файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 42 43 44 45 46 ... 49 След.
NickM,
этот ключ шифратор удаляет по завершении работы
Цитата
C:\Users\0D88~1\AppData\Local\Temp\06dca008.js
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-21-3033825225-2200833762-766671363-1146\Software\Microsoft\Windows\CurrentVersion\Run, ffe7c7a0

вот завершающий блок команд
Цитата
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "5e86e626" /t REG_SZ /f /d "mshta %appdata%\f82a30ba4602d9a8.hta"
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "67d62b78" /f
del /f /q "%temp%\06dca008.js"
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "ffe7c7a0" /f
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "1c0cf7ed" /f
start mshta "%temp%\f82a30ba4602d9a8.hta"

если остался в автозапуске, значит скорее всего процесс работы шифратора был прерван.
в этом случае, (если не было очистки темпа от запчастей шифратора), после загрузки системы шифрование будет продолжено.
но ключ уже не будет удален из автозапуска.
https://www.virustotal.com/ru/file/c676a831abd7b2a46d993bd8ca5f209d317e94f70db5ee33­820412c994861d45/analysis/1432119227/
Приходит письмом, с вложением на Email: Счета-фактуры для проверки за 2013-2014 гг. Выписано главным бухгалтером. Согласовано директором на отправку  __attaсhmеnt_DrWеb_Scаnnеd_OK.dос .js

Файлы, через которые запускается:
C:\DOCUME~1\USER\LOCALS~1\Temp\Sec2.bat
C:\DOCUME~1\USER\LOCALS~1\Temp\sv.css

Пишите адрес почты, отправлю тело вируса.

Изменено: Виктор - 04.06.2016 18:05:32
Виктор,
файл шифратора от какого числа получен в почте? по ссылке из сети или через вложение в сообщение?
Изменено: santy - 04.06.2016 18:05:32
santy,
Ответил в ЛС.
вышлите в почту safety@chklst.ru в архиве с паролем infected, проверю
судя по имени Sec2.bat - это js из последней рассылки от 13 мая.
Изменено: santy - 04.06.2016 18:05:32
Отправил.
этот вариант детектируется ESET. если будь свежие вариант ВАУЛТ, высылайте в ту же почту для анализа и проверки
Добрый день, поймал такой же вирус на паре машинок. С одной из них удалось вытянуть файлы trustdb.gpg pubring.gpg с не нулевым размером, при помощи утилиты RUndelete4 (отличная утилита, кстати). Отослал пароль на почту указанную santy тут. Буду благодарен, если будет возможность проверить возможность расшифровки.
alex momai,
ответил в почту.
если сохранились письма с вредоносным архивом, или ссылкой на вредоносный архив,
вышлите в мою почту в архиве с паролем infected
(если ссылка в письме, то можно и без пароля)
----------------
судя по данным в архиве что имеем:
два ключа pubring.gpg но видимо с разных машин, поскольку ID разные
документы из архива зашифрованы одним из ключей
VAULT.KEY конечно без расшифровки,

поищите еще файлы
Цитата
соберите в один архив все файлы из %TEMP% пользователя, созданные на дату и время шифрования документов.
Это могут быть и такие файлы (с произвольным набором букв и цифр):
268244f0.8e651db9, c3803433.adc31ea7, d6ccb63f.88b5e541
возможно, в одном из таких файлов хранится экспортированный секретный ключ (secring.gpg) в незашифрованном виде.
Изменено: santy - 04.06.2016 17:32:02
Santy спасибо, что посмотрели. Файлов к сожалению найдено нужных не было. Возможно они там и остались, но их поиск займёт слишком много времени.
Письмо есть, да. В данный момент чистим машинку на которую пришло письмо, позже, вышлю на почту архивированную версию.
Пред. 1 ... 42 43 44 45 46 ... 49 След.
Читают тему (гостей: 1)