santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

новый вариант VAULT от 2ноября 2015г., Filecoder.FH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.07.2016 12:27:18

при импорте этих ключей видна дата создания данных ключей.

на комп они могли попасть и вчера. поэтому дата создания файлов соответствует вчерашней дате.
но созданы эти ключи в 2014 году.

файлы же зашифрованы с помощью другого алгоритма, не gpg

Цитата
gpg: packet(6) with unknown version 27 File: E:\decrypt\DATA\VAULT2\100\Карта предприятия.doc.vault Time: 20.07.2016 16:27:53 (20.07.2016 9:27:53 UTC)

Изменено: santy - 20.07.2016 12:29:46

[ Как создать образ автозапуска? ]

Перейти

новый вариант VAULT от 2ноября 2015г., Filecoder.FH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.07.2016 12:03:19

Николай Щербак,
ключи secring.gpg/pubring.gpg у вас еще от старого шифратора бат-энкодера, который был активен в июне-июле 2014 года.
(0x63D1F277 от 17.07.2014г и
0xDF907172 от 30.06.2014 г)
если у вас сохранились зашифрованные файлы с расширением .unblck@gmail_com или uncrypt@gmail_com, можете прислать несколько файлов с целью проверки их расшифровки.
Если же ключи были просто ранее найдены на форумах, то тем более они бесполезны для последнего случая шифрования.
(из lnk файла)

Новая модификция VAULT, которая сейчас распространяется не использует шифрование GnuPG
--------
архив с lnk файлом удалите из вашего сообщения. форум не место для размещения вирусных тел.
----------------
там история с бат-энкодером развивалась примерно так:
в июне-июле 2014 шифрование было с расширением .unblck@gmail_com или .uncrypt@gmail_com,
по этому варианту есть несколько мастер-ключей, поэтому возможна расшифровка файлов KEY.PRIVATE и извлечение secring.gpg, который нужен для расшифровки файлов.
затем где-то с августа начинает распространяться вариант paycrypt@gmail_com, и следом keybtc@gmail_com, примерно до октября-ноября 2014 года.
с начала 2015 года шифрование бат-энкодером (с шифрованием GNUPG) было уже с расширением VAULT до 2 ноября 2015года.
со 2 ноября 2015г и по сей день шифрование VAULT выполняется уже другим шифратором, с другим алгоритмом шифрования.

Изменено: santy - 20.07.2016 12:22:42

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.07.2016 10:15:02

вот такая была вчера рассылка c vault:

Цитата
На прошлой неделе занесли на компьютер вирусный файл, и он зашифровал всю базу 1С ( Выполнять требования злоумышленников принципиально не будем. Пробуем вернуть все потерянные документы начиная с зимы.

во вложении просто файл: список того чего нет.doc.lnk

Изменено: santy - 20.07.2016 10:15:17

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.07.2016 09:43:40

Игорь Журавлев,

судя по образу система очищена от файлов шифратора

для полной очистки системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES\TOOLKITSERVICE\UPDATES\TKIEHLP2.DLL del %SystemDrive%\PROGRAM FILES\TOOLKITSERVICE\UPDATES\TKIEHLP2.DLL delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://SETSUPDATES.COM/WHV9G3/E9U.PAC delref %SystemDrive%\DOCUMENTS AND SETTINGS\DESIGNER\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&FROM=IE delref HTTP://SEARCH.QIP.RU/IE delref HTTP://QIP.RU delref HTTP://WWW.QIP.RU/ deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\TOOLKITSERVICE\UPDATES\TKIEHLP2.DLL
del %SystemDrive%\PROGRAM FILES\TOOLKITSERVICE\UPDATES\TKIEHLP2.DLL

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://SETSUPDATES.COM/WHV9G3/E9U.PAC
delref %SystemDrive%\DOCUMENTS AND SETTINGS\DESIGNER\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&FROM=IE
delref HTTP://SEARCH.QIP.RU/IE
delref HTTP://QIP.RU
delref HTTP://WWW.QIP.RU/
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
с расшифровкой не поможем.

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.07.2016 07:36:27

Цитата
Сергей Сергеевич написал: По программам понятно. Т.е. никаких файлов с ключами найти не получится? Кстати, как называется этот шифровальщик? (для возможной расшифровки в будущем, вдруг ключи в сети появятся)

Если расширение зашифрованных файлов стало *.vault, значит это и есть VAULT. но надо различать следующие варианты:
до 2 ноября 2015 года был бат-энкодер (с шифрованием GnuPG и ключами secring.gpg/pubring.gpg);
с 2 ноября 2015 года распространяется другой шифратор VAULT. по классификации ESET Filecoder.FH
этот вариант имеет решение по расшифровке, если дата создания шифратора была в интервале 2-10ноября 2015 года.
с 10ноября 2015 года распространяется модифицированный вариант, который не имеет решения по расшифровке, (кроме как за выкуп ключа.)

Изменено: santy - 20.07.2016 07:37:11

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.07.2016 15:07:34

secring.gpg/pubring.gpg в этой версии vault не используются, здесь другой алгоритм шифрования.
по восстановлению из удаленных смотрите r-studio, getdataback, recula, testdisk и другие.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.07.2016 10:28:41

payload_c.exe:
https://www.virustotal.com/ru/file/50b31ffb7aafdc0ec0275559ec96811ca76c706d798504b6209984ed6f34c0c6/analysis/1468913212/

+
проверьте на virustotal.com этот файл
C:\USERS\ZHVA\DESKTOP\ACC2_RVZ_ФИЛЬТРID_ПРИКАЗ_ОТЧИСЛЕНИЕ_120716.EXE

Изменено: santy - 19.07.2016 10:35:16

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.07.2016 10:03:14

добавьте еще лог выполнения скрипта.
это файл лога дата_времяlog.txt, он должен быть в папке uVS после выполнения скрипта,
+ проверьте, не попали исполняемые файлы в карантин антивируса, поскольку в ZOO их нет, только текстовое описание.
ранние варианты [email protected] были с расшифровкой, возможно за это время вирусописатели модифицировали шифратор. надо проверять.

если у вас лицензированный продукт ESET, напишите в [email protected]
нужны будут:
несколько зашифрованных файлов,
чистые файлы, если есть точные копии для зашифрованных файлов,
тело шифратора.
лог ESET Log collector с компа, на котором произошло шифрование.

Изменено: santy - 19.07.2016 10:06:52

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.07.2016 08:55:14

@reaviz Reaviz,
при выполнении скрипта система будет перезагружена,
скрипт выполнить под учетной записью с правами администратора.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 OFFSGNSAVE zoo %SystemDrive%\USERS\AUDIT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-58AE7F9C.{[email protected]}.XTBL addsgn 1A4F759A5583CC8CF42BFB3A88230DFA508214BDAFFA1F210003B0AED3AB79B356102BBC38559DA22E6843994616B68F75372A5455DAE9A9ED0370720453A99F 8 filecoder.fly zoo %SystemDrive%\USERS\AUDIT\APPDATA\ROAMING\PAYLOAD_C.EXE zoo %SystemDrive%\USERS\AUDIT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PAYLOAD_C.EXE del %SystemDrive%\USERS\AUDIT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-58AE7F9C.{[email protected]}.XTBL ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
OFFSGNSAVE
zoo %SystemDrive%\USERS\AUDIT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-58AE7F9C.{[email protected]}.XTBL
addsgn 1A4F759A5583CC8CF42BFB3A88230DFA508214BDAFFA1F210003B0AED3AB79B356102BBC38559DA22E6843994616B68F75372A5455DAE9A9ED0370720453A99F 8 filecoder.fly

zoo %SystemDrive%\USERS\AUDIT\APPDATA\ROAMING\PAYLOAD_C.EXE
zoo %SystemDrive%\USERS\AUDIT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PAYLOAD_C.EXE
del %SystemDrive%\USERS\AUDIT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-58AE7F9C.{[email protected]}.XTBL
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z) отправить в почту [email protected]
------------

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.07.2016 05:48:59

можно и в другое, в ЛК или Дрвеб, но и они оказывают помощь в расшифровке (бесплатно) только лицензионным пользователям.

[ Как создать образ автозапуска? ]

Перейти