Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Вирус изменил названия файлов

1 2 След.
RSS
 
Владимир Вострецов
Владимир Вострецов
Пользователь
Сообщений: 43
Баллов: 21
Регистрация: 23.12.2014
Размещено 27.04.2015 10:14:18
Здравствуйте!
По интернету пришло письмо, кадровик его открыла и после этого на всех файлах Office добавлено за расширением .vault. Помогите вернуть все файлы в исходное состояние.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.04.2015 10:20:31
не просто изменил название файлов, но и зашифровал их содержимое, при этом затерев оригиналы файлов.

по VAULT
1. вышлите в почту [email protected] письмо с вредоносным вложением, лучше в архиве с паролем infected
2. читаем VAULT. что делать
http://chklst.ru/forum/discussion/1481/vault-chto-delat#Item_2
3. из папки %TEMP% юзера откопируйте в архив temp с паролем infected все файлы размером от 500б до 3-4кб, которые были созданы на дату и время запуска шифратора.
архив temp так же вышлите в почту [email protected]
Изменено: santy - 27.04.2015 11:19:54
[ Как создать образ автозапуска? ]
 
Владимир Вострецов
Владимир Вострецов
Пользователь
Сообщений: 43
Баллов: 21
Регистрация: 23.12.2014
Размещено 27.04.2015 10:58:30
Цитата
santy написал:
по VAULT
1. вышлите в почту [email protected] письмо с вредоносным вложением, лучше в архиве с паролем infected
2. читаем VAULT. что делать
http://chklst.ru/forum/discussion/1481/vault-chto-delat#Item_2
3. из папки %TEMP% юзера откопируйте в архив temp с паролем infected все файлы размером от 500б до 3-4кб, которые были созданы на дату и время запуска шифратора.
архив temp так же вышлите в почту [email protected]
Спасибо! Отправил все необходимое.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.04.2015 11:03:23
доки зашифрованы этим ключом

Цитата
gpg: ключ EFE2B3A5: импортирован открытый ключ "Cellar"
gpg: Всего обработано: 1
gpg:                 импортировано: 1

- Public keyring updated. -

File: X:\active\shifr\bat.encoder.vault\47\Temp\pubring.gpg
Time: 27.04.2015 13:55:41 (27.04.2015 7:55:41 UTC)
такой еще файл поищите, возможно среди удаленных

%temp%\a5180538.fccb9d8d

VAULT.KEY зашифрован этим ключом
Цитата
gpg: зашифровано ключом RSA с ID D6B5E4AA
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\47\Temp\VAULT.KEY
Time: 27.04.2015 14:05:52 (27.04.2015 8:05:52 UTC)
---------
+
вышлите письмо, которое было открыто, и с которого началось заражение.
Изменено: santy - 27.04.2015 11:08:20
[ Как создать образ автозапуска? ]
 
Владимир Вострецов
Владимир Вострецов
Пользователь
Сообщений: 43
Баллов: 21
Регистрация: 23.12.2014
Размещено 27.04.2015 11:28:10
Цитата
santy написал:
доки зашифрованы этим ключом
Цитата
gpg: ключ EFE2B3A5: импортирован открытый ключ "Cellar"
gpg: Всего обработано: 1
gpg:                 импортировано: 1

- Public keyring updated. -

File: X:\active\shifr\bat.encoder.vault\47\Temp\pubring.gpg
Time: 27.04.2015 13:55:41 (27.04.2015 7:55:41 UTC)
такой еще файл поищите, возможно среди удаленных

%temp%\a5180538.fccb9d8d

VAULT.KEY зашифрован этим ключом
Цитата
gpg: зашифровано ключом RSA с ID D6B5E4AA
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\47\Temp\VAULT.KEY
Time: 27.04.2015 14:05:52 (27.04.2015 8:05:52 UTC)
---------
+
вышлите письмо, которое было открыто, и с которого началось заражение.

Этот файл %temp%\a5180538.fccb9d8d не найден.
Письмо переслал, оно будет с адреса [email protected]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.04.2015 11:31:57
письмо, если содержит вложение, желательно в архиве,
или только вложение в архиве с паролем infected,
иначе антивирусы могут прибить по дороге.
[ Как создать образ автозапуска? ]
 
Владимир Вострецов
Владимир Вострецов
Пользователь
Сообщений: 43
Баллов: 21
Регистрация: 23.12.2014
Размещено 27.04.2015 11:42:59
Цитата
santy написал:
письмо, если содержит вложение, желательно в архиве,
или только вложение в архиве с паролем infected,
иначе антивирусы могут прибить по дороге.
Заархивировал и отправил.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.04.2015 12:15:00
да, отправил письмо  с архивом в вирлаб.
по расшифровке документов: без secring.gpg расшифровки не будет.
проверьте наличие теневых копий, или архивных копий документов.
[ Как создать образ автозапуска? ]
 
Владимир Вострецов
Владимир Вострецов
Пользователь
Сообщений: 43
Баллов: 21
Регистрация: 23.12.2014
Размещено 27.04.2015 14:23:44
Цитата
santy написал:
да, отправил письмо  с архивом в вирлаб.
по расшифровке документов: без secring.gpg расшифровки не будет.
проверьте наличие теневых копий, или архивных копий документов.
Я так понимаю что файл был удален после шифровки. Подскажите а если попробовать восстановить его утилитами восстановления файлов, возможно его будет восстановить?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.04.2015 15:51:49
не просто удаляется, а затирается другим контентом, потом еще и удаляется.

Цитата
echo 22c08873a146c31bde2d41975a3443c3 f6c0cb1c780594058f3fd5bc> "%temp%\secring.qpq"
echo dcf8d32cf58509e2 b079e38627a449b5f6c0cb1c063d247223aaa08f>> "%temp%\secring.qpq"
echo dcf8d32c f58509e2b079e386 27a449b5f6c0cb1c 063d247223aaa08f>> "%temp%\secring.qpq"
echo 8ebb1c5d5d815594915c6e9539fd997d 35408bce98523bad6a637799>> "%temp%\secring.qpq"
echo c46f9c20379c7e94 470bfedf404b066abc489daee0f61f5d601820d9>> "%temp%\secring.qpq"
echo 5d815594 470bfedf 5a3443c3de2d4197 29539e2a 063d247223aaa08f>> "%temp%\secring.qpq"
move /y "%temp%\secring.qpq" "%temp%\secring.gpg"

del /f /q "%temp%\secring.gpg"

пробуйте восстановить вообще все что было удалено в папке %temp%
возможно, получится восстановить полезную для расшифровки инфо
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему