Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи Дмитрий Аверин
Выбрать дату в календареВыбрать дату в календаре

1
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
Дмитрий Аверин
Дмитрий Аверин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 05.03.2015
Размещено 05.03.2015 13:05:49
А в какой момент злоумышленник получает ключ?
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
Дмитрий Аверин
Дмитрий Аверин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 05.03.2015
Размещено 05.03.2015 12:49:48
А если провести анализ скрипта, который инициирует запуск шифрования? Вполне возможно, что ключи создаются с одним и тем же набором параметров, только идентификаторы присваиваются разные. Представим ситуацию : я зашифровал файл, а ключ потерял, разве нельзя его восстановить по тем данным, которые я использовал при создании утерянного?
Изменено: Дмитрий Аверин - 04.06.2016 17:50:39
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
Дмитрий Аверин
Дмитрий Аверин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 05.03.2015
Размещено 05.03.2015 12:26:48
Все таки ID ключа можно изменить или нет? Ведь можно данный ключ настраивать.
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
Дмитрий Аверин
Дмитрий Аверин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 05.03.2015
Размещено 05.03.2015 12:16:35
Хотелось бы сказать, что автор молодец, но испортил работу изрядно нам.
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
Дмитрий Аверин
Дмитрий Аверин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 05.03.2015
Размещено 05.03.2015 12:08:09
Спасибо! Получается, что на первоначально зараженном компьютере файлы secring.gpg и vaultkey.vlt были сначала перезаписаны в 0 а затем удалены. Восстановить их не возможно.   Интересно, а нельзя изменить ID ключа?
Изменено: Дмитрий Аверин - 04.06.2016 17:50:39
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
Дмитрий Аверин
Дмитрий Аверин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 05.03.2015
Размещено 05.03.2015 12:00:35
 не находит :(. А если бы нашел, то как его достать?
Изменено: Дмитрий Аверин - 04.06.2016 17:49:57
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
Дмитрий Аверин
Дмитрий Аверин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 05.03.2015
Размещено 05.03.2015 11:49:00
Просто процедуру повторял несколько раз. Мне удалось поймать файл secring.gpg в нужный момент и расшифровать файлы.
При каждом запуске вируса создается ключ с уникальным ID
Изменено: Дмитрий Аверин - 04.06.2016 17:49:57
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
Дмитрий Аверин
Дмитрий Аверин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 05.03.2015
Размещено 05.03.2015 11:45:37
Спасибо за ответ! Да так и есть. Уже все понял. Данный файл я получил повторно заражая компьютер и в определенный момент выключив его. Теперь проблема как восстановить первоначальный secring.gpg
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
Дмитрий Аверин
Дмитрий Аверин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 05.03.2015
Размещено 05.03.2015 11:31:52
отправлено
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
Дмитрий Аверин
Дмитрий Аверин
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 05.03.2015
Размещено 05.03.2015 10:58:34
Цитата
santy написал:
зашифрованных файлов много?

как вариант, установить GnuGPG, легальный пакет отсюда
ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.19.exe
и использовать для расшифровки модуль gpg.exe с ключом дешифрования.
предварительно надо импортировать ваш секретный ключ

если файлов много, то конечно лучше использовать бат-декриптор, который должен обойти все каталоги с зашифрованными файлами и запускать команду дешифрования.
Код
 импорт ключа
gpg.exe --import c:\ваш файл\secring.gpg

расшифровка документа
gpg.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files c:\ваш зашифрованный файл\документ.xls.vault
если сами сможете написать батник, то надо все таки протестрировать команды, и убедиться что они расшифровывают документы.
его можно написать таким образом, чтобы расшифрованные файлы были помещены в тот же каталог, где лежит его аналог в зашифрованном виде.
вообщем написать нормальный бат-декриптор.
Добрый день! Постигла та же участь с зашифрованными файлами, но удалось вытащить файл secring.gpg ненулевой. Программа gnupg его импортирует и дает работать. Как теперь можно расшифровать файлы? Спасибо.
Перейти
1