Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 490 491 492 493 494 495 496 497 498 499 500 ... 1784 След.
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.11.2015 10:18:34
думаю, да. как только появятся счастливчики, которым удастся расшифровать свои документы, напишут. :)
---------
запускается он следующим образом, через lnk файл:
C:\WINDOWS\system32\wbem\WMIC.exe process call create "C:\Windows\SYSTEM32\GnuPG\GnuPG.cmd"
так же lnk- файл прописывается в автозапуск.
[QUOTE]HKLM\Software\Microsoft\Windows\CurrentVersion\Run\GnuPG
C:\Windows\SYSTEM32\GnuPG\GnuPG.lnk
[/QUOTE]
здесь GnuPG произвольная скрытая папка (к реальному GnuPG не имеет отношения), создаваемая в каталоге system32
GnuPG.cmd - произвольное имя файла, копия файла, извлекаемая из закодированного js
расширение так же может быть произвольным.

при каждом новом запуске, может быть другое имя скрытого каталога, и соответственно новое имя файла, который запускается через wmic

WMIC - это системный файл.
Изменено: santy - 05.11.2015 11:29:25
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.11.2015 10:04:11
возможно кто-либо (ESET, DrWeb, ЛК) найдут решение по дешифровке файлов. Следите на технических форумах. Папку с документами лучше сохранить до лучших времен. Так же сохраните VAULT.key и Confirmation.key
а пока надо восстанавливать документы вручную, и защитить папку с документами в HIPS. (если это не сетевая папка)
и разрешить работать с документами только доверенным приложениям.
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.11.2015 07:08:00
обращаем ваше внимание,
что новый вариант шифратора, который распространяется со 2 ноября в электронной почте, в архивах с вложением js использует новый алгоритм шифрования.
прежние методы расшифровки с помощью GnuPG и секретного ключа secring.gpg не работают.

[QUOTE]gpg: packet(3) with unknown version 203

File: X:\active\shifr\VAULT.2.new\1\визитка.pdf.vault
Time: 05.11.2015 10:07:09 (05.11.2015 4:07:09 UTC)
[/QUOTE]
при этом шифратор будет отключать теневые копии через vssadmin.exe.
после выполнения своей работы удаляется.
остаются файлы vault.key, confirmatiom.key, vault.hta
в vault.key зашифрован ключ, который необходим для расшифровки документов.
---------

[B][SIZE=14pt]информация для тех, кто пострадал от шифратора ВАУЛТ в период от 2 до 10 ноября 2015 года: обращайтесь в техподдержку [email protected] при наличие лицензии.
расшифровка есть в техподдержке.[/SIZE][/B]
Изменено: santy - 17.06.2016 07:13:55
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.11.2015 06:52:06
Кристина,
ответил вам в почту, ну и здесь добавлю.
1. что secring.gpg это уникальный ключ, для другого случая шифрования он не подходит.
2. декодер от мошенников вместе с ключом соответственно будет полезен только тому, кому он был выписан после оплаты.
3. вариант ВАУЛТ, который рассылается со 2 ноября отличается от прежнего ваулта, который рассылался до 30октября.
отличается алгоритмом шифрования, поэтому прежние декодеры и ключи здесь никак не помогут.
------------
вот такие мелочи для полноты картины.
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.11.2015 19:23:08
Кристина,
а ключ secring.gpg где вы нашли? на компе вашего клиента или в сети?
уточните когда было шифрование,
вышлите ключ в почту [email protected] для проверки. + можно один из зашифрованных файлов.
Изменено: santy - 10.08.2016 09:26:07
Перейти
Медленно открываются сайт
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.11.2015 13:56:44
проверьте еще в FF и Chrome.
возможно антивирус ваш глючит
Перейти
Медленно открываются сайт
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.11.2015 13:27:52
пробуйте перезаписать winsock
с помощью команды
netsh winsock reset catalog
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.11.2015 13:25:44
Вячеслав Буханов,
да, все верно.
напишите в [email protected] при наличие лицензии на антивирус ESET
зашифрованные документы стоит сохранить, возможно решение по расшифровке будет найдено.
Изменено: santy - 10.08.2016 09:26:07
Перейти
Медленно открываются сайт
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.11.2015 12:51:28
с каким браузером работаете? проверьте как работают другие браузеры.
Перейти
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.11.2015 12:42:31
Алексей Шумаков,
вышлите найденные файлы в почту [email protected]
+ несколько зашифрованных файлов
Перейти
Пред. 1 ... 490 491 492 493 494 495 496 497 498 499 500 ... 1784 След.