[QUOTE]santy написал:
кто ищет, тот всегда найдет
[URL=http://forum.drweb.com/index.php?showforum=35]http://forum.drweb.com/index.php?showforum=35[/URL]

[URL=http://news.drweb.ru/show/?i=9689&lng=ru&c=14]http://news.drweb.ru/show/?i=9689&lng=ru&c=14[/URL][/QUOTE]

За вторую ссылку спасибо ! Почитал и вычитал.
---
Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web.
---
У нашей организации её нет, у нас официально NOD32. Так что облом-с.  :(
Кстати не понял вот этой рекомендации.
[LIST]
[*]ни в коем случае не пытайтесь переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит;
[/LIST]
Почему они отговаривают от переустановки ? Форматнул диск и установил заново - какие проблемы то ?

[QUOTE]santy написал:
проверьте вариант расшифровки на форуме ДрВеб, какое то решение у них есть в техподдержке.[/QUOTE]
Что то не нашёл там ничего подходячего для этого вируса. Киньте ссылку где Вы там читали ?

[QUOTE]santy написал:
без ключа, как говорится, не вынешь рыбку из пруда, [/QUOTE]
В смысле купленный ключ от мошенников ? Понял. Я то думал что работает с теми ключами, что сгенерил вирус.

[QUOTE]Andrew Komissarov написал:
Там два файла - собствено дешифровщик VAULT-RESTORE.exe и командный файл revault.cmd
[/QUOTE]

А где можно взять эти файлы, попробовать ?

[QUOTE]santy написал:
Alex_Serena,
предложите прочесть вашим сотрудниками эти статьи
[/QUOTE]
Спасибо ! Скачал, разошлю всем своим.

[QUOTE]santy написал:
---------
запускается он следующим образом, через lnk файл:
C:\WINDOWS\system32\wbem\WMIC.exe process call create "C:\Windows\SYSTEM32\GnuPG\GnuPG.cmd"
так же lnk- файл прописывается в автозапуск.
[QUOTE]HKLM\Software\Microsoft\Windows\CurrentVersion\Run\GnuPG
C:\Windows\SYSTEM32\GnuPG\GnuPG.lnk
[/QUOTE]
здесь GnuPG произвольная скрытая папка (к реальному GnuPG не имеет отношения), создаваемая в каталоге system32
GnuPG.cmd - произвольное имя файла, копия файла, извлекаемая из закодированного js
расширение так же может быть произвольным.

при каждом новом запуске, может быть другое имя скрытого каталога, и соответственно новое имя файла, который запускается через wmic

WMIC - это системный файл.[/QUOTE]
Вот на том компе что выжил скрытая папка называлась IEData. И там был cmd с таким же именем IEData. Он был самый свежий по дате. Когда я его удалил он опять появился. Я опять удалил и вирус видимо понял свою скрую кончину  :D , охерел и стал генерить файлы по нескольку в секунду.  Причём это уже был другой файл. Итого за время битвы 211 удалений файлов у НОД32, из них 54 - это 9 попыток по 6 раз прописать файл vault.hta, а остальные 157 раза попытка восстановить свою работоспособность. Причём последний раз vault.hta пытался прописаться уже после того, как я грохнул каталог IEData. Вот скрины как это всё происходило по времени.

[QUOTE]Алексей Томских написал:
лексей, у меня тоже нашлась куча файлов. Но они на 99% зашифрованы, по ходу сперва шифруется, потом расширение меняется, а потом уже удаляется зашифрованный оригинал.
Печально, что лицензионный бизнес нод не видит запущенные процессы шифровальщика. только после ручного пристрела некоторых приложений... но это было на второй день ;о([/QUOTE]

Приветствую собратьев по несчастью !

Всё тоже самое у нас произошло 3 ноября, полностью зашифровались доки на одном компе (после того как запустили js файл с вирусом комп стал тупить, его перегрузили и вирус начал шифровку). На другом компе вирус запустили, но комп не перегружали. Перегрузил я его когда уже знал что он заражён и НОД32 там хоть как то сработал. Вирус там начал шифровать с временных папок, до Моих документов не добрался, я его успел вручную убить, скрытая папка IEData в Windows/System32 была им создана. НОД32 пытался убивать его файлы, но он их сначала генерил периодически пачками по 6 штук (файл vault.hta), 8 раз принимался, а потом по нескольку штук в секунду когда я нашёл эту папку и стал удалять самые свежие фалы в ней. После удаления всей папки всё стихло... Этот комп выжил и ничего не пропало. А вот на втором компе, на который с этого было переслано письмо с вирусом, полностью закодированы доки. :( Сохраню их все, надеюсь что дешифратор таки появится.

[QUOTE]santy написал:
возможно кто-либо (ESET, DrWeb, ЛК) найдут решение по дешифровке файлов. Следите на технических форумах.[/QUOTE]
Понятно. На этом форуме в этой ветке я смогу узнать что появился дешифратор ?

[QUOTE]santy написал:
обращаем ваше внимание,
что новый вариант шифратора, который распространяется со 2 ноября в электронной почте, в архивах с вложением js использует новый алгоритм шифрования.
прежние методы расшифровки с помощью GnuPG и секретного ключа secring.gpg не работают.
---------[/QUOTE]

Здравствуйте !
Появился он 2 ноября, вирус приехал к нам по электронной почте клиента с mail.ru в 9 утра, а базы НОД32 обновились у нас только с обеда 3 ноября (с версии баз 12506 на 12507, которая сразу же удаляет письмо в Аутлук с этим вирусом). Как я понял дешифратор для него пока не сделали.

Вопросы: будет ли позднее для него дешифратор ? Стоит ли сохранять папку с зашифрованными документами ? Какие файлы ещё нужно сохранить для дешифровки ?