Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 20:27:57
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 40 41 42 43 44 ... 49 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.05.2015 14:25:20
Николай,
код батника здесь не нужен в виде простыни,
отредактируйте сообщение и добавьте его как вложенный текстовый файл, или совсем удалите
все таки это вредоносный файлик.
фрагмент из него можете доабвить.
--------
по secring.gpg здесь все сделано как надо. файл затирается мусором, потом удаляется, так что восстановить крайне проблематично.
шанс есть если вовремя выключить комп.
[ Как создать образ автозапуска? ]
 
Николай Гуляев
Николай Гуляев
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 13.05.2015
Размещено 13.05.2015 14:33:13
ой, кажется понял, то есть в батнике никакой полезной инфы о secring нет и быть не может...там есть только публичный ключ, который мне никак не поможет...
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 13.05.2015 14:48:45
нет,
там есть только команда создания ключевой пары pub/sec и код публик ключа от злоумышленников, которым они потом шифруют ваш секретный ключ.
после этого тщательно затирается secring.gpg и промежуточные файлы, в которых он еще не зашифрован.
-------
ключ secring.gpg от злоумышленников здесь не светится.
только на их площадке, куда они зазывают протестировать возможность расшифровки ваших файлов.
соответственно из VAULT.key и вытаскивается на их сервере ваш секретный ключ, а потом он используется для расшифровки загруженных документов.
[ Как создать образ автозапуска? ]
 
NickM
NickM
Пользователь
Сообщений: 257
Баллов: 205
Регистрация: 17.05.2014
Размещено 15.05.2015 08:21:54
Уважаемые.
Подскажите пожалуйста с какой надобностью VAULT прописывает Свой *.js  в автозапуск?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.05.2015 09:10:37
NickM,
о каком из js (из коллекции собрания сочинений VAULT) идет речь?
о самом исходнике (в котором закодированы модули шифратора), с запуска которого и начинается процесс шифрования, или о других js, которые по ходу работы шифратора создаются дополнительно?
не замечал пока за VAULT такой эффект, пока что в автозапуск прописывался только hta-заставка.
-----
по крайней мере так было в апрельских вариантах.(где-то на 27 апреля)
[ Как создать образ автозапуска? ]
 
NickM
NickM
Пользователь
Сообщений: 257
Баллов: 205
Регистрация: 17.05.2014
Размещено 15.05.2015 09:47:15
santy,
Я не особо силен в версиях .vault.
Есть лог АВЗ, *.js и командный сценарий который запускается из этого *.js.
Интересует такой момент... и *.js и *.cmd - оба лежат в %temp% пользователя. Тогда, получается так, что очистка данного каталога перед/при перезагрузке спасет файлы от шифрования?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.05.2015 09:57:29
NickM,
добавь лог АВЗ, посмотрю, но скорее всего он там указывает просто как на подозрительный файл. не в автозапуске.
в принципе, пока,
можно просто перегрузить систему в момент запуска шифратора VAULT
процесс шифрования прекратится, и есть возможность таким образом сохранить от удаления secring.gpg

повторно процесс шифрования не запустится (для ВАУЛТ-а)
по крайней мере, сейчас это так. как дальше будет - зависит от кодеров ВАУЛТа.
[ Как создать образ автозапуска? ]
 
NickM
NickM
Пользователь
Сообщений: 257
Баллов: 205
Регистрация: 17.05.2014
Размещено 15.05.2015 10:12:12
santy,
ок, прикрепляю архив с безобидными файлами
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.05.2015 10:26:38
js скорее всего запускает cmd, в котором прописаны команды шифрования файлов.
а вот cmd - тот самый, содержит всю инфо по документам с локальных и сетевых дисков.
это в данном случае основной шифратор.
лог АВЗ сейчас гляну
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.05.2015 10:29:37
уху, видимо поправили свой бат-энкодер.
теперь процесс шифрования прописан в автозапуск, надо будет посмотреть последние свежие варианты шифратора.
возможно дошифрование того что осталось незашифрованным или восстановленным.
поэтому темп надо зачищать от файлов ВАУЛТ

Цитата
C:\Users\0D88~1\AppData\Local\Temp\06dca008.js
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-21-3033825225-2200833762-766671363-1146\Software\Microsoft\Windows\CurrentVersion\Run, ffe7c7a0

этот файлик 06dca008.js
запускает 280ec63e.cmd
в котором прописано шифрование файлов.
т.е. это как раз дошифрование, потому что после перезагрузки cmd уже не меняется.
------
если этот файлик будет удален, то дошифрование, конечно, не произойдет. нечем шифровать.
Цитата
C:\Users\0D88~1\AppData\Local\Temp\svchost.exe
Изменено: santy - 04.06.2016 18:04:48
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 40 41 42 43 44 ... 49 След.
Читают тему