новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 19 20 21 22 23 ... 41 След.
Виктор,
дешифратор для Ваулта есть только если файл шифратора был создан в интервале от 2 до 10ноября. по поздним версиям ВАУЛТа нет дешифровки.
удалять там практически нечего из автозапуска.
надо удалить файл VAULT.hta
Изменено: santy - 10.08.2016 09:28:08
Доброго времени суток.

Произошла следующая проблема(уже не первый случай). Подруга друга, бухгалтер маленькой компании(5 человек), в которой нет админа, Получила письмо "счастья" с "Счет фактурой", открыла и вооля. Звонит мне, говорит 1С не открывается, смотрю фаилы на раб столе на конце появилось не правильное расширение. В диспетчере вижу до сих пор "программа" из темпа шифрует данные. Я по удаленке Моментально отключил системник. Сейчас жду HDD когда привизут.

Подскажите такой момент, если есть в наличии сам фаил который запустил шифровальщик, и фаил который шифровал, реально ли из него достать пароль к шифратору?
все зависит от типа шифратора. а с каким расширением зашифрованы файлы?
Прям сейчас ответить не могу, т.к. полную картину пока не вижу, еще жду HDD, но картина примерно как темой ниже http://forum.esetnod32.ru/forum35/topic12855/ (Извиняюсь!, не та ссылка) Тоже vault  Сама програмулина в темпе расширение exe которая шифрует фаилы. А что в письме пока не известно.
Изменено: Владимир Шариков - 13.06.2016 15:32:33
в принципе, да, возможно если много файлов, то какое то время exe остается в темпе.
по ВАУЛТ скорее всего это не поможет: наличие чистого и зашифрованного файла. как это не помогало в предыдущих вариантах данного энкодера.
если свежий ВАУЛТ, то расшифровки по нему нет.
--------
шанс есть, если шифратор не успел удалить теневые копии, (и если такие были на момент запуска)
Изменено: santy - 13.06.2016 15:32:33
santy,мне переслали письмо с "Счет фактурой" Могу сейчас письмо переслать, если скажите куда?
Комп кстати выключали стандартным методом "ПУСК- Выключить ПК". Так что возможно из темпа при выключении он удалился... будем надеяться что нет.
По теневым копиям сомневаюсь что они включены... Посмотрим когда приедет.
Изменено: Владимир Шариков - 13.06.2016 15:32:34
перешлите в архиве с паролем infected в почту safety@chklst.ru
проверим детект.
Письмо отправил. Долго ждать Вашего решения "Возможно \ Не возможно" ?  Если будут по нему вопросы задавайте, ЖД пока у меня.
ок,
результат проверки js
https://www.virustotal.com/ru/file/48ade7ca7ea91cf9a73740044e0a30299d953f976f4d0846­4cb7ac9b4af68c68/analysis/1452598213/
отправлю в вирлаб
по расшифровке: расшифровки по ВАУЛТУ нет после 10 ноября.
Теперь вопрос, сейчас зараженный жески диск стоит вторым жестким диском у меня в системнике,  рядом стоит его тело (системный блок, без жеского диска). Как мне сейчас поступить? Что бы винда загрузилась при возврате HDD в своё тело, и не шло дальше шифрование.  
Пред. 1 ... 19 20 21 22 23 ... 41 След.
Читают тему (гостей: 3)