файлы зашифрованы с расширением .vault , bat encoder /CryptVault

RSS

Сообщений: 11

Баллов: 5

Регистрация: 19.02.2015

Размещено 19.02.2015 20:27:57

Зашифровались файлы с расшрирением doc. и так далее. Cтали с расширением, например doc.vault. При загрузке компа выскакивает окно с ссылкой на сайт злоумышленников. Плз. помогите.

Прикрепленные файлы

DMITRY-MSI_2015-02-19_20-15-14.TXT

Ответы

Пред. 1 ... 37 38 39 40 41 ... 49 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.04.2015 09:02:36

если cipher отработал, то он скорее всего очистил то пространство, которое было занято удаленными файлами.
по пробовать искать secring.gpg никто не запрещает. любыми доступными вам методами.

[ Как создать образ автозапуска? ]

Сообщений: 11

Баллов: 5

Регистрация: 24.05.2014

Размещено 28.04.2015 09:13:37

Цитата
santy написал: cipher /w:%1:

Вайпится только %temp% ?

GnuPG использует рабочий каталог для ключей %temp% ?

Изменено: Алексей Завацкий - 04.06.2016 17:32:01

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.04.2015 10:23:22

Цитата
Алексей Завацкий написал: Вайпится только %temp% ? GnuPG использует рабочий каталог для ключей %temp% ?

по коду ба_энкодера все видно. где VAULT сохраняет ключи. (в %temp%)
GNUPG не устанавливается при этом, и не конфигурируется.
использутся модули для работы: gpg.exe и iconv.dll, которые тоже скачиваются в %temp%
cipher, скорее, всего чистит удаленные на всех присоединенных дисках.

[ Как создать образ автозапуска? ]

Сообщений: 15

Баллов: 7

Регистрация: 28.04.2015

Размещено 28.04.2015 11:34:01

Добрый день!!! Проблема как у всех здесь, на этой ветке!! Электронное письмо с архивом (Акт сверки от известной мне организации) Открытие, через 5 мин первое сообщение от ESS о наличии трояна BAT/Filecoder.AG, потом еще несколько сообщений. (в том числе уже об .AI). В результате, зашифрованы с расширением VAULT и GPG файлы офиса, pdf, фото, сканы, и базы 1С!
Есть ли уже общие решения, или возможна индивидуальная помощь???

p.s. Пользователь со средней квалификацией!!! "Что делать прочел", но есть опасение, в полной потере файлов!!!

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.04.2015 12:23:10

Сергей,
общее решение такое:
ВАУЛТ, что делать?
читаем
http://chklst.ru/forum/discussion/1481/vault-chto-delat
если есть ненулевой secring.gpg
вышлите в почту [email protected] для проверки расшифровки данный ключ, и несколько зашифрованных файлов.
---------
если будет найден secring.gpg, тогда будет индивидуальное решение.

[ Как создать образ автозапуска? ]

Сообщений: 15

Баллов: 7

Регистрация: 28.04.2015

Размещено 28.04.2015 12:58:51

pubring.gpg - 1КБ;
pubring.gpg.lock - 0КБ;
secring.gpg - 0КБ;
secring.gpg.lock - 0КБ;
trustdb.gpg - 2КБ;
trustdb.gpg.lock - 0КБ;
bc489dae - 10601КБ;
pubring.gpg - 1КБ;
CONFIRMATION (файл реестра) - 105КБ;
VAULT (файл реестра) - 2КБ

Вот эти файлы нашел через простой поиск!

(дата изменения 24.04.2015, время 8-22 _ 8-34)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.04.2015 13:09:09

Сергей,
значит secring.gpg затерт до нуля. нулевой secring.gpg бесполезен для расшифровки.
другого варианта расшифровки у нас нет.

[ Как создать образ автозапуска? ]

Сообщений: 15

Баллов: 7

Регистрация: 28.04.2015

Размещено 28.04.2015 13:13:26

Возможно это будет полезным!!!

Прикрепленные файлы

avz_log.txt (19.84 КБ)

Сообщений: 15

Баллов: 7

Регистрация: 28.04.2015

Размещено 28.04.2015 13:17:13

Т.е. secring.gpg утилитами не восстанавливается???

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.04.2015 13:29:37

восстановливается, если не был затерт. т.е. если в определенный момент времени работы шифратора выключить комп, то есть вероятность восстановить secring.gpg
если же шифратор полностью отработал, то скорее всего восстановить secring.gpg не получится.

[ Как создать образ автозапуска? ]

Пред. 1 ... 37 38 39 40 41 ... 49 След.