Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 20:27:57
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 7 8 9 10 11 ... 49 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.03.2015 18:17:54
да, конечно,
если помощь или совет в пределах моей компетенции.
[ Как создать образ автозапуска? ]
 
Алексей Горохов
Алексей Горохов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 03.03.2015
Размещено 03.03.2015 18:20:40
Ситуация аналогичная как и у Дмитрия и письмо такое же....Вот только secring.gpg пустой(0 кб), но есть 403.vlt (67,5кб) и audiodg.exe. Есть шанс на спасение?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.03.2015 18:27:27
403.vlt - это скорее всего и есть audiodg.exe.
в таком виде был доставлен на комп из сети, а затем уже переименован.
да, судя по командам из варианта энкодера.
Цитата
REN "%TEMP%\301.vlt" audiodg.exe
REN "%TEMP%\logs.vlt" svchost.exe
REN "%TEMP%\TEMP.vlt" tick.exe
посмотрите, у него в свойствах файла может быть прописано sdelete.exe. т.е. это на самом деле легальная утилита Руссиновича для надежного удаления файлов.

без secring.gpg расшифровать не получится, если 0 байт, то это по сути затертый и бесполезный ключ.
только если восстановление возможно из теневых или архивных копий.
[ Как создать образ автозапуска? ]
 
Алексей Горохов
Алексей Горохов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 03.03.2015
Размещено 03.03.2015 18:38:27
В свойствах увы не нашел этого, но сначала троян удалил audiodg.exe в 8:21, затем 403.vlt в 9:21.Восстановление увы не возможно из теневых или архивных копий.
Печально...
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 03.03.2015 18:48:31
тогда еще вариант поискать в удаленных файлах на диске secring.gpg или valtkey.vlt с помощью утилит по работе с удаленными файлами.
Изменено: santy - 04.06.2016 17:49:00
[ Как создать образ автозапуска? ]
 
Сергей Полетаев
Сергей Полетаев
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 03.03.2015
Размещено 04.03.2015 07:59:38
Здравствуйте!

подхватил шифровальщик .VAULT.

теперь у меня зашифрованы все файлы *.doc, *.exe, почти все фото *.jpg

НО!!! остались и не зашифрованные...в некоторых папках есть даже фотки и зашифрованные (*.jpg.vault) и те же самые фотки НЕзашифрованные...с расширением (.jpg), фото с *.jpeg тоже НЕшифрованы. Файлы видео (*.MOD, *.avi, *.mpg ) и книги (*.fb2) остались НЕшифрованные ..

папку %TEMP% проверил - ключа secring.gpg или vaultkey.vlt там нет.

Теперь вопросы:

1)  Можно ли  пользоваться этими НЕшифрованными  файлами ?

2) ну и наверное, если реально посмотреть на проблему, то дешифровщика скорее всего не будет? Зашифрованные фалы можно не хранить...?  :)
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.03.2015 09:05:08
1. незашифрованными файлами можно пользоваться,
2. переустанавливать систему нет необходимости, достаточно просто удалить из %TEMP% юзера все запчасти от шифратора.
3. проверьте, есть ли в %TEMP% ненулевые файлы secring.gpg или vaultkey.vlt, если найдете (вышлите в почту [email protected]), то можно расшифровать, то что зашифровано.
4. проверьте так же возможность восстановить документы из теневой копии тома. (если включена защита дисков)
5. дешифратора от вирлабов в ближайшее время не будет, и вообще не будет.

в принципе дешифратор есть в природе - это легальный пакет GnuPG (gpg.exe), но ему нужен ключ (secring.gpg), который был создан на вашей системе при запуске шифратора.
Изменено: santy - 04.06.2016 18:40:10
[ Как создать образ автозапуска? ]
 
Дмитрий Добрынин
Дмитрий Добрынин
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 03.03.2015
Размещено 04.03.2015 09:48:39
santy, подскажите процедуру расшифровки? какие мои дальнейшие действия?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.03.2015 10:06:32
зашифрованных файлов много?

как вариант, установить GnuGPG, легальный пакет отсюда
ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.19.exe
и использовать для расшифровки модуль gpg.exe с ключом дешифрования.
предварительно надо импортировать ваш секретный ключ

если файлов много, то конечно лучше использовать бат-декриптор, который должен обойти все каталоги с зашифрованными файлами и запускать команду дешифрования.
Код
импорт ключа
gpg.exe --import c:\ваш файл\secring.gpg

расшифровка документа
gpg.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files c:\ваш зашифрованный файл\документ.xls.vault
если сами сможете написать батник, то надо все таки протестрировать команды, и убедиться что они расшифровывают документы.
его можно написать таким образом, чтобы расшифрованные файлы были помещены в тот же каталог, где лежит его аналог в зашифрованном виде.
вообщем написать нормальный бат-декриптор.
Изменено: santy - 04.06.2016 17:49:00
[ Как создать образ автозапуска? ]
 
Дмитрий Добрынин
Дмитрий Добрынин
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 03.03.2015
Размещено 04.03.2015 10:16:09
Спасибо за помощь!
 
Пред. 1 ... 7 8 9 10 11 ... 49 След.
Читают тему