20 Antworten zu diesem Thema

[WebDevel]

Здравствуйте. Недавно узнал о новом вирусе-шифровальщике Vault. В этой статье -> https://news.mail.ru/society/23867373/  написано, что этот вирус не обнаруживается современными антивирусами. Хотелось бы узнать, может ли DrWeb обнаруживать вирус Vault, а также вирусы семейства Trojan.Encoder? И если может обнаруживать, то способен ли предовратить зашифровку файлов? Спасибо

[RomaNNN]

Здравствуйте. Недавно узнал о новом вирусе-шифровальщике Vault. В этой статье -> https://news.mail.ru/society/23867373/  написано, что этот вирус не обнаруживается современными антивирусами. Хотелось бы узнать, может ли DrWeb обнаруживать вирус Vault, а также вирусы семейства Trojan.Encoder? И если может обнаруживать, то способен ли предовратить зашифровку файлов? Спасибо

 
У Vault много разновидностей. БОльшую часть ловим по дефолту, но не исключено, что есть и более хитрые образцы.
 
 
  
Против энкодеров лучшим средством является грамотный бекап.

Bearbeitet von RomaNNN, 07 November 2015 - 15:58,

[mike 1]

 

 

Хотелось бы узнать, может ли DrWeb обнаруживать вирус Vault, а также вирусы семейства Trojan.Encoder?

Может. На крайний случай есть защита от потери данных.

 

[VVS]

Здравствуйте. Недавно узнал о новом вирусе-шифровальщике Vault. В этой статье -> https://news.mail.ru/society/23867373/  написано, что этот вирус не обнаруживается современными антивирусами.

В этой статье слишком много бреда для одной статьи.
1. Не существует такого вируса-шифровальщика, как Vault, существует некоторое кол-во шифровальщиков, которые присваивают зашифрованным файлам расширение Vault.
2. Ничего нового в этой новости нет, на форуме информация о зашифрованных файлах с таким расширением появилась в марте этого года.
3. Насчёт "не детектируется антивирусными программами" - Вам уже ответили.
4. Насчёт "отсутствует подробное описание механизма работы вируса" - на форуме куча описаний работы подобных шифровальщиков.

 

А вот что интересно - в статье упоминается "Служба реагирования на компьютерные инциденты — KZ-CERT".

Если это действительно работает, то казахстанцы - молодцы, нам пример с них брать пора.

[Banzai]

то казахстанцы - молодцы, нам пример с них брать пора.

А вы позвоните им и скажите волшебное слово ваулт

[Олег Биль]

 

Здравствуйте. Недавно узнал о новом вирусе-шифровальщике Vault. В этой статье -> https://news.mail.ru/society/23867373/  написано, что этот вирус не обнаруживается современными антивирусами.

В этой статье слишком много бреда для одной статьи.
1. Не существует такого вируса-шифровальщика, как Vault, существует некоторое кол-во шифровальщиков, которые присваивают зашифрованным файлам расширение Vault.
2. Ничего нового в этой новости нет, на форуме информация о зашифрованных файлах с таким расширением появилась в марте этого года.
3. Насчёт "не детектируется антивирусными программами" - Вам уже ответили.
4. Насчёт "отсутствует подробное описание механизма работы вируса" - на форуме куча описаний работы подобных шифровальщиков.

 

А вот что интересно - в статье упоминается "Служба реагирования на компьютерные инциденты — KZ-CERT".

Если это действительно работает, то казахстанцы - молодцы, нам пример с них брать пора.

 

Здравствуйте!

Я являюсь сотрудником службы KZ-CERT и хотел бы прокомментировать Ваш пост, учитывая его эмоциональность.

>>1. Не существует такого вируса-шифровальщика, как Vault...

 

Полностью согласен, но если бы мы так написали для обычных пользователей - нас бы не все поняли.

 

>>2. Ничего нового в этой новости нет...

 

Мы реагируем на конкретную ситуацию, которую наблюдаем в настоящее время в Казахстане и предлагаем пользователям все доступные решения данной проблемы.

Статья, которую цитируете Вы была написана во время анализа ситуации с тем, чтобы предупредить пользователей об угрозе.

 

>>3. Насчёт "не детектируется антивирусными программами".

Мы получаем очень много писем и, почти каждое является уникальным и не определяется сигнатурными методами.

 

>>4. Насчёт "отсутствует подробное описание механизма работы вируса" - на форуме куча описаний работы подобных шифровальщиков.

 

Подобных - да, но мы видим вполне конкретное семейство и должны рассказать об этом пользователям, не все из них являются посетителями форумов антивирусных компаний.

 

Наши новые рекомендации включают настройки антивирусных продуктов Dr. Web и Лаборатории Касперского, направленные на предотвращение шифрования данных пользователей. Рекомендации расположены по адресу http://kz-cert.kz/ru/presscenter/certnews/?news=466

Надеюсь, это поможет многим людям избежать потери данных, поскольку, учитывая схему работы современных шифровальщиков, расшифровать данные получается очень редко.

 

>>А вот что интересно - в статье упоминается "Служба реагирования на компьютерные инциденты — KZ-CERT".

>>Если это действительно работает, то казахстанцы - молодцы, нам пример с них брать пора.

А вот за это спасибо! ;-)

 

С уважением, и надеждой на конструктивное общение,

Биль Олег,

вирусный аналитик,

Служба реагирования на компьютерные инциденты,

KZ-CERT.

[v.martyanov]

"Мы получаем очень много писем и, почти каждое является уникальным и не определяется сигнатурными методами." - ни одним вендором? Все что я видел ловилось, кстати. Ну и да, расшифровку мы вчера выкатили для свежего vault.

[VVS]

 

"Мы получаем очень много писем и, почти каждое является уникальным и не определяется сигнатурными методами." - ни одним вендором?

Володя, тот свежачок, который сыпется непосредственно нам на почту (и который я сразу же форваржу в вирлаб), в большинстве случаев не определяется сигнатурно ни нами, ни каспером, ни нодом, ни симантеком... за остальных не скажу - внимания не обращал.

У меня нет сомнений, что технокрысы являются клиентами всех вышеозначенных антивирусных компаний (и не только их), причём, скорее всего, вполне себе лицензионными.

[Олег Биль]

 

 

"Мы получаем очень много писем и, почти каждое является уникальным и не определяется сигнатурными методами." - ни одним вендором?

Володя, тот свежачок, который сыпется непосредственно нам на почту (и который я сразу же форваржу в вирлаб), в большинстве случаев не определяется сигнатурно ни нами, ни каспером, ни нодом, ни симантеком... за остальных не скажу - внимания не обращал.

 

Про что я и говорил.

[Олег Биль]

 

 Ну и да, расшифровку мы вчера выкатили для свежего vault.

 

Как с Вами можно связаться? Мы проверим решение и сможем консультировать наших пользователей.

С уважением,

Биль Олег.

Bearbeitet von VVS, 11 November 2015 - 12:08,

[VVS]

 

 

 Ну и да, расшифровку мы вчера выкатили для свежего vault.

 

Как с Вами можно связаться? Мы проверим решение и сможем консультировать наших пользователей.

С уважением,

Биль Олег.

 

Я думаю, что Вам имеет смысл решить этот вопрос по официальным каналам.

Все контакты тут - http://company.drweb.ru/contacts/moscow/?lng=ru

Bearbeitet von VVS, 11 November 2015 - 12:08,

[v.martyanov]

 

 

 Ну и да, расшифровку мы вчера выкатили для свежего vault.

 

Как с Вами можно связаться? Мы проверим решение и сможем консультировать наших пользователей.

С уважением,

Биль Олег.

 

Пишите в личку, чо-нить придумаем...

Bearbeitet von VVS, 11 November 2015 - 12:08,

[Banzai]

Вот конкретно есть я, есть файл vault.key зашифрованная база 1cv8.1cd.vault

Зарегиться не получается в мойдрвеб, так как не приходит на почту письмо с подтверждением, чтобы создать тикет и прикрепить ему шифрованные файлы.

ввиде исключения помогите плиз, клиент готов суицид сделать у меня на глазах

[v.martyanov]

При чем тут "мойдрвеб"? https://support.drweb.ru/new/free_unlocker/?keyno=&for_decode=1И да, нужна рабочая винда, в которой трой запускался, а не файлы.

[Vladimir K.]

И да, нужна рабочая винда, в которой трой запускался, а не файлы

 

Владимир, а можно подробнее? Файлы вообще интереса не представляют? Что тогда отправляется в вирлаб в данном случае?

[v.martyanov]

 

И да, нужна рабочая винда, в которой трой запускался, а не файлы

 

Владимир, а можно подробнее? Файлы вообще интереса не представляют? Что тогда отправляется в вирлаб в данном случае?

 

Не в вирлаб, а в саппорт. Пишете что у вас vault, присылаете один зашифрованный файл, ждете инструкций.

[v.martyanov]

Пруф товарищам из KZ-CERT предоставлен, ждем их подтверждения тут ;-)

[Олег Биль]

А вот и оно! :-)

Протестировали, при содействии Владимира, утилиту.

Работает, тестовый файл расшифрован успешно.

Спасибо.

С уважением,

Биль Олег.

[Banzai]

ждете инструкций.

Владимир, объясните плиз как вы можете помочь (вернее сапорт)?

У вас появился квантовый компьютер? Как можно подобрать ассимитричный ключ? Свой ключик вирус стирает безвозратно. Давеча пытались найти этот ключик через PC3000 нету его там, он стирает его через sdelete. Если вы поймали чорта с сервером присланных ключей, то это поможет только тем кто заразился до поимки.

Как?

Работает, тестовый файл расшифрован успешно.
Спасибо.
С уважением,
Биль Олег.

Блин тоже хачу!!!

[v.martyanov]

Я продал душу Сотоне, он открыл мне тайну, а заодно каждый день поставляет мне халявное пиво. Техническая сторона дела никогда не должна быть опубликована. sdelete вы упомянули зря, его там нет. PC3K тоже совершенно бесполезна.

 

PS.Хотите расшифровку - вэлкам в саппорт. Гарантия не 100%, но для произвольного случая я показал что расшифровка есть. Увеличение шансов в процессе, но без продажи второй души Сотоне чот не выходит пока.

Bearbeitet von v.martyanov, 10 November 2015 - 13:27,