файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS

Сообщений: 11

Баллов: 5

Регистрация: 19.02.2015

Размещено 19.02.2015 20:27:57

Зашифровались файлы с расшрирением doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Прикрепленные файлы

DMITRY-MSI_2015-02-19_20-15-14.TXT

Ответы

Пред. 1 ... 3 4 5 6 7 ... 49 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 25.02.2015 18:50:51

сработает.
поскольку все файлы копируются и запускаются в %temp%, а для этого не нужны права локального админа, и для изменения документов на рабочем столе и в папках документы тоже не нужны права админа . мало того и все папки на сетевых дисках зашифруются, там где права чтения и записи есть у данного пользователя.

Изменено: santy - 04.06.2016 17:41:15

[ Как создать образ автозапуска? ]

Сообщений: 24

Баллов: 12

Регистрация: 20.10.2014

Размещено 25.02.2015 19:22:13

santy, Как JS файлу удается скачать вирус и запустить его.? файрвол может заблокировать исходящее соединение? Через какой порт оно идет?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 25.02.2015 19:30:53

фаер (от Есет, например) вряд ли заблокирует исходящее, если выполнение js разрешено на компе, единственно, если только адрес, откуда скачиваются файлы добавлен в черный список.
------------
скачивается на самом деле не вирус, а вполне легальные утилиты, в том числе и программа для шифрования gpg.exe, только в упакованном виде, и с другим именем.

защиту надо настраивать от подобных шифраторов, которые чаще всего запускаются не глядя из архива.
либо так
http://www.it-lines.ru/blogs/security/srp-luchshaya-besplatnaya-zashhita-ot-virusov
либо так
http://www.foolishit.com/vb6-projects/cryptoprevent/

Изменено: santy - 04.06.2016 17:41:15

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 25.02.2015

Размещено 25.02.2015 21:54:51

Кстати на сетевых дисках (были подключены именно как диски) обоих ПК не шифранулось ничего. И на локальных дисках дальше C не полезло.

Сообщений: 4

Баллов: 2

Регистрация: 02.10.2014

Размещено 02.03.2015 14:41:06

Почему лицензионная программа SMART SECURITY 8 не заблокировала этот вирус?

Ваши документы и базы данных были зашифрованы и помещены в ☢ формат .VAULT ☢

Для их восстановления необходимо получить уникальный ключ

Кратко:

Необходимо произвести 3 шага:

➠ Зайдите на наш веб-ресурс
Ⓑ Получите свой ключ
⤷ Восстановите файлы

Детально:

Скачайте Tor браузер с оф. сайта

Зайдите на наш сайт используя Tor:

http://restoredz4xpmuqr.onion

⤴

Авторизируйтесь ➤ Получите гарантии ➤ Ключ

Note 1: Вы не сможете восстановить файлы без
уникального ключа.

Note 2: Перед авторизацией, Вы должны найти Ваш
VAULT.KEY на компьютере.

Note 3: Стоимость полного восстановления на ресурсе не
окончательная

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 02.03.2015 16:05:05

1. когда произошло шифрование?
2. если есть письмо с которого было шифрование, то опубликуйте письмо здесь, возможно это поможет другим избежать ошибки с открытием вредоносного письма.
3. добавьте образ автозапуска для очистки системы (если есть заражение)
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 03.03.2015

Размещено 03.03.2015 14:35:05

Добрый день,
аналогичная проблема.
Бухгалтер запустил скрипт из мейловской почты, словил этого шифратора с этим же текстом.
Пригласили стороннего мальчика, который вылечил и дешифровал при помощи загрузочного диска от касперского. Проконтролировать его действия не удалось (далеко объект).
Вроде как файлы дешифровались, НО под шифровку попались файлы на сетевом диске. Получится ли их расшифровать?

Вирус на почте сохранен.
От дешифратора остались различные файлы: vault.key, gpg и т.п.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 03.03.2015 14:44:13

скорее всего восстановил из теневой копии (или из хранилища) файлы, если система была Win7 или Win8.
расшифровать не получится, если нет secring.gpg
восстановить возможно, если есть копии документов.
-------
если не трудно, опубликуйте здесь текст письма, из которого было запущено шифрование,
а файл, который был скачен из письма, или вложен в письмо вышлите в почту [email protected]
(только с паролем infected, иначе антивирус на почте его может прибить)

Изменено: santy - 04.06.2016 17:46:27

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 03.03.2015

Размещено 03.03.2015 14:48:35

secring.gpg присутствует
что необходимо для расшифровки?

Текст письма:

Скрытый текст
Уважаемые коллеги, Высылаю счета на оплатув соответствии с положениями Договора от 15 ноября 2014 года (в приложении). Прошу осуществить доплату, поскольку средства за пользование системой "1С:Бухгалтерия" в полном объеме мы так и не получили. По нашим данным за вами числиться небольшой долг. Если оплата не будет произведена в ближайшие 10 дней, мы будем вынуждены прекратить Ваше обслуживание. Благодарю. Прикреплённые файлы: 1. Счёт 1С - Бухгалтерия.zip -- С Уважением, Владимир Никифоров Менеджер по продажам Компания "1C" 123056, Россия, Москва, Селезневская ул., д.21

Скрытый текст

Изменено: Дмитрий Добрынин - 04.06.2016 17:46:27

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 03.03.2015 14:50:16

secring.gpg с каким размером? 0байт? тогда не поможет.
если же с другим размером, то вышлите в почту [email protected] в архиве (без пароля) один зашифрованный файл и secring.gpg
для проверки расшифровки

Изменено: santy - 04.06.2016 17:46:27

[ Как создать образ автозапуска? ]

Пред. 1 ... 3 4 5 6 7 ... 49 След.