http://forum.esetnod32.ru Новое в теме VAULT. что делать? форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Tue, 28 Apr 2026 06:49:17 +0300 VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Andrew Komissarov написал:
Странно вот что. Зашифровались практически только вордовские и экселевские файлы.

=============
вчера действительно была рассылка ВАУЛТ-а, возможно что так и есть, что зашифрованы были только офисные документы.
11.12.2015 12:53:21, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89981/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89981/ Fri, 11 Dec 2015 12:53:21 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Вчера позвонил один старый клиент. Поймали vault.
Причем он ясно видел, что расширение файла .js но у него даже сомнения не возникло, что его можно открывать.
Уже после, он почитал форумы и набрался информации.

Странно вот что. Зашифровались практически только вордовские и экселевские файлы.
Ни базы 1c, ни картинки, ни pdf, ни архивы не тронуты.
Причем вирус похоже отработал до конца, поскольку MSE начал ругаться на vault.hta
И шифрование никак не прерывали, поскольку просто не понимали, что происходит.
Насколько я помню, раньше шифровалось все.

Это новая тенденция такая у vault-а или им просто почему-то повезло?

P.S. Теневые копии разумеется удалились. Но у них был двухнедельной давности бэкап на внешнем диске. Так что все закончилось не очень плохо.
11.12.2015 12:17:09, Andrew Komissarov.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89974/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89974/ Fri, 11 Dec 2015 12:17:09 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
да, правила понятны
использую подобную пару в том числе для защиты сетевых папок.
запрещаю всем, и разрешаю доступ к сетевым папкам или дискам для доверенных приложений.
\\files\users\user_nnn\*.*
или
\\files\groups\group_nn\*.*
это работает в ендпойнте 5.

по бэкапам можно добавить (к защите данной папки в ESET), что на папку f:\backup права записи и удаления должны быть только у учетной записи, под которой запускается задача архивирования.
20.11.2015 17:33:18, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89423/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89423/ Fri, 20 Nov 2015 17:33:18 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Я имел в виду вот такие два правила. Думаю по скрину понятно:


20.11.2015 17:22:56, Andrew Komissarov.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89422/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89422/ Fri, 20 Nov 2015 17:22:56 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Andrew Komissarov написал:
Я то писал конкретно про бэкапы на файловом сервере. Не всегда есть возможность хранить их на сьемных дисках.
=============
здесь согласен.
+
конечно нельзя допускать, чтобы шифратор был запущен на сервере,
и нельзя чтобы к этим папкам был доступ у обычных юзеров. тогда и шифратор (запустившись на компе юзера) не дотянется до этих папок с бэкапами.
20.11.2015 14:27:45, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89413/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89413/ Fri, 20 Nov 2015 14:27:45 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:

====quote====
Andrew Komissarov   написал:
Кстати, до меня недавно дошло, что через HIPS очень удобно папки с бэкапами защищать.
Одно правило запрещает для этой папки запись и удаление,
а второе разрешает это программе, которая делает бэкап.
=============
вот если бы это правило еще работало для сетевых папок, тогда это было бы крайне полезным.
(поскольку, как правило, именно на сетевых папках (файлового сервера) хранятся рабочие документы сотрудников.)
пока что данное правило (для сетевых папок) работает в Endpoint 5 и на удивление, не работает в Endpoint 6
=============
Надо разработчиков подергать, тут вам флаг в руки.
Но вы видимо имеете в виду защиту рабочих файлов.
Я то писал конкретно про бэкапы на файловом сервере. Не всегда есть возможность хранить их на сьемных дисках.
20.11.2015 12:10:12, Andrew Komissarov.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89408/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89408/ Fri, 20 Nov 2015 12:10:12 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Andrew Komissarov написал:
Кстати, до меня недавно дошло, что через HIPS очень удобно папки с бэкапами защищать.
Одно правило запрещает для этой папки запись и удаление,
а второе разрешает это программе, которая делает бэкап.
=============
вот если бы это правило еще работало для сетевых папок, тогда это было бы крайне полезным.
(поскольку, как правило, именно на сетевых папках (файлового сервера) хранятся рабочие документы сотрудников.)
пока что данное правило (для сетевых папок) работает в Endpoint 5 и на удивление, не работает в Endpoint 6
20.11.2015 11:33:10, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89407/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89407/ Fri, 20 Nov 2015 11:33:10 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
да, не работают.
но это рекомендации больше домашнему пользователю относится.
+ бат-энкодер пока не актуален.
=============
А для недомашних есть групповые политики.

Кстати, до меня недавно дошло, что через HIPS очень удобно папки с бэкапами защищать.
Одно правило запрещает для этой папки запись и удаление,
а второе разрешает это программе, которая делает бэкап.
12.11.2015 19:26:12, Andrew Komissarov.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89162/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89162/ Thu, 12 Nov 2015 19:26:12 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
да, не работают.
но это рекомендации больше домашнему пользователю относится.
+ бат-энкодер пока не актуален.
12.11.2015 10:03:49, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89142/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89142/ Thu, 12 Nov 2015 10:03:49 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg.

=============
Запрещать на каждой машине по отдельности? через системные переменные вроде не работают правила.
12.11.2015 09:50:41, Роман.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89141/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89141/ Thu, 12 Nov 2015 09:50:41 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Сира,
вышлите в почту safety@chklst.ru найденный ключ secring.gpg а так же несколько зашифрованных документов
для проверки возможности расшифровки.
10.11.2015 16:49:40, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89115/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89115/ Tue, 10 Nov 2015 16:49:40 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
Александр,
для расшифровки своими силами этих файлов недостаточно. нужен ваш secring.gpg
http://chklst.ru/forum/discussion/1481/vault-chto-delat

для расшифровки документов с помощью мошенников (и за деньги), этого достаточно, поскольку у них есть секретный ключ к VAULT.key
=============
Добрый день! мой компьютер также был подвержен атаке VAULT.
на своем компьютере я нашла  secring.gpg, но что мне делать с ним далее?
10.11.2015 14:50:11, Сира Чрагян.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89114/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89114/ Tue, 10 Nov 2015 14:50:11 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Александр Подлесный,
ключ secring.gpg
(gpg: key DB754423: already in secret keyring)
не имеет отношения к вашим зашифрованным файлам.
они зашифрованы новым вариантом шифратора, который использует другой алгоритм шифрования. не openPGP

gpg: no valid OpenPGP data found.
gpg: processing message failed: eof

File: X:\viruses\shifratory\VAULT.new\22\Акт приема-передачи  материальныценностей.docx.vault
Time: 07.11.2015 23:13:27 (07.11.2015 17:13:27 UTC)
07.11.2015 20:16:32, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89055/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89055/ Sat, 07 Nov 2015 20:16:32 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
Александр,
вышлите в почту safety@chklst.ru ключ secring.gpg и несколько зашифрованных файлов для проверки возможности расшифровки
=============
Только что Вам отправил, надеюсь у Вас получиться все. Может в спам сейчас попадем мое письмо. Жду Вашего рассмотрения, помощи.
07.11.2015 19:48:19, Александр Подлесный.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89052/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89052/ Sat, 07 Nov 2015 19:48:19 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
к сожалению, ключ не рабочий.
07.11.2015 19:28:42, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89048/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89048/ Sat, 07 Nov 2015 19:28:42 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
Александр,
вышлите в почту safety@chklst.ru ключ secring.gpg и несколько зашифрованных файлов для проверки возможности расшифровки
=============
отправил
07.11.2015 19:10:32, Александр Богомолов.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89047/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89047/ Sat, 07 Nov 2015 19:10:32 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Александр,
вышлите в почту safety@chklst.ru ключ secring.gpg и несколько зашифрованных файлов для проверки возможности расшифровки
07.11.2015 18:57:11, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89043/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89043/ Sat, 07 Nov 2015 18:57:11 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
Александр,
если шифрование было после 2 ноября, то ключ secring.gpg не имеет отношение к данному варианту шифратора ВАУЛТ.
обсуждение по новому варианту ВАУЛТ здесь
http://forum.esetnod32.ru/forum35/topic12600/
=============
Нет, прилетело 29-30 октября
07.11.2015 18:08:02, Александр Богомолов.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89042/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89042/ Sat, 07 Nov 2015 18:08:02 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Александр,
если шифрование было после 2 ноября, то ключ secring.gpg не имеет отношение к данному варианту шифратора ВАУЛТ.
обсуждение по новому варианту ВАУЛТ здесь
http://forum.esetnod32.ru/forum35/topic12600/
07.11.2015 17:56:42, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89040/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89040/ Sat, 07 Nov 2015 17:56:42 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день!
Есть файлы vault.key и secring.gpg (не нулевой). Но не пойму что дальше делать. Подскажите пожалуйста
07.11.2015 17:39:24, Александр Богомолов.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message89038/ http://forum.esetnod32.ru/messages/forum35/topic11845/message89038/ Sat, 07 Nov 2015 17:39:24 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
Alex_Serena,
предложите прочесть вашим сотрудниками эти статьи

=============
Спасибо ! Скачал, разошлю всем своим.
05.11.2015 13:35:51, Alex_Serena Alex_Serena.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message88976/ http://forum.esetnod32.ru/messages/forum35/topic11845/message88976/ Thu, 05 Nov 2015 13:35:51 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Alex_Serena,
предложите прочесть вашим сотрудниками эти статьи
шифровирусы шумной толпою
иварианты документов с шифраторами
05.11.2015 10:43:37, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message88971/ http://forum.esetnod32.ru/messages/forum35/topic11845/message88971/ Thu, 05 Nov 2015 10:43:37 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Алексей Томских написал:
лексей, у меня тоже нашлась куча файлов. Но они на 99% зашифрованы, по ходу сперва шифруется, потом расширение меняется, а потом уже удаляется зашифрованный оригинал.
Печально, что лицензионный бизнес нод не видит запущенные процессы шифровальщика. только после ручного пристрела некоторых приложений... но это было на второй день ;о(
=============

Приветствую собратьев по несчастью !

Всё тоже самое у нас произошло 3 ноября, полностью зашифровались доки на одном компе (после того как запустили js файл с вирусом комп стал тупить, его перегрузили и вирус начал шифровку). На другом компе вирус запустили, но комп не перегружали. Перегрузил я его когда уже знал что он заражён и НОД32 там хоть как то сработал. Вирус там начал шифровать с временных папок, до Моих документов не добрался, я его успел вручную убить, скрытая папка IEData в Windows/System32 была им создана. НОД32 пытался убивать его файлы, но он их сначала генерил периодически пачками по 6 штук (файл vault.hta), 8 раз принимался, а потом по нескольку штук в секунду когда я нашёл эту папку и стал удалять самые свежие фалы в ней. После удаления всей папки всё стихло... Этот комп выжил и ничего не пропало. А вот на втором компе, на который с этого было переслано письмо с вирусом, полностью закодированы доки. Сохраню их все, надеюсь что дешифратор таки появится.
05.11.2015 10:34:18, Alex_Serena Alex_Serena.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message88970/ http://forum.esetnod32.ru/messages/forum35/topic11845/message88970/ Thu, 05 Nov 2015 10:34:18 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Алексей Сафронов написал:
Добрый вечер!
Словили такую заразу сегодня, причем письмо пришло от контрагентов, поэтому и не вызвало ни каких сомнений. Установил и загрузился с чистого жесткого диска Windows7 32bit,  есть тимвивер, могу установить еще хоть что. Беглый осмотр дал: зашифровались только doc, xls, pdf, может еще чего. Картинки, фото, фильмы не тронулись.  в папочке E:\Users\Елена\AppData\Roaming есть файлы CONFIRMATION.key, VAULT.hta, VAULT.key. поймали 2 ноября - похоже новая версия. Скажите, пожалуйста, какой конкретно файл поискать для расшифровки. могу предоставить доступ по тимвиверу. СПАСИБО!!!
Рекувой вот что нашлось - гляньте,пожалуйста, что может помочь. Все фотки (jpg, bmp, png) и фильмы с телефонов не зашифровались!!! среди зашифрованных доков нашел файлы - 0B3F8B00, 14C74E40, 97DC4E40 правда даты там давние 19-03-2013, 4-08-2010.
=============
Алексей, у меня тоже нашлась куча файлов. Но они на 99% зашифрованы, по ходу сперва шифруется, потом расширение меняется, а потом уже удаляется зашифрованный оригинал.
Печально, что лицензионный бизнес нод не видит запущенные процессы шифровальщика. только после ручного пристрела некоторых приложений... но это было на второй день ;о(
05.11.2015 05:41:48, Алексей Томских.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message88955/ http://forum.esetnod32.ru/messages/forum35/topic11845/message88955/ Thu, 05 Nov 2015 05:41:48 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день.
2 ноября тоже поймали этот вирус. Примерное время заражения знаем.
Восстановил программой Recuva на отдельный диск все файлы 2 числа, вирус зашифровал только doc. и xls.  
Имеются CONFIRMATION.KEY и VAULT.KEY, файлы pubring.gpg а secring.gpg в удалённых не найдены.
Можем выслать образцы зашифрованных файлов, и восстановленные файлы, созданные в за период заражения.
Какие файлы вам можно выслать для анализа? У нас, как я понимаю, новая версия этого вируса.

Спасибо.  
04.11.2015 13:56:29, Павел Лебедь.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message88947/ http://forum.esetnod32.ru/messages/forum35/topic11845/message88947/ Wed, 04 Nov 2015 13:56:29 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
santy, выслал.
Спасибо.
04.11.2015 13:02:25, Александр Шумаков.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message88940/ http://forum.esetnod32.ru/messages/forum35/topic11845/message88940/ Wed, 04 Nov 2015 13:02:25 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Алексей Шумаков,
вышлите найденные файлы в почту safety@chklst.ru
+ несколько зашифрованных файлов
04.11.2015 12:42:31, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message88937/ http://forum.esetnod32.ru/messages/forum35/topic11845/message88937/ Wed, 04 Nov 2015 12:42:31 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день.
2 ноября поймали этот вирус. Примерное время заражения знаем.
Восстановил программой R-Studio на отдельный диск все файлы, созданные между 2 и 3-м числом.
Имеются CONFIRMATION.KEY и VAULT.KEY, файлы pubring.gpg а secring.gpg в удалённых не найдены.
Можем выслать образцы зашифрованных файлов, и восстановленные файлы, созданные в за период заражения.
Какие файлы вам можно выслать для анализа? У нас, как я понимаю, новая версия этого вируса.

Спасибо.

 
03.11.2015 15:17:58, Александр Шумаков.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message88928/ http://forum.esetnod32.ru/messages/forum35/topic11845/message88928/ Tue, 03 Nov 2015 15:17:58 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Алексей  Сафонов,
вышлите в почту safety@chklst.ru
03.11.2015 09:54:18, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message88917/ http://forum.esetnod32.ru/messages/forum35/topic11845/message88917/ Tue, 03 Nov 2015 09:54:18 +0300 Шифровальщики файлов и подбор дешифраторов VAULT. что делать? bat encoder / CryptVault в форуме Шифровальщики файлов и подбор дешифраторов.
Santy, подскажите, пожалуйста. Похоже словили новый вирус - фотки не тронуты, *.mov тоже.  Рекувой доступны следующие файлы- посмотрите, пожалуйста, на фотке выше. Если что то более-менее похожее на ключ - скажите восстановлю и вышлю Вам вместе с шифрованными файлами. диски F и E  - это бывшие С и D (было 2 жестких - один с виндой и второй с профилем пользователя и всякими файлами). второй и третий сверху в папочке F:\Windows\Temp - очень похожи на то что нужно. Можно Вам выслать? СПАСИБО!!!
03.11.2015 08:34:57, Алексей Сафронов.]]> http://forum.esetnod32.ru/messages/forum35/topic11845/message88913/ http://forum.esetnod32.ru/messages/forum35/topic11845/message88913/ Tue, 03 Nov 2015 08:34:57 +0300 Шифровальщики файлов и подбор дешифраторов