Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

новый вариант VAULT от 2ноября 2015г., Filecoder.FH
Цитата
Игорь Смирнов написал:
Здравствуйте коллеги!
Подскажите, как первично обезвредить сам вирус, что бы первично можно было пользоваться компьютером, а вирус не шифровал бы дальше все что есть и будет потом? Как вырвать эту заразу? Но что бы не повредить саму возможность последующей расшифровки!
Идите на форум Virusinfo и создайте свою тему в разделе "Помогите".
http://virusinfo.info/forumdisplay.php?f=92

santy
Я никаких правил этой ссылкой не нарушаю?
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
Цитата
santy написал:
да, не работают.
но это рекомендации больше домашнему пользователю относится.
+ бат-энкодер пока не актуален.
А для недомашних есть групповые политики.

Кстати, до меня недавно дошло, что через HIPS очень удобно папки с бэкапами защищать.
Одно правило запрещает для этой папки запись и удаление,
а второе разрешает это программе, которая делает бэкап.
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
Цитата
alex Alekseev написал:
ГДЕ ДЕШИФРАТОР? вы что пытаетесь мне доказать? я вам факт, а вы мне глупую лирику...я вам написал что ваши конкуренты не спят как вы,а сделали дешифратор...а вы в ответ: "админы и пользователи дураки"... вы вообще понимаете суть вопроса? суть вопроса что при включенном антивирусе НОД32 зашифровался компьютер...зачем тогда нужны вы если у вас антивирус дырявый...ваша проблема - исправляйте!
Тут недавно на форуме DrWeb-а один пользователь так же патетически вопрошал, почему у них до сих пор нет дешифратора на .xtbl в то время как у других он уже есть.
Видимо теперь будет на Касперского переходить  :)
А насчет дырявых антивирусов - неужели непонятно, что прежде чем рассылать новый шифровальщик, его авторы добиваются чтобы его никто не детектировал.
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
Цитата
alex Alekseev написал:
Причем у нас есть лицензии нод и касперского и как на зло нет доктор веба...по факту оба имеющихся антивируса оказались бессильны в проблеме...делаю вывод нужно переходить туда где оперативнее помощь. следующие закупки антивирусов буду делать на доктор веба
Если пользователь не соблюдает элементарных мер безопасности, то никакой антивирус его не спасет.
А если в следующий раз подхватите что-то на что нет расшифровки у DrWeb-а, к кому побежите?  :)  
Изменено: Andrew Komissarov - 12.11.2015 09:22:37
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
Цитата
santy написал:
да, надо смотреть что там не так в cmd-скрипте
Тот который для ручной расшифровки (restore.exe), нормально работает
Там два файла - собствено дешифровщик VAULT-RESTORE.exe и командный файл revault.cmd


--------
@ECHO OFF
Setlocal Enabledelayedexpansion
chcp 866
cls
for %%i in (*.vault) do (
rename "%%~fi" "PROCESSING.file.vault" >nul
VAULT-RESTORE.exe -key_file: "sec.key" -decrypt_file: "PROCESSING.file.vault"
if exist "PROCESSING.file" (
rename "PROCESSING.file" "%%~ni" >nul
if exist "%%~ni" (
del /f /q "PROCESSING.file.vault" >nul
) else (
rename "PROCESSING.file.vault" "%%~ni.vault" >nul
)
echo  DECRYPTED: %%~ni
) else (
echo  ERROR: %%~ni
rename "PROCESSING.file.vault" "%%~ni.vault" >nul
)
)
ping 127.0.0.1 -n 3 >nul
echo.
echo  DECRYPTING DONE
ping 127.0.0.1 -n 5 >nul
del /f /q "VAULT-RESTORE.exe" >nul
del /f /q "sec.key" >nul
del /f /q "revault.cmd" >nul
del /f /q %0
-------

Что касается пакетного дешифровщика, там две ошибки:
1. В командном файле revault.cmd - chcp 866 - при этом он неправильно понимает кириллицу в путях к зашифрованным файлам. Надо использовать chcp 1251
2. В самом дешифровщике - он не воспринимает пробелов в путях к зашифрованным файлам и в пути к ключу sec.key
То есть собственно дешифровка в этом случае не происходит:
"%TEMP%\VAULT-RESTORE.exe" -key_file: "%TEMP%\sec.key" -decrypt_file: "%1:%%~piPROCESSING.file.vault"
Изменено: Andrew Komissarov - 08.11.2015 12:29:25