Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 608 609 610 611 612 613 614 615 616 617 618 ... 1784 След.
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.03.2015 10:06:32
зашифрованных файлов много?

как вариант, установить GnuGPG, легальный пакет отсюда
ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.19.exe
и использовать для расшифровки модуль gpg.exe с ключом дешифрования.
предварительно надо импортировать ваш секретный ключ

если файлов много, то конечно лучше использовать бат-декриптор, который должен обойти все каталоги с зашифрованными файлами и запускать команду дешифрования.
Код
импорт ключа
gpg.exe --import c:\ваш файл\secring.gpg

расшифровка документа
gpg.exe --batch --passphrase-fd 0 --no-verbose -q --decrypt-files c:\ваш зашифрованный файл\документ.xls.vault
если сами сможете написать батник, то надо все таки протестрировать команды, и убедиться что они расшифровывают документы.
его можно написать таким образом, чтобы расшифрованные файлы были помещены в тот же каталог, где лежит его аналог в зашифрованном виде.
вообщем написать нормальный бат-декриптор.
Изменено: santy - 04.06.2016 17:49:00
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.03.2015 09:05:08
1. незашифрованными файлами можно пользоваться,
2. переустанавливать систему нет необходимости, достаточно просто удалить из %TEMP% юзера все запчасти от шифратора.
3. проверьте, есть ли в %TEMP% ненулевые файлы secring.gpg или vaultkey.vlt, если найдете (вышлите в почту [email protected]), то можно расшифровать, то что зашифровано.
4. проверьте так же возможность восстановить документы из теневой копии тома. (если включена защита дисков)
5. дешифратора от вирлабов в ближайшее время не будет, и вообще не будет.

в принципе дешифратор есть в природе - это легальный пакет GnuPG (gpg.exe), но ему нужен ключ (secring.gpg), который был создан на вашей системе при запуске шифратора.
Изменено: santy - 04.06.2016 18:40:10
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2015 18:48:31
тогда еще вариант поискать в удаленных файлах на диске secring.gpg или valtkey.vlt с помощью утилит по работе с удаленными файлами.
Изменено: santy - 04.06.2016 17:49:00
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2015 18:27:27
403.vlt - это скорее всего и есть audiodg.exe.
в таком виде был доставлен на комп из сети, а затем уже переименован.
да, судя по командам из варианта энкодера.
Цитата
REN "%TEMP%\301.vlt" audiodg.exe
REN "%TEMP%\logs.vlt" svchost.exe
REN "%TEMP%\TEMP.vlt" tick.exe
посмотрите, у него в свойствах файла может быть прописано sdelete.exe. т.е. это на самом деле легальная утилита Руссиновича для надежного удаления файлов.

без secring.gpg расшифровать не получится, если 0 байт, то это по сути затертый и бесполезный ключ.
только если восстановление возможно из теневых или архивных копий.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2015 18:17:54
да, конечно,
если помощь или совет в пределах моей компетенции.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2015 18:10:06
CONFIRMATION.KEY так же как VAULT.KEY зашифрованы pub ключом злоумышленников.
расшифровать можно только их секретным, который здесь никак не светится кроме ID ключа.

этот ключ такой:

Цитата
gpg: зашифровано 1024-битным ключом RSA, с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
----------
да, конечно.
вам повезло. ключ в руках и вы сможете расшифровать документы.
Изменено: santy - 04.06.2016 17:49:00
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2015 18:00:00
значит, нет, значит удалился, в вот почему secring.gpg остался в живых после такого удаления, конечно вопрос.

Цитата
"%TEMP%\audiodg.exe" /accepteula -p 16 -q "%TEMP%\secring.gpg"
"%TEMP%\audiodg.exe" /accepteula -p 16 -q "%TEMP%\vaultkey.vlt"
"%TEMP%\audiodg.exe" /accepteula -p 16 -q "%TEMP%\confclean.list"
вот этот еще файл посмотрите:
Цитата
confclean.list
в нем хранится список всех зашифрованных файлов, и он шифруется, и записывается в CONFIRMATION.KEY
Изменено: santy - 04.06.2016 17:48:15
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2015 17:51:16
а этот файл?
Цитата
vaultkey.vlt
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2015 17:43:15
в частности, вот эта утилитка есть или нет?
Цитата
audiodg.exe
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.03.2015 17:40:06
а шифрование завершилось выставлением заставки vault.hta? в таком случае посмотрите есть ли файл vaultkey.vlt?
Цитата
vaultkey.vlt
в него импортируется секретный ключ secring.gpg, и затем шифруется с помощью pub key злоумышленников, и затем переименовывается в VAULT.key

после завершения шифрования vaultkey.vlt так же должен удалиться.

посмотрите, какие еще есть батники и exe в этой папке с датой создания 2.03.2015
Изменено: santy - 04.06.2016 17:48:15
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 608 609 610 611 612 613 614 615 616 617 618 ... 1784 След.