536 ответов в этой теме

[Geo00]

А Windows Vault Password Decryptor не поможет ключа для расшифровки подобрать?

[Geo00]

Перед открытием вложения в письме ( текст здась размещали ) я проверил его вчерашним CureIt.

Он ничего не нашёл.

После этого я открыл архив и получил известные проблемы.

[alex64]

Вот что каспер мне написал по запросу

"Ваш запрос связан с вредоносными программами, которые шифруют пользовательские данные, и находится в обработке."

Думаю, на этом всё....)))

[Geo00]

 

Прочёл всю тему, не понял - удаляет ли CureIt этот вирус Шифровальщик Vault?

Продолжает ли Шифровальщик Vault своё чёрное дело после выключения ПК и его повторного включения?

Троян-удаляет

Зашифрованные Ваши файлы-нет

У меня две винды 7-ки на 2-х разных партишенах на одном диске.

Заражна 1-я винда на 1-ом партишене.

Запустился со 2-й и направил CureIt сканировать 1-ую.

CureIt ничего не нашёл.

Или CureIt надо запускать с заражённой винды, чтобы он нашёл троян?

Ничего не найдено.

[maxic]

Geo00, шифровальщик вполне мог самоудалиться, отработав.

[Geo00]

Geo00, шифровальщик вполне мог самоудалиться, отработав.

Он не полностью отработал, я выключил ПК и загрузился со 2-й незаражённой винды, только часть файлов зашифровалась.

Вот я и не пойму - если я опять загружусь с заражёррой винды, то он продолжит шифровать ?

Сообщение было изменено Geo00: 24 Февраль 2015 - 18:08

[username500]

Перед открытием вложения в письме ( текст здась размещали ) я проверил его вчерашним CureIt.

Он ничего не нашёл.

После этого я открыл архив и получил известные проблемы.

Перед тем, как съесть грамм цианистого калия и прострелить себе ногу, я выпил стакан антибиотиков, но получил проблемы 

 

Вас должно было насторожить, что этот "договор" заканчивается на .JS и занимает всего 2,5 кБ.

 

 

Вот я и не пойму - если я опять загружусь с заражёррой винды, то он продолжит шифровать ?

 

Если в папках %temp% и в обычных путях автозапуска (которые видны в реестре) всё подозрительное убрать (упаковать на флэшку например) - не продолжит.

Сообщение было изменено username500: 24 Февраль 2015 - 18:46

[vxd]

принесли только что жертву этого же шифровальщика - пришло письмо от автотрейдинга, открыли...

скачал cureit час назад, проверил полностью ПК - не нашлось никакой зараз. типа...

[Geo00]

В какой папке на сидит троян шифровальщика?

[mrbelyash]

В какой папке на сидит троян шифровальщика?

В темпах,но обычно самоудаляется

[santy]

Перед открытием вложения в письме ( текст здась размещали ) я проверил его вчерашним CureIt.

 

а это кстати пагубное последствие того, что юзеров долгое время приучали к тому что,

"cureit (kaspersky remove tool) придет, порядок наведет...."

но не приучали к хотя бы элементарному анализу проблемы, и не добавили инструментарий для данного анализа.

[maxic]

santy, тупикал юзеру анализ не нужен. Вот что они говорят: "я НЕ ХОЧУ во всем этом разбираться". Даже когда просто просишь прочитать текст ошибки с экрана.

Так что - можно привести лошадь к водопою, но нельзя заставить ее напиться.

[Викторуни]

Нужно отметить очень продуманное написание письма. Пришло сегодня такое же с шифровальщиком в zip файле счет.doc.js

Сразу и не поймешь что оно левое. Вирус зашифровал часть файлов на диске С ( doc и xls) переименовал их в файл vault
Диск D и важные документы не тронул и картинки не тронуты. После перезагрузки убрал из автозагрзки его. Почистил папку TEMP. Больше он ничего не шифровал. Вроде как удален. Антивирус NOD32 .4.2 (Активирована "защита документов" и установлены последние обновления база антивируса) никак не отреагировал и пропустил этот вирус шифровальщик. Отправил через сайт этот файл пусть добавляют в базу.

 

Это похоже сегодня была огромная рассылка этих писем в основном по государственным и муниципальным учреждением. Надо срочно добавлять в базу сигнатуру!

[username500]

К моим знакомым именно такое письмо припёрлось. Которые никогда в жизни с консультант+ми дел не имели.

И время отправки - 3 часа ночи тоже.

Америкосы?

Заголовки письма (RFC-822) можете показать?

 

 

 

и не добавили инструментарий для данного анализа.

А сейчас что, юзеров к облакам и паранойе приучают? Так они несовместимы. АНБ США ценные и перс. данные стащит вместе с налоговой инспекцией РФ.

Или к платным антивирям и параноидальным системам почты готовят?

возможные предупреждения в будущем:

"The Bat обнаружил вложение с опасным расширением (.zip) и запретил его открывать.

7-zip обнаружил опасный файл .js и не хочет его распаковывать без 3х понятых

 

онлайн-офис-366 обнаружил внезапную потерю 100 пользователей после открытия такого файла и заморозил подозрительную активность"

Сообщение было изменено username500: 24 Февраль 2015 - 21:45

[username500]

После некоторой возни с этой вирусякой оказалось, что JS лезет на сайт
 
хттп://letter-attachment.com/
и скачивает оттуда
301.vlt - это exe (Sysinternals Sdelete 1.61)
Document.pdf - в %temp%\document.docx
index.vlt - копируется в install.bat
temp.vlt
logs.vlt
 
хорошо бы этот сайт заблочить для общей пользы и уменьшения доходов хакеров.
Ну и попробовать с этими файлами расшифровать что-то.

Сообщение было изменено pig: 25 Февраль 2015 - 01:29
умертвил ссылку

[username500]

А вот что вирус ищет и шифрует:

 

*.xls,*.doc
*.pdf,*.rtf
*.psd,*.dwg,*.cdr
*.cd,*.mdb,*.1cd,*.dbf,*.sqlite
*.jpg,*.zip,*.7z

 

 

Кто разбирается в этом самом GPG?

Я в википедии про RSA читал, понял 10%.

 

Есть 2 ключа из папки прерванного вируса.

Но с другого компьютера, а не заражённого.

Шансы есть на расшифровку?

 

 

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: VAULT v1
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=E61M
-----END PGP PUBLIC KEY BLOCK-----

 

 

-----BEGIN PGP PRIVATE KEY BLOCK-----
Version: GnuPG v1
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=G74m
-----END PGP PRIVATE KEY BLOCK-----

[SergM]

Сюда его для анализа.  Приложите описание ситуации и выставьте галку в поле "Указана ссылка".

[username500]

Сюда его для анализа.  Приложите описание ситуации и выставьте галку в поле "Указана ссылка".

 

Ваш потенц. клиент (мой знакомый) ещё ключик не купил, надеется на халяву.

В местной проверялке URL это уже вредоносный сайт. И в вирустотале тоже вы в первую тройку влезли, поздравляю.

 url_for_4_USD.png   15,41К   2 Скачано раз

Но подобный виртуальный хостинг предлагают сделать за 4 доллара и они могут мутировать и разрастаться как угодно.

Т.е. создатели защит вечно опаздывают. И наши депутаты TOR сети запретить вряд ли смогут.

Хоть в деревню вали из этого техногенного дурдома, по заветам Кошастого 

[Phisto]

Вдруг такая информация будет кому полезна -  вот вариант письма, что мне пришло:

"Добрый день,
Отправляю Вам Акт сверки за прошлый год (в приложении).
Просьба рассмотреть и согласовать документ.
Спасибо."

 

и ссыль на letter-attachment 

 

письмо пришло с угнанного ящика поставщика. 

Сообщение было изменено Phisto: 25 Февраль 2015 - 04:15

[alex64]

Кому-нибудь удалось восстановить файлы?
Мне помогла программа recuva (выбирает последнюю точку восстановления системы и на эту дату восстанавливает файлы). Плохо, что не все документы получилось в нормальном состоянии извлечь.