новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 20 21 22 23 24 ... 41 След.
Владимир,
сделайте образ автозапуска для системы с шифратором ВАУЛТ. я так понимаю что она сейчас неактивна.
надо запустить uVS из активной системы,
и указать ему (выбрать систему) с какого диска (выбрать каталог win на этом диске) должен быть сделан образ автозапуска.
и запостить созданный файл. проверим, есть там что-то в автозапуске или нет.
Изменено: santy - 13.06.2016 15:32:34
Цитата
santy написал:
и указать ему (выбрать систему) с какого диска (выбрать каталог win на этом диске) должен быть сделан образ автозапуска.
При включении Указал "k:\windows", моя стоит стандартно на С. Проверте, вроде получилось. Думаю сейчас его почистим с моего Компа, я его переставлю в своё тело, и дальнейшую проверку продолжем там верно?
Изменено: Владимир Шариков - 13.06.2016 15:33:39
Владимир, да, в автозапуске прописан запуск шифратора.
Полное имя                  K:\WINDOWS\SYSWOW64\IE5BAKEX\IE5BAKEX.LNK
Имя файла                   IE5BAKEX.LNK
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN.LIST                    (ССЫЛКА ~ POLICIES\EXPLORER\RUN\)(1) [auto (1)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      1868 байт
Создан                      16.04.2013 в 21:50:49
Изменен                     17.11.2011 в 09:38:39
Атрибуты                    СКРЫТЫЙ  
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
                           
Доп. информация             на момент обновления списка
SHA1                        5321EEEB083E328B802D465DDAEC3D70C847D407
MD5                         0579E0135CFB690D7C04691F9FC55B9A
                           
Ссылки на объект            
Ссылка                      HKLM\uvs_software\Microsoft\Windows\CurrentVersion\Policies\­Explorer\Run\IE5BAKEX
IE5BAKEX                    C:\Windows\SysWOW64\IE5BAKEX\IE5BAKEX.lnk
                           
------------------
сейчас добавлю скрипт для очистки.
https://cloud.mail.ru/public/uVKS/KAsTq6pA8
закодировал vault в ноябре  никаких махинаций по зачистке вируса не производил только просканировал диск с лицензией нода 4 !
Я жду скрипт верно?  
да, сейчас добавлю скрипт.
опять же, когда стартуете uVS, надо выбрать систему с вашего проблемного диска.
далее, выполняете скрипт.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем систему с вашего проблемного диска, меню - скрипты - выполнить скрипт из буфера обмена;
Код

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
delall %SystemRoot%\SYSWOW64\IE5BAKEX\IE5BAKEX.LNK
zoo %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
delall %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
delall %Sys32%\DRIVERS\{C5E48979-BD7F-4CF7-9B73-2482A67A4F37}GW64.SYS
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

delref %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\NEWSI_1801\S_INST.EXE

delref %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\NEWSI_21590\S_INST.EXE

deldirex %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\SWEET-PAGE

delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1410935445&FROM=COR&UID=WDCXWD5000AAKX-08U6AA0_WD-WCC2EAPT5367T5367&Q={SEARCHTERMS}

delref %Sys32%\DRIVERS\SSNFD.SYS

delref %SystemDrive%\USERS\СВЕТА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\СВЕТА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.9.0_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN

deldirex %SystemDrive%\USERS\ADMINV\APPDATA\ROAMING\VOPACKAGE

deldirex %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VOPACKAGE

deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

QUIT

без перезагрузки системы, пишем о старых и новых проблемах.
POUL UILIAMSON,
здесь надо иметь ввиду следующее:
если зашифровка была в ноябре со 2 по 10 ноября, тогда высокие шансы расшифровать файлы,
если после 10 ноября, тогда практически шансов на расшифровка (пока) нет.
2/10/15 пришло письмо от 6758745@mail.ru после открытия файла все фото  заблокировались что делать?VAULT.kei
Здравствуйте!
Пришло письмо от Денис Маркушенок dmarkushenok@mail.ru
Тема письма: сверка по итогам года
В тексте письма написано: Здравствуйте. До конца недели жду комментариев по вложенному документу:) С Прошедшим!
и прикреплённый файл: акт сверки 2015.zip

Скачал и открыл, в результате у меня все доки теперь не открываются и заметил в конце каждого документа дописано vault.

Что делать? читал форум, но ничего не получается, кто может по шагово сказать, что и как расшифровать документы?
Изменено: aa-2009@inbox.ru - 14.01.2016 14:53:21
Пред. 1 ... 20 21 22 23 24 ... 41 След.
Читают тему (гостей: 4)