Перейти к содержимому


Фото
- - - - -

Шифровальщик .vault


  • Закрыто Тема закрыта
536 ответов в этой теме

#21 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 19 Февраль 2015 - 13:25

Подскажите, как убедится что вирусняк точно излечен ? (фиг с ними уже с файлами). Все батники в папке \Users\Userxxx\AppData\Local и Roaming я почистил. Папки временных файлов тоже. CureIT полечил только hosts файл. Security Essentials еще пару зараз нашел, после и тоже почистил.

 

Что-то не так?

Снова логи.


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#22 VVS

VVS

    The Master

  • Moderators
  • 19 367 Сообщений:

Отправлено 19 Февраль 2015 - 14:22

mrbelyash, прошу прощения за офтопик, но не смог сдержаться. :)

Очень рад видеть тебя.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#23 Ashberry

Ashberry

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 19 Февраль 2015 - 14:59

нам сегодня аналогичная фигня пришла на инфо-ящик компании:
 
Тема письма: Акт сверки за 2014 год
 
От кого: ООО ПК "МОСТЕМ" [mos-tem@yandex.ru]
 
Здравствуйте,

Прошу ознакомиться с актом сверки за 2014 год - в приложении.
Наши бухгалтера выявили, что за прошлый году Вас есть перед нами небольшой долг.
Проверьте данные, указанные в акте, и сообщите о сроках погашения задолженности.

Прикреплённые файлы:
1. Акт сверки за 2014г.zip
 
 
С уважением,
Зам.главного бухгалтера
Супрыкина Оксана Игоревна

 
Кто то из коллег просматривая почту открыл ссылку - на сервере поехали расширения .docx, .xslx, .rtf с добавкой .vault


Сообщение было изменено RomaNNN: 19 Февраль 2015 - 17:00


#24 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 19 Февраль 2015 - 15:01

А теперь вы ссылку публикуете, чтобы и другие заразу подхватили? Молодцы!


Личный сайт по Энкодерам - http://vmartyanov.ru/


#25 Ashberry

Ashberry

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 19 Февраль 2015 - 15:03

ссылка разбитая - ничего по ней не скачается я специально ее покоцал пробелами



#26 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 19 Февраль 2015 - 15:05

То есть вы осознавали что по целой ссылке - троян и все равно ее опубликовали? Ну совсем молодцы!


Личный сайт по Энкодерам - http://vmartyanov.ru/


#27 Ashberry

Ashberry

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 19 Февраль 2015 - 15:09

ну можно поспорить на тему - кому хватит ума копипастить ссылку на вирус и открывать? была бы возможность пост отредактировать я бы это сделал



#28 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 19 Февраль 2015 - 15:10

Расскажите-ка пожалуйста, у кого УЖЕ хватило ума запустить трояна из архива(!!!)?


Личный сайт по Энкодерам - http://vmartyanov.ru/


#29 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 19 Февраль 2015 - 17:01

Сообщение отредактировал. Ссылки такие публиковать нельзя, даже в измененном виде.

Модератор.
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#30 Garen

Garen

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 19 Февраль 2015 - 17:11

Простые пользователи, которые работают в основном с электронной почтой, и получающие за рабочий день от 100-150 писем в день, в основном с вложениями, даже сколько их не инструктируй, могут запустить и не только трояна из архива.

 



#31 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 19 Февраль 2015 - 17:13

Если не помогает инструктаж - существуют бэкапы и ограничение доступа.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#32 Ashberry

Ashberry

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 19 Февраль 2015 - 17:23

мне уже посоветовали штрафовать рублём - на ту самую оплату за вторую половину ключа) нашлись исходники - всё в appdata\local\temp находится

 

на рабочий стол кладется vault.key и в appdata\roaming добавляются vault.key и confirmation.key

сетевые диски к которым имеется доступ под буквой тоже уязвимы.

Прикрепленные файлы:



#33 Garen

Garen

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 19 Февраль 2015 - 17:24

Это понятно, у кас бекапится файловый сервер, Но юзеры не смотря на все запреты валять себе на рабочую станцию.

 

v.martyanov  будет ли когда нибудь информация по решению проблемы с расшивровкой  на вашем сайте.по данному трояну.



#34 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 19 Февраль 2015 - 17:26

Может будет, может нет.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#35 Garen

Garen

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 19 Февраль 2015 - 17:32

vault.key используется для входа в личный кабинет вымогателей, confirmation.key несёт в себе дополнительную информацию, его то и запросят потом выслать, если согласишся заплатить.



#36 Ashberry

Ashberry

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 19 Февраль 2015 - 17:33

а сколько просят? ради интереса



#37 Garen

Garen

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 19 Февраль 2015 - 17:35

250$



#38 Alexandr82

Alexandr82

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 19 Февраль 2015 - 17:38

У меня на работе тоже Vault на одном компьютере. Пришло письмо якобы от КонсультантПлюс со ссылкой на архив со счетом, в котором скрипт на установку вируса.

 

За расшифровщик предлагает биткоинами платить :facepalm:



#39 Garen

Garen

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 19 Февраль 2015 - 17:45

Платить однозначно не будем, собираю всю информацию для передачи в службу безопасности холдинга.



#40 Alexandr82

Alexandr82

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 19 Февраль 2015 - 17:57

Сумма вроде зависит от количества зашифрованных файлов, у меня порядка 370$ показало




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых