новый вариант VAULT от 2ноября 2015г. , Filecoder.FH

RSS
Уважаемый santy, подскажите, можно ли, что либо расшифровать в нашем случае.
Как найти secring.gpg я так и не понял, штатный поиск винды ничего подобного не увидел...

Проинструктируйте, что можно еще Вам прислать, чтобы Вы смогли ознакомиться.

Так же на случай если расшифровать не получится, можно ли им (вредителям) заплатить? Довольно важная информация оказалась зашифрована.



http://rghost.ru/8WM5P5BLh - пример зараженного файла
http://rghost.ru/8WhHqDfQh - vault.key и (лог какого то декриптора)
http://rghost.ru/6VXMKSnSx - log из тмп
http://rghost.ru/7C4sDhSpY - образ автозагрузки
Изменено: тагир гайсин - 16.03.2017 06:00:30

Ответы

Пред. 1 ... 25 26 27 28 29 ... 41 След.
Спасибо!

После перезагрузки окна нет.
Пары файлов vault.key и vault.hta можно удалять (копии сохранил)?
Зашифрованные файлы определить можно по добавленному расширению .vault или как-то ещё?

С уважением.
да, все зашифрованные файлы с расширением VAULT
сохраните важные файлы, + vault.key на будущее на отдельный носитель,
может быть
    когда нибудь  
              кто-нибудь
                    как-нибудь
                          расшифрует их :)
--------
или опубликуют ключи расшифровки.
Здравствуйте!
Постигла та же участь  29-02-2016 в 17:17
Помогите, пожалуйста!
(жду скрипта для uVS для очистки системы)

файлы *.vault, я так понимаю, до сих пор невозможно декодировать как раньше?

образ автозапуска системы:
Alex Klo,
выполните скрипт очистки

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %SystemDrive%\TEMP\VLT\FIREFOX.EXE
delall %SystemDrive%\TEMP\VLT\TORBROWSER\TOR\TOR.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://333E45LPJQREBKNR.ONION/AUTH.PHP?KEY=CYB26R2G2R9WD%2FBE2H8I%2FMFL%2B6MM6RRI%2BRNDFGMOKKVU5IERWPNZNL0A2YQT%2BGBNTQGWHH7WBEDEIMHNYP66LD02E%2FG%2F03QIZWBX4WUDA0FNLA43VN5GAMSHGQBOB47LBOAHYFL%2BCPTL3WYXNB83AZPBF0AHLLH%2BBB4SDWDZ4GI3A%2FJIOZ6Z1HDJTR9KUSECOWHC

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\09OXG9KH.DEFAULT-1381923604656\SEARCHPLUGINS\WEBALTA-SEARCH.XML

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO\1.0.8_0\ПОИСК MAIL.RU

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.2_0\ПОИСК MAIL.RU

delref HTTP://WEBALTA.RU/SEARCH

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
santy, спасибо! всё, вроде, нормально.
анализ свежего шифратора ВАУЛТ

такой вот комплект остается после шифрования

» C:\Windows\SysWOW64\mshta.exe
» C:\Users\W7_MMD\Desktop\VAULT.hta
» C:\Users\W7_MMD\AppData\Local\VirtualStore\VAULT.hta
» C:\Users\W7_MMD\AppData\Local\Temp\torrc
» C:\Users\W7_MMD\AppData\Local\Temp\tor.exe
» C:\Users\W7_MMD\AppData\Local\Temp\document_0117c8.docx
» C:\Users\W7_MMD\AppData\Local\Temp\3cc4b2b7f96.txt
» C:\Users\W7_MMD\AppData\Roaming\CONFIRMATION.KEY
» C:\Users\W7_MMD\AppData\Roaming\VAULT.hta
» C:\Users\W7_MMD\AppData\Roaming\VAULT.KEY
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\CO­NFIRMATION.KEY
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\VA­ULT.hta
» C:\Users\W7_MMD\AppData\Roaming\Microsoft\Windows\Templates\VA­ULT.KEY
» C:\Users\W7_MMD\AppData\Local\Temp\vlt\(ARCHIVOS TOR)

http://nyxbone.com/malware/russianRansom.html
Изменено: santy - 03.03.2016 13:09:42
Детект нового варианта
https://www.virustotal.com/ru/file/b17d549a6b05143e0639783158ce5c176d38ec497d297ad7­2f91fd11a25ffd42/analysis/1457011882/

Зашифровались документы Excel и Word. PDF формат не тронули. В начале января уже обращался, но мне сказали, что пока нет дешифровщика, обратиться позже. Вот снова обращаюсь, может что то уже и появилось? Заражение произошло где то 19 февраля.
по VAULT скорее всего нет расшифровки в техподдержке.
Изменено: santy - 10.08.2016 09:29:01
а вообще будет? планируется? просто есть смысл мне  
Пред. 1 ... 25 26 27 28 29 ... 41 След.
Читают тему (гостей: 1)