может в этом дело? Или с зараженного компа нужно еще какие то файлы перенести? Сейчас в наличии только vault.key и confirmation.key

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 01.01.2016 14:57:15

R N,
когда по времени заражение было этим шифратором?
если после 10ноября, то скорее всего утилитка ESETFilecoderFhCleaner не поможет с рашифровкой

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 01.01.2016

Размещено 01.01.2016 15:43:42

Цитата
santy написал: R N, когда по времени заражение было этим шифратором? если после 10ноября, то скорее всего утилитка ESETFilecoderFhCleaner не поможет с рашифровкой

Все-же хотелось бы верить. Не подскажите какие файлы она использует?
Скорее всего после 10 ноября заражение было, но может это была старая модификация вируса?

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 01.01.2016 15:47:28

в любом случае, утилитку надо запускать в системе, на которой было выполнено шифрование.
чтобы была возможность восстановить ключ.
+

Цитата
Если указать например параметр /k vault.key то в логе пишется следующее:

в данном случае, vault.key не является ключом для данной утилиты.
ключом является файл exported.key которой утилитка должна извлечь из зашифрованной системы.
(если это возможно. если невозможно по ряду причин, тогда расшифровка данной утилитой невозможна)

Изменено: santy - 01.01.2016 15:52:09

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 01.01.2016

Размещено 01.01.2016 15:57:32

santy,Система на которой был vault не доступна для загрузки, доступен только винт с файлами.

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 01.01.2016 16:23:32

Цитата
R N написал: santy ,Система на которой был vault не доступна для загрузки, доступен только винт с файлами.

без ключа невозможна расшифровка этих файлов. а ключ извлекается утилитой из реестра и хранилища ключей RSA в системе, к которой было шифрование.

а что случилось с системой? переустановили?

Изменено: santy - 01.01.2016 16:26:43

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 01.01.2016

Размещено 02.01.2016 01:11:50

santy,система переустановлена, предварительно сделан образ диска C:\

Сообщений: 17971

Баллов: 28752

Регистрация: 16.03.2010

Размещено 02.01.2016 05:04:18

R N,
добавьте несколько зашифрованных файлов в архиве.

[ Как создать образ автозапуска? ]

Пред. 1 ... 17 18 19 20 21 ... 41 След.