536 ответов в этой теме

[AlexandrST]

Я просто сейчас на экспериментальном ПК, провожу повторное шифрование одних и тех же файлов и на каждом этапе перехватываю все их файлики из которых они создают VALUT.KEY и прочую ересь! Конечно познаний маловато, но и Москва не сразу строилась.

[username500]

Так и у хакеров вы не первый такой хитрый клиент.

 

Раздел 

"ЧаВо ОСНОВНЫЕ ВОПРОСЫ" - читали у них?

Его писали долго, т.е. опыта много.

 

За 1 единственный файл .doc 90 баксов просят.

 

А кто пробовал отредактировать число файлов в vaultkey.vlt и завернуть его в vault.key для получения скидки на декодер?

 

Это смешное из FAQ кто может прокомментировать?

 

"Если у Вас есть дополнительная информация, которая может повлиять на цену - пишите нам при помощи страницы Сообщения. Мы попросим Вас загрузить Confirmation.Key через клиент панель.
После рассмотрения Вашей информации может происходить незначительная корректировка стоимости.
Также обращаем внимание на то, что иногда проводятся общие снижения цен на определенный период. Об этом Вы можете узнать из полосы уведомлений (черная полоса с бегущей строкой сверху)."

 

Чего им послать - фото знакомого прокурора или порошок сиб. язвы?

 

Вспомнилось: "Российские хакеры написали кейген для участия в акциях "Загляни под крышечку""

Сообщение было изменено username500: 03 Март 2015 - 15:01

[username500]

Ещё у вируса есть система оценки важности файлов по расширениям.

С ней наверное тоже можно намухлевать, если потом правильно запакетить отредактированное.

 

QNTTY: 3 - общее число
01EXT: 0
04EXT: 2 - doc 
05EXT: 0
10EXT: 0
11EXT: 0
12EXT: 0
13EXT: 0
19EXT: 0

 

система авто-оценки на рэкетирском сервере пишет про единственный JPG:

Block Date: 25.02.2015
Total Files: 1
Importance: Low

Сообщение было изменено username500: 03 Март 2015 - 15:08

[v.martyanov]

"Российские хакеры написали кейген для участия в акциях "Загляни под крышечку"" - если заморочиться - можно и попробовать ;-)

[Airattt]

Привет всем тоже поцепил эту заразу под именем VAULT

Вы мне подскажите если файлы расшифровать нельзя то как удалить этот банер при загруски системы и саму заразу???

[username500]

Найдите файл vault.hta (*.hta), недавно созданные и сотрите.

Сообщение было изменено username500: 03 Март 2015 - 15:13

[v.martyanov]

vault.hta вероятно называется.

[Airattt]

спасибо попробуем

[Airattt]

В поиске дал (*.hta)

нашел  какойто левый файл вообще 2008 года 1 шт.

[username500]

Может с недостаточными правами искали?

 

Любым менеджером автозагрузок сотрите нестандартные записи в реестре

(msconfig, xptweaker, ccleaner...)

 

или в планировщике заданий уберите:

start mshta "%temp%\VAULT.hta"

 

vault-readme.txt - тоже может вылезать

 

 

P.S. удаление WSH (wscript.exe и cscript.exe) вроде защищает комп, а нужны ли они честным программам?

Сообщение было изменено username500: 03 Март 2015 - 16:27

[Airattt]

гл.бух..........................

подожду пока комп освободят

[Alexandr82]

Но бэкапы тоже могут быть зашифрованы вирусом.

Не надо оставлять жесткий диск подключенным, скинул важные файлы и отключил. Что касается облачных сервисов, то не надо ставить запоминание паролей.

[AlexandrST]

Я конечно глупость скажу, но все таки это мысли вслух и может будет зерно в них какое для размышлений:

 

Раз наши файлы шифруются парой (открытый - закрытый ключ) на нашем же компе, они генерятся в скрипте вируса верно ?

Судя по тому что я вижу в скрипте вируса там для формирования используется

некий hash из команды !RANDOM!

я конечно вообще далек от внутренней кухни винды, но вроде как рандом возвращает значение с привязкой ко времени+дате+ алгоритм (могу ошибаться) ?

 

То есть если запустить создание пары ключей в тех же условиях то возможно получить те же рандомные значения из которых формировалась пара ?

 

Или это полный бред ?

[AlexandrST]

И еще вопрос, когда вирусятина стала шифровать файлы, если жестко выключить комп

потом через другой комп подключить жесткий диск и спокойно взять sec.key он ведь не успеет удалиться верно ?

 

То есть первое что нужно сделать это выключить комп и не включать его больше, правильно ?

Тогда есть шанс.  

[mrbelyash]

И еще вопрос, когда вирусятина стала шифровать файлы, если жестко выключить комп

потом через другой комп подключить жесткий диск и спокойно взять sec.key он ведь не успеет удалиться верно ?

 

То есть первое что нужно сделать это выключить комп и не включать его больше, правильно ?

Тогда есть шанс.  

 

http://forum.drweb.com/index.php?showtopic=315563&p=694022

[santy]

если жестко выключить комп

потом через другой комп подключить жесткий диск и спокойно взять sec.key он ведь не успеет удалиться верно ?

вообще говоря sec key юзера не нужен для шифрования. он нужен для расшифровки документов т.е. когда процесс шифрования закончен,

и желательно (с точки зрения злоумышленников) его сразу (после создания ключевой пары pub/sec юзера) зашифровать и надежно положить, и после этого тщательно затереть на диске.

так что если процесс шифрования уже пошел (когда вы его обнаружили), то ключа secring.gpg на этот момент времени уже может не быть в открытом виде.

--------

выключением компа в данном случае вы спасете те файлы, которые еще не зашифрованы, в особенности если они на  сетевых дисках.

но может всякое произойти.

имею ввиду, что есть ненулевая вероятность найти secring.gpg в незашифрованном виде после прекращения процесса шифрования. но это уже из области подарка от злоумышленников.

Сообщение было изменено santy: 04 Март 2015 - 09:42

[LelyaAvramova]

Добрый день.

Я тоже пострадавшая от этой заразы.

По поводу восстановления файлов уже поняла, что восстановить их невозможно без ключа.

У меня вопрос несколько другого плана. 

Хаккеры говорят скачать какой-то браузер и зайти к ним на сайт. 

Кто-то уже это делал?

Я еще хуже не сделаю? Не скачаю всякой дряни???

[v.martyanov]

А задуматься о том, как сохранить то, что еще осталось, вы пробовали?

[username500]

Хаккеры говорят скачать какой-то браузер и зайти к ним на сайт. 
Кто-то уже это делал?

Этот браузер - стандарт для анонимного обозревания инета. В Белоруссии недавно запрещён по идейным соображениям, чтобы  оппозиция меньшую аудиторию имела.

Я заходил через tor на рэкетирский сайт, на первый взгляд он безопасный. Жив пока и тот сайт и мой комп.

Главное оттуда ничего не скачивать и не выполнять без бэкапа на другие носители.

Но денег жалко.

Сделали бы 300-900 р, как за винлок - это ещё терпимо.

Сообщение было изменено username500: 04 Март 2015 - 17:46

[v.martyanov]

Грамотный бэкап дешевле...