Я просто сейчас на экспериментальном ПК, провожу повторное шифрование одних и тех же файлов и на каждом этапе перехватываю все их файлики из которых они создают VALUT.KEY и прочую ересь! Конечно познаний маловато, но и Москва не сразу строилась.
Шифровальщик .vault
#181
Отправлено 03 Март 2015 - 14:42
#182
Отправлено 03 Март 2015 - 14:56
Так и у хакеров вы не первый такой хитрый клиент.
Раздел
За 1 единственный файл .doc 90 баксов просят.
А кто пробовал отредактировать число файлов в vaultkey.vlt и завернуть его в vault.key для получения скидки на декодер?
Это смешное из FAQ кто может прокомментировать?
"Если у Вас есть дополнительная информация, которая может повлиять на цену - пишите нам при помощи страницы Сообщения. Мы попросим Вас загрузить Confirmation.Key через клиент панель.
После рассмотрения Вашей информации может происходить незначительная корректировка стоимости.
Также обращаем внимание на то, что иногда проводятся общие снижения цен на определенный период. Об этом Вы можете узнать из полосы уведомлений (черная полоса с бегущей строкой сверху)."
Чего им послать - фото знакомого прокурора или порошок сиб. язвы?
Вспомнилось: "Российские хакеры написали кейген для участия в акциях "Загляни под крышечку""
Сообщение было изменено username500: 03 Март 2015 - 15:01
#183
Отправлено 03 Март 2015 - 15:07
Ещё у вируса есть система оценки важности файлов по расширениям.
С ней наверное тоже можно намухлевать, если потом правильно запакетить отредактированное.
QNTTY: 3 - общее число
01EXT: 0
04EXT: 2 - doc
05EXT: 0
10EXT: 0
11EXT: 0
12EXT: 0
13EXT: 0
19EXT: 0
система авто-оценки на рэкетирском сервере пишет про единственный JPG:
Block Date: 25.02.2015
Total Files: 1
Importance: Low
Сообщение было изменено username500: 03 Март 2015 - 15:08
#184
Отправлено 03 Март 2015 - 15:08
"Российские хакеры написали кейген для участия в акциях "Загляни под крышечку"" - если заморочиться - можно и попробовать ;-)
Личный сайт по Энкодерам - http://vmartyanov.ru/
#185
Отправлено 03 Март 2015 - 15:10
Привет всем тоже поцепил эту заразу под именем VAULT
Вы мне подскажите если файлы расшифровать нельзя то как удалить этот банер при загруски системы и саму заразу???
#186
Отправлено 03 Март 2015 - 15:12
Найдите файл vault.hta (*.hta), недавно созданные и сотрите.
Сообщение было изменено username500: 03 Март 2015 - 15:13
#187
Отправлено 03 Март 2015 - 15:12
vault.hta вероятно называется.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#188
Отправлено 03 Март 2015 - 15:26
спасибо попробуем
#189
Отправлено 03 Март 2015 - 16:15
В поиске дал (*.hta)
нашел какойто левый файл вообще 2008 года 1 шт.
#190
Отправлено 03 Март 2015 - 16:23
Может с недостаточными правами искали?
Любым менеджером автозагрузок сотрите нестандартные записи в реестре
(msconfig, xptweaker, ccleaner...)
или в планировщике заданий уберите:
start mshta "%temp%\VAULT.hta"
vault-readme.txt - тоже может вылезать
P.S. удаление WSH (wscript.exe и cscript.exe) вроде защищает комп, а нужны ли они честным программам?
Сообщение было изменено username500: 03 Март 2015 - 16:27
#191
Отправлено 03 Март 2015 - 16:33
гл.бух..........................
подожду пока комп освободят
#192
Отправлено 03 Март 2015 - 18:02
Но бэкапы тоже могут быть зашифрованы вирусом.
Не надо оставлять жесткий диск подключенным, скинул важные файлы и отключил. Что касается облачных сервисов, то не надо ставить запоминание паролей.
#193
Отправлено 04 Март 2015 - 08:15
Я конечно глупость скажу, но все таки это мысли вслух и может будет зерно в них какое для размышлений:
Раз наши файлы шифруются парой (открытый - закрытый ключ) на нашем же компе, они генерятся в скрипте вируса верно ?
Судя по тому что я вижу в скрипте вируса там для формирования используется
некий hash из команды !RANDOM!
я конечно вообще далек от внутренней кухни винды, но вроде как рандом возвращает значение с привязкой ко времени+дате+ алгоритм (могу ошибаться) ?
То есть если запустить создание пары ключей в тех же условиях то возможно получить те же рандомные значения из которых формировалась пара ?
Или это полный бред ?
#194
Отправлено 04 Март 2015 - 09:24
И еще вопрос, когда вирусятина стала шифровать файлы, если жестко выключить комп
потом через другой комп подключить жесткий диск и спокойно взять sec.key он ведь не успеет удалиться верно ?
То есть первое что нужно сделать это выключить комп и не включать его больше, правильно ?
Тогда есть шанс.
#195
Отправлено 04 Март 2015 - 09:26
И еще вопрос, когда вирусятина стала шифровать файлы, если жестко выключить комп
потом через другой комп подключить жесткий диск и спокойно взять sec.key он ведь не успеет удалиться верно ?
То есть первое что нужно сделать это выключить комп и не включать его больше, правильно ?
Тогда есть шанс.
http://forum.drweb.com/index.php?showtopic=315563&p=694022
#196
Отправлено 04 Март 2015 - 09:38
если жестко выключить комппотом через другой комп подключить жесткий диск и спокойно взять sec.key он ведь не успеет удалиться верно ?
вообще говоря sec key юзера не нужен для шифрования. он нужен для расшифровки документов т.е. когда процесс шифрования закончен,
и желательно (с точки зрения злоумышленников) его сразу (после создания ключевой пары pub/sec юзера) зашифровать и надежно положить, и после этого тщательно затереть на диске.
так что если процесс шифрования уже пошел (когда вы его обнаружили), то ключа secring.gpg на этот момент времени уже может не быть в открытом виде.
--------
выключением компа в данном случае вы спасете те файлы, которые еще не зашифрованы, в особенности если они на сетевых дисках.
но может всякое произойти.
имею ввиду, что есть ненулевая вероятность найти secring.gpg в незашифрованном виде после прекращения процесса шифрования. но это уже из области подарка от злоумышленников.
Сообщение было изменено santy: 04 Март 2015 - 09:42
#197
Отправлено 04 Март 2015 - 17:23
#198
Отправлено 04 Март 2015 - 17:25
А задуматься о том, как сохранить то, что еще осталось, вы пробовали?
Личный сайт по Энкодерам - http://vmartyanov.ru/
#199
Отправлено 04 Март 2015 - 17:42
Хаккеры говорят скачать какой-то браузер и зайти к ним на сайт.
Кто-то уже это делал?
Этот браузер - стандарт для анонимного обозревания инета. В Белоруссии недавно запрещён по идейным соображениям, чтобы оппозиция меньшую аудиторию имела.
Я заходил через tor на рэкетирский сайт, на первый взгляд он безопасный. Жив пока и тот сайт и мой комп.
Главное оттуда ничего не скачивать и не выполнять без бэкапа на другие носители.
Но денег жалко.
Сделали бы 300-900 р, как за винлок - это ещё терпимо.
Сообщение было изменено username500: 04 Март 2015 - 17:46
#200
Отправлено 04 Март 2015 - 17:44
Грамотный бэкап дешевле...
Личный сайт по Энкодерам - http://vmartyanov.ru/
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых