Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 20:27:57
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 5 6 7 8 9 ... 49 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.03.2015 17:00:27
Дмитрий, да, ключ рабочий (интересно, откуда вы его достали: восстановили из удаленных?), и файл что вы выслали я расшифровал. отвечу в почту.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.03.2015 17:05:23
дешифратора с большой вероятности нет будет в ближайшее и отдаленное будущее.

добавьте образ автозапуска для системы, которая пострадала от vault
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.03.2015 17:11:04
1. проверьте возможность восстановления данных из теневой копии.

2. поищите среди удаленных файлов файл secring.gpg
Изменено: santy - 04.06.2016 17:28:43
[ Как создать образ автозапуска? ]
 
Дмитрий Добрынин
Дмитрий Добрынин
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 03.03.2015
Размещено 03.03.2015 17:11:36
файл лежит в рабочей папке шифровальщика /users/Имярек/AppData/Local/Temp
Изменено: Дмитрий Добрынин - 04.06.2016 17:47:26
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.03.2015 17:13:22
странно, но интересно :), даже так бывает.
нужный ключ есть так что сможете дешифровать зашифрованные файлы.
можно еще на паре зашифрованных файлов проверить.
туда же в почту
[ Как создать образ автозапуска? ]
 
Дмитрий Добрынин
Дмитрий Добрынин
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 03.03.2015
Размещено 03.03.2015 17:19:32
выслал вам скрин рабочей папки зловреда, там явно видны крипто и рабочие файлы
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.03.2015 17:25:25
рабочие файлы шифратора в основном известны. тестировал на виртуалке.
там все известные файлы.
svchost.exe - это упакованный UPX-ом легальный модуль gpg.exe v.14.18 от GNUPG
index.vlt - это в таком виде svchost.exe скачивается из сети, затем после запуска бат-энкодера переименовывается.
iconv.vlt - это легальная iconv.dll, библиотека, которая используется для шифрования. вместе с gpg.exe


посмотрите какое время у зашифрованных файлов.
время создания secring.gpg 02.03.2015 9:26
Изменено: santy - 04.06.2016 17:47:26
[ Как создать образ автозапуска? ]
 
Дмитрий Добрынин
Дмитрий Добрынин
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 03.03.2015
Размещено 03.03.2015 17:34:33
примерно с 9-40 до 12-30
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.03.2015 17:40:06
а шифрование завершилось выставлением заставки vault.hta? в таком случае посмотрите есть ли файл vaultkey.vlt?
Цитата
vaultkey.vlt
в него импортируется секретный ключ secring.gpg, и затем шифруется с помощью pub key злоумышленников, и затем переименовывается в VAULT.key

после завершения шифрования vaultkey.vlt так же должен удалиться.

посмотрите, какие еще есть батники и exe в этой папке с датой создания 2.03.2015
Изменено: santy - 04.06.2016 17:48:15
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.03.2015 17:43:15
в частности, вот эта утилитка есть или нет?
Цитата
audiodg.exe
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 5 6 7 8 9 ... 49 След.
Читают тему