новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 23 24 25 26 27 ... 41 След.
Снегирь Зимний,
по образу все чисто.
santy,ну, будем надеяться.  
доброго дня. снова возник вопрос с этим шифровальщиком.
подскажите, пжлст, с флэшки он переносится? надо достать несколько файлов с флэшки, которая втыкалась в заражённый компьютер.
Снегирь Зимний,
через автозапуск с флэшки ВАУЛТ не распространяется.
santy, спасибо.
новая рассылка VAULT, будьте внимательны

блокируем адреса:

*bit.ly/*
*is.gd/*

пока без детекта:
https://www.virustotal.com/ru/file/703294f669940df3e3103412c77514fd4153ed2e638284a0­67ea117a1ad6a04b/analysis/1456369371/

js добавлен по ссылке на документы для подготовки.doc

шифратор скорее всего запускается так:
"C:\WINDOWS\system32\rundll32.exe" C:\DOCUME~1\****\LOCALS~1\Temp\97fe0b81628.txt,run X1WAVE2



Цитата
Приветствуем вас!
Ставлю Вас в известность, что по нашей фирме возбужденно судебное производство по факту мошенничества с эмиссией ценных бумаг. Данный факт не доказан, сложившуюся ситуацию мы будем решать в суде.
В связи с тем, что наши предприятия соприкасались в работе в III-м кв. прошлого года, Ваша предприятие попадает под проверку Росфинмониторинга, и, возможно, выемку ряда документов - список в приложенном файле.
Ставим вас в известность. Спасибо за понимание.

Прикрепленных файлов (1):
1. Документы для подготовки.dоc

--
с уважением, ОАО ЕвроДизель
Изменено: santy - 25.02.2016 08:52:42
Запустили новую версию от 25.02.2016. Какими должны быть действия, чтобы остановить процесс шифрования?
И второй вопрос, насколько я понял сейчас в новой версии нет смысла искать secring.gpg?
Изменено: Никита Данилушкин - 25.02.2016 22:46:28
Если шифрование продолжается - нужно как можно быстрее выключить PC
Загрузить систему в безопасном режиме с поддержкой сети и...
Создайть образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
Цитата
Никита Данилушкин написал:
Запустили новую версию от 25.02.2016. Какими должны быть действия, чтобы остановить процесс шифрования?
И второй вопрос, насколько я понял сейчас в новой версии нет смысла искать secring.gpg?
по текущей версии надо отключить сетевые диски, можно в диспетчере выгрузить процесс rundll32,
выключить комп,
и планировать процедуру очистки системы и восстановления документов.

secring.gpg нет в этой версии, другой метод шифрования используется.
-----------
кстати, ESET стал детектировать файл запущенный из runddl32 как PSW.trojan

Цитата
Scanner Real-time file system protection
Object file
Name C:\Users\****\AppData\Local\Temp\97fe0b81628.txt
Threat Win32/PSW.Fareit.E trojan
Изменено: santy - 26.02.2016 11:39:43
santy,
прикрепляю образ автозапуска системы. Компьютером можно продолжать пользоваться или ещё что-то подчистить надо?
https://www.sendspace.com/file/111oik
Пред. 1 ... 23 24 25 26 27 ... 41 След.
Читают тему (гостей: 9)