Там прямая ссылка на zip? или как то замаскировано?
mail-attach com и имя файла с вирусом.zip
Сообщение было изменено Alexandr82: 20 Февраль 2015 - 12:41
Отправлено 20 Февраль 2015 - 12:40
Там прямая ссылка на zip? или как то замаскировано?
mail-attach com и имя файла с вирусом.zip
Сообщение было изменено Alexandr82: 20 Февраль 2015 - 12:41
Отправлено 20 Февраль 2015 - 14:02
Отправлено 20 Февраль 2015 - 14:03
Бэкап на тех же дисках - не бэкап.
Личный сайт по Энкодерам - http://vmartyanov.ru/
Отправлено 20 Февраль 2015 - 14:19
да, svchost.exe упакован в UPX. 960000 - это уже чистый gpg.exe
Ultimate Packer for eXecutables
Copyright © 1996 - 2013
UPX 3.09w Markus Oberhumer, Laszlo Molnar & John Reiser Feb 18th 2013
File size Ratio Format Name
-------------------- ------ ----------- -----------
960000 <- 374784 39.04% win32/pe svchost.exe
Unpacked 1 file.
Сообщение было изменено santy: 20 Февраль 2015 - 14:20
Отправлено 22 Февраль 2015 - 11:28
Отправлено 24 Февраль 2015 - 06:58
Сегодня на почтовый ящики пользователей продолжились атаки писем с вложением со сылкой на mail-attach com, от компании Автотрейдинг, люди обучены сразу тревогу подняли.
Отправлено 24 Февраль 2015 - 11:07
доброго дня!
подскажите, пожалуйста, этот шифровальщик срабатывает только один раз в момент активации файла или работает постоянно?
Отправлено 24 Февраль 2015 - 11:11
доброго дня!
подскажите, пожалуйста, этот шифровальщик срабатывает только один раз в момент активации файла или работает постоянно?
Пока что всё, что я на эту тему встречал, было одноразовым.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 24 Февраль 2015 - 11:23
VVS, спасибо
Отправлено 24 Февраль 2015 - 11:24
доброго дня!
подскажите, пожалуйста, этот шифровальщик срабатывает только один раз в момент активации файла или работает постоянно?
Пока что всё, что я на эту тему встречал, было одноразовым.
То есть, если в зашифрованных файлах нет важной информации можно их все смело удалять и все?
Отправлено 24 Февраль 2015 - 11:52
Всех приветствую, аналогичная ситуация, готов даже купить ваш антивирус если решите проблемы, у меня фото детей все в компьютере ,Все зашифровано. очень прошу найдите решение. вирус тотже
Отправлено 24 Февраль 2015 - 11:55
доброго дня!
подскажите, пожалуйста, этот шифровальщик срабатывает только один раз в момент активации файла или работает постоянно?
Пока что всё, что я на эту тему встречал, было одноразовым.
То есть, если в зашифрованных файлах нет важной информации можно их все смело удалять и все?
IMHO так.
На всякслуч для успокоения можете провериться свежим CureIt.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
Отправлено 24 Февраль 2015 - 13:06
Ну так что, есть ли дешёвые решения для распаковки
.vault файлов, вымогатели ссылались на restoredz4xpmuqr.onion
??
Отправлено 24 Февраль 2015 - 13:16
Общее решение такой проблемы стоит, наверное, как половина Франции.
Личный сайт по Энкодерам - http://vmartyanov.ru/
Отправлено 24 Февраль 2015 - 13:32
А можно конкретный .vault, если часть ключей осталась в папке temp?
файл \ размер
random_seed │ 600
pubring.gpg │ 359
confirmation.key │ 87462
vault.key │ 1368
Шифрование было таким (первый .exe это GPG, второй - Gsar: general search and replace utility, потом ещё где-то Sdelete использовалась):
"%temp%\svchost.exe" -r Cellar --trust-model always --yes -z 3 -q --homedir "%temp%" -o "D:\
"%temp%\tick.exe" -s"05FNSH-!hash5!" -r"05FNSH-OK" -o "%temp%\VAULT.KEY"
"%temp%\tick.exe" -s"05FNSH-!hash5!" -r"05FNSH-OK" -o "%appdata%\VAULT.KEY"
"%temp%\tick.exe" -s"05FNSH-!hash5!" -r"05FNSH-OK" -o "%userprofile%\Desktop\VAULT.KEY"
могу этот вирус запустить в виртуалбоксе и качнуть ключ снова.
это может спасти файлы по цене не выше 2х годичной подписки на др.веба?
Отправлено 24 Февраль 2015 - 13:38
В конце vault.key такие строки:
01FNSH-19369
02FNSH-21896
03FNSH-29907
04FNSH-2731
05FNSH-11946
FHASH-4104
это о чём-то говорит?
Отправлено 24 Февраль 2015 - 13:55
Здравствуйте. Тоже открыли ссылку на вирус, все файлы переименовались как указано у ТС, но не зашифровались (как мне сказали при открытии DrWeb SS 10 ругался).
Потом через несколько часов синий экран, перезагрузка и вот такой текстовый файл:
Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault
Для их восстановления необходимо получить уникальный ключ.
ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:
КОРОТКО
1. Зайдите на наш веб-ресурс
2. Получите уникальный ключ
3. Восстановите файлы в прежний вид
ДЕТАЛЬНО
Шаг 1:
Скачайте Tor браузер с официального сайта: https://www.torproject.org
Шаг 2:
Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion
Шаг 3:
Найтиде Ваш уникальный VAULT.KEY на компьютере, это Ваш ключ к личной клиент-панели
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё
ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
Не забывайте про время, обычно оно играет против Вас
c) Стоимость полного восстановления на ресурсе не окончательная
Время блокировки: 24.02.2015 (12:31)
Собственно проблема - как все файлы назад переименовать автоматически?
Отправлено 24 Февраль 2015 - 13:59
Переименование НЕ ПОМОЖЕТ.
Личный сайт по Энкодерам - http://vmartyanov.ru/
Отправлено 24 Февраль 2015 - 14:03
Переименование НЕ ПОМОЖЕТ.
Помогает. Проверил на нескольких типах файлов: pdf, jpg, doc/xls.
Может вирус работу не закончил, но все открывается нормально после переименования.
Отправлено 24 Февраль 2015 - 14:12
Может вирус работу не закончил, но все открывается нормально после переименования.
Повезло значит, может демо-версия вируса попалась или какой-то компонент недокачался.
Можно в FAR manager сделать поиск (Alt+F7) файлов *.doc.vault, выделить найденные на панели и переименовать кнопкой F6 в *.doc
и повторить процедуру с XLS и JPG.
А у моего знакомого внутри файлов полная каша получилась.
См. пример шифрованной таблицы Excel.
и то же предупреждение с опечаткой:
Найтиде Ваш уникальный VAULT.KEY
Время блокировки: 24.02.2015 ( 9:13)
Сообщение было изменено username500: 24 Февраль 2015 - 14:15
0 пользователей, 0 гостей, 0 скрытых