Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Вирус изменил названия файлов

RSS
 
Владимир Вострецов
Владимир Вострецов
Пользователь
Сообщений: 43
Баллов: 21
Регистрация: 23.12.2014
Размещено 27.04.2015 10:14:18
Здравствуйте!
По интернету пришло письмо, кадровик его открыла и после этого на всех файлах Office добавлено за расширением .vault. Помогите вернуть все файлы в исходное состояние.

Ответы

Пред. 1 2
 
Владимир Вострецов
Владимир Вострецов
Пользователь
Сообщений: 43
Баллов: 21
Регистрация: 23.12.2014
Размещено 27.04.2015 16:12:46
С помощью утилиты восстановления файлов нашел файл svchost.exe, a2b0796b.83469cdb
 
Владимир Вострецов
Владимир Вострецов
Пользователь
Сообщений: 43
Баллов: 21
Регистрация: 23.12.2014
Размещено 27.04.2015 16:25:52
Цитата
santy написал:
не просто удаляется, а затирается другим контентом, потом еще и удаляется.
Цитата
echo 22c08873a146c31bde2d41975a3443c3 f6c0cb1c780594058f3fd5bc> "%temp%\secring.qpq"
echo dcf8d32cf58509e2 b079e38627a449b5f6c0cb1c063d247223aaa08f>> "%temp%\secring.qpq"
echo dcf8d32c f58509e2b079e386 27a449b5f6c0cb1c 063d247223aaa08f>> "%temp%\secring.qpq"
echo 8ebb1c5d5d815594915c6e9539fd997d 35408bce98523bad6a637799>> "%temp%\secring.qpq"
echo c46f9c20379c7e94 470bfedf404b066abc489daee0f61f5d601820d9>> "%temp%\secring.qpq"
echo 5d815594 470bfedf 5a3443c3de2d4197 29539e2a 063d247223aaa08f>> "%temp%\secring.qpq"
move /y "%temp%\secring.qpq" "%temp%\secring.gpg"

del /f /q "%temp%\secring.gpg"
пробуйте восстановить вообще все что было удалено в папке %temp%
возможно, получится восстановить полезную для расшифровки
Направил восстановленные файлы папки TEMP
 
Владимир Вострецов
Владимир Вострецов
Пользователь
Сообщений: 43
Баллов: 21
Регистрация: 23.12.2014
Размещено 27.04.2015 16:44:43
Направил восстановленные файлы папки TEMP программой 7-data (2 вариант).
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.04.2015 17:59:32
нет, к сожалению, и во втором варианте ключа secring.gpg
[ Как создать образ автозапуска? ]
 
Alex Dragon
Alex Dragon
Пользователь
Сообщений: 1
Регистрация: 20.05.2015
Размещено 20.05.2015 09:39:29
Цитата
santy написал:
доки зашифрованы этим ключом
Цитата
gpg: ключ EFE2B3A5: импортирован открытый ключ "Cellar"
gpg: Всего обработано: 1
gpg:                 импортировано: 1

- Public keyring updated. -

File: X:\active\shifr\bat.encoder.vault\47\Temp\pubring.gpg
Time: 27.04.2015 13:55:41 (27.04.2015 7:55:41 UTC)
такой еще файл поищите, возможно среди удаленных

%temp%\a5180538.fccb9d8d

VAULT.KEY зашифрован этим ключом
Цитата
gpg: зашифровано ключом RSA с ID D6B5E4AA
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\47\Temp\VAULT.KEY
Time: 27.04.2015 14:05:52 (27.04.2015 8:05:52 UTC)
---------
+
вышлите письмо, которое было открыто, и с которого началось заражение.

Добрый день!
А файл %temp%\a5180538.fccb9d8d поможет для восстановления???Просто у меня он засейвился, ясное дело только имя другое
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.05.2015 10:45:46
Alex,
надо смотреть что там внутри этого файла. там много файлов создается в папке temp
если есть такие строки в файле, тогда поможет.
Цитата
-----BEGIN PGP PRIVATE KEY BLOCK-----
Version: GnuPG v1
........................
-----END PGP PRIVATE KEY BLOCK-----
Изменено: santy - 20.05.2015 10:46:10
[ Как создать образ автозапуска? ]
 
Пред. 1 2
Читают тему