#41
Отправлено 11 Ноябрь 2015 - 16:05
сбило с истинного пути http://forum.drweb.com/index.php?showtopic=322968&page=2#entry787149
завтра начнем пробовать, у нас ночь уже
#42
Отправлено 11 Ноябрь 2015 - 16:07
Там другой номер.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#43
Отправлено 11 Ноябрь 2015 - 19:39
Все, прикрыли лавочку с vault. Те кому "повезло" подхватить трояна с 2.11 по 10.11 имеют шансы на расшифровку. После - не уверен...
Сегодня обращались в саппорт, удалось один из двух зашифрованных компьютеров расшифровать с помощью blackmagick.exe.
При запуске на втором компьютере log не пустой, но при втором запуске выдает ошибку error acquire ... - ключи не генерируются.
На первом стоит Windows Xp, на втором компьютере Windows 7. Зашифровались Vault'ом в один день.
#44
Отправлено 12 Ноябрь 2015 - 01:09
а вот в ХР этого шанса нет, так что рад за вас.
#45
Отправлено 12 Ноябрь 2015 - 05:17
Все, прикрыли лавочку с vault. Те кому "повезло" подхватить трояна с 2.11 по 10.11 имеют шансы на расшифровку. После - не уверен...
Письмо пришло 2 ноября, тогда же было запущено.
Но мне до сих пор не удалось узнать версию шифровщика.
Поставил новую винду, подцепил винт с данными заражённой машины.
Сейчас вэб блокирует сам скрипт из письма при попытке запустить его.
Но и пишет, что это какой то вредосносый скрипт.
Прошёлся вебом по файлам заражённого компа - видит всякие медиагеты (т.е. обычный мусор от майл ру и компании), но никаких следов шифровщика не нашёл.
При этом вариант самоудаления шифровщика исключён - комп был выключен принудительно до окончания процесса шифровки (и это спасло часть файлов), а при пробном запуске (данные предварительно были скопированы) шифровщик снова принимался за работу, т.е. там он есть.
#46
Отправлено 12 Ноябрь 2015 - 09:29
Письмо пришло 2 ноября, тогда же было запущено.
Но мне до сих пор не удалось узнать версию шифровщика.
Поставил новую винду, подцепил винт с данными заражённой машины.
Сейчас вэб блокирует сам скрипт из письма при попытке запустить его.
Но и пишет, что это какой то вредосносый скрипт.
Прошёлся вебом по файлам заражённого компа - видит всякие медиагеты (т.е. обычный мусор от майл ру и компании), но никаких следов шифровщика не нашёл.
При этом вариант самоудаления шифровщика исключён - комп был выключен принудительно до окончания процесса шифровки (и это спасло часть файлов), а при пробном запуске (данные предварительно были скопированы) шифровщик снова принимался за работу, т.е. там он есть.
А что мешает в техподдержку обратиться? Отсутствие лицензии?
Так она все равно для расшифровки потребуется.
Нет, конечно если у вас старый vault и он не успел затереть ключ...
Создайте отдельную тему, в общей никто вам помогать не будет.
#47
Отправлено 12 Ноябрь 2015 - 09:59
"Поставил новую винду" - молодец! Без ЖИВОЙ винды в которой троян запускался там делать нечего.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#48
Отправлено 12 Ноябрь 2015 - 11:37
А что мешает в техподдержку обратиться? Отсутствие лицензии?
Выше чётко прописано, что расшифровка только для определённой версии вируса.
Остальные в пролёте.
"Поставил новую винду" - молодец! Без ЖИВОЙ винды в которой троян запускался там делать нечего.
Вы читаете через строку - все опыты проводятся на отдельной машине.
На её винт скинуто всё содержимое винта заражённой.
А заражённая стоит выключенная, в надежде появления антивируса который хотя бы вирус с неё удалит.
#49
Отправлено 12 Ноябрь 2015 - 11:55
А что мешает в техподдержку обратиться? Отсутствие лицензии?
Они попросят сам вирус, а я им чего отвечу "извините, но антивирус его не нашёл".
Плюс им подавай логи с заражённой машины. А её включаешь - сразу продолжается шифрование.
А что подразумевается под лицензией?
Коробка от антивируса утеряна (давно это было), дальше только коды продления покупались в электронном виде.
#50
Отправлено 12 Ноябрь 2015 - 12:15
Они попросят сам вирус, а я им чего отвечу "извините, но антивирус его не нашёл".А что мешает в техподдержку обратиться? Отсутствие лицензии?
Не попросят, ибо он не нужен.
Плюс им подавай логи с заражённой машины.
Логи тоже не нужны.
А что подразумевается под лицензией?
Регистрационный номер.
PS
А вообще, чем заниматься тут гаданием на тему нужен/не нужен, давно бы уж сходили по соответствующей ссылке и посмотрели, что нужно.
Сообщение было изменено VVS: 12 Ноябрь 2015 - 12:16
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#51
Отправлено 12 Ноябрь 2015 - 12:21
А что мешает в техподдержку обратиться? Отсутствие лицензии?
Они попросят сам вирус, а я им чего отвечу "извините, но антивирус его не нашёл".
Плюс им подавай логи с заражённой машины. А её включаешь - сразу продолжается шифрование.
А что подразумевается под лицензией?
Коробка от антивируса утеряна (давно это было), дальше только коды продления покупались в электронном виде.
Если уж боитесь что продолжится шифрование можно и с помощью какого нибудь загрузочного диска сохранить данные на отдельный диск или на съемный
#52
Отправлено 12 Ноябрь 2015 - 12:30
Логи специального софта под этот энкодер с пораженной машины нужны.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#53
Отправлено 12 Ноябрь 2015 - 12:35
Логи специального софта под этот энкодер с пораженной машины нужны.
Так это, насколько я понимаю, для расшифровки.
А для того, чтобы узнать, можно ли расшифровать, ведь достаточно только самих файлов?
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#54
Отправлено 12 Ноябрь 2015 - 12:37
Ну по файлам можно понять какая версия... Но без запуска специальной тулзы расшифровки не будет точно.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#55
Отправлено 12 Ноябрь 2015 - 12:57
Со вторым компом (на котором семерка стоит) попробовали сегодня Ripperom.exe, ключи появились в c:\windows\system32. Но не подходят они для расшифровки как в поддержке сказали, но пока окончательно не сказали что невозможно расшифровать... очень надеимся на саппорт!
#56
Отправлено 12 Ноябрь 2015 - 17:26
Не всё, конечно, но более 90% от уже обработанных файлов вполне читабельны.
Видимо удовольствуемся этим.
Огромная благодарность v.martyanov за удачно найденный алгоритм, а саппорту за оперативно проведенный анализ.
#57
Отправлено 12 Ноябрь 2015 - 17:32
Странно что часть файлов не расшифровывает.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#58
Отправлено 12 Ноябрь 2015 - 17:37
я не сказал, что не расшифровываетСтранно что часть файлов не расшифровывает.
я сказал про читабельность, подозреваю, что некоторые файлы просто были битые сами по себе.
вот значки форматирования повылезали во всех доках, не знаю получится ли убрать. Буду завтра пробовать, возможно, на зараженной машине так настроен Word.
#59
Отправлено 13 Ноябрь 2015 - 03:02
Владимир, человечище. огромадный решпект!!!
Windows XP SP3, напомню.
#60
Отправлено 13 Ноябрь 2015 - 05:19
Windows XP SP3, напомню.
О, у меня тоже wi xp sp3.
Уточните, какие данный Вы отправляли в поддержку?
Я вот потихоньку собираю инфу для отправки, ибо боюсь, что с нынешним завалом, если чего то не предоставить могут тупо послать.
Also tagged with one or more of these keywords: Vault, шифровальщик
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых