Здравствуйте. Недавно узнал о новом вирусе-шифровальщике Vault. В этой статье -> https://news.mail.ru/society/23867373/ написано, что этот вирус не обнаруживается современными антивирусами. Хотелось бы узнать, может ли DrWeb обнаруживать вирус Vault, а также вирусы семейства Trojan.Encoder? И если может обнаруживать, то способен ли предовратить зашифровку файлов? Спасибо
#1
Отправлено 07 Ноябрь 2015 - 15:49
#2
Отправлено 07 Ноябрь 2015 - 15:56
Здравствуйте. Недавно узнал о новом вирусе-шифровальщике Vault. В этой статье -> https://news.mail.ru/society/23867373/ написано, что этот вирус не обнаруживается современными антивирусами. Хотелось бы узнать, может ли DrWeb обнаруживать вирус Vault, а также вирусы семейства Trojan.Encoder? И если может обнаруживать, то способен ли предовратить зашифровку файлов? Спасибо
У Vault много разновидностей. БОльшую часть ловим по дефолту, но не исключено, что есть и более хитрые образцы.
Против энкодеров лучшим средством является грамотный бекап.
Сообщение было изменено RomaNNN: 07 Ноябрь 2015 - 15:58
#3
Отправлено 07 Ноябрь 2015 - 16:00
Хотелось бы узнать, может ли DrWeb обнаруживать вирус Vault, а также вирусы семейства Trojan.Encoder?
Может. На крайний случай есть защита от потери данных.
Глубина - глубина, я не твой отпусти меня, глубина
#4
Отправлено 07 Ноябрь 2015 - 18:48
Здравствуйте. Недавно узнал о новом вирусе-шифровальщике Vault. В этой статье -> https://news.mail.ru/society/23867373/ написано, что этот вирус не обнаруживается современными антивирусами.
В этой статье слишком много бреда для одной статьи.
1. Не существует такого вируса-шифровальщика, как Vault, существует некоторое кол-во шифровальщиков, которые присваивают зашифрованным файлам расширение Vault.
2. Ничего нового в этой новости нет, на форуме информация о зашифрованных файлах с таким расширением появилась в марте этого года.
3. Насчёт "не детектируется антивирусными программами" - Вам уже ответили.
4. Насчёт "отсутствует подробное описание механизма работы вируса" - на форуме куча описаний работы подобных шифровальщиков.
А вот что интересно - в статье упоминается "Служба реагирования на компьютерные инциденты — KZ-CERT".
Если это действительно работает, то казахстанцы - молодцы, нам пример с них брать пора.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#5
Отправлено 10 Ноябрь 2015 - 09:11
то казахстанцы - молодцы, нам пример с них брать пора.
А вы позвоните им и скажите волшебное слово ваулт
#6
Отправлено 10 Ноябрь 2015 - 09:19
Здравствуйте. Недавно узнал о новом вирусе-шифровальщике Vault. В этой статье -> https://news.mail.ru/society/23867373/ написано, что этот вирус не обнаруживается современными антивирусами.
В этой статье слишком много бреда для одной статьи.
1. Не существует такого вируса-шифровальщика, как Vault, существует некоторое кол-во шифровальщиков, которые присваивают зашифрованным файлам расширение Vault.
2. Ничего нового в этой новости нет, на форуме информация о зашифрованных файлах с таким расширением появилась в марте этого года.
3. Насчёт "не детектируется антивирусными программами" - Вам уже ответили.
4. Насчёт "отсутствует подробное описание механизма работы вируса" - на форуме куча описаний работы подобных шифровальщиков.
А вот что интересно - в статье упоминается "Служба реагирования на компьютерные инциденты — KZ-CERT".
Если это действительно работает, то казахстанцы - молодцы, нам пример с них брать пора.
Здравствуйте!
Я являюсь сотрудником службы KZ-CERT и хотел бы прокомментировать Ваш пост, учитывая его эмоциональность.
>>1. Не существует такого вируса-шифровальщика, как Vault...
Полностью согласен, но если бы мы так написали для обычных пользователей - нас бы не все поняли.
>>2. Ничего нового в этой новости нет...
Мы реагируем на конкретную ситуацию, которую наблюдаем в настоящее время в Казахстане и предлагаем пользователям все доступные решения данной проблемы.
Статья, которую цитируете Вы была написана во время анализа ситуации с тем, чтобы предупредить пользователей об угрозе.
>>3. Насчёт "не детектируется антивирусными программами".
Мы получаем очень много писем и, почти каждое является уникальным и не определяется сигнатурными методами.
>>4. Насчёт "отсутствует подробное описание механизма работы вируса" - на форуме куча описаний работы подобных шифровальщиков.
Подобных - да, но мы видим вполне конкретное семейство и должны рассказать об этом пользователям, не все из них являются посетителями форумов антивирусных компаний.
>>А вот что интересно - в статье упоминается "Служба реагирования на компьютерные инциденты — KZ-CERT".
>>Если это действительно работает, то казахстанцы - молодцы, нам пример с них брать пора.
А вот за это спасибо! ;-)
#7
Отправлено 10 Ноябрь 2015 - 09:57
"Мы получаем очень много писем и, почти каждое является уникальным и не определяется сигнатурными методами." - ни одним вендором? Все что я видел ловилось, кстати. Ну и да, расшифровку мы вчера выкатили для свежего vault.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#8
Отправлено 10 Ноябрь 2015 - 10:16
"Мы получаем очень много писем и, почти каждое является уникальным и не определяется сигнатурными методами." - ни одним вендором?
Володя, тот свежачок, который сыпется непосредственно нам на почту (и который я сразу же форваржу в вирлаб), в большинстве случаев не определяется сигнатурно ни нами, ни каспером, ни нодом, ни симантеком... за остальных не скажу - внимания не обращал.
У меня нет сомнений, что технокрысы являются клиентами всех вышеозначенных антивирусных компаний (и не только их), причём, скорее всего, вполне себе лицензионными.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#9
Отправлено 10 Ноябрь 2015 - 11:35
"Мы получаем очень много писем и, почти каждое является уникальным и не определяется сигнатурными методами." - ни одним вендором?
Володя, тот свежачок, который сыпется непосредственно нам на почту (и который я сразу же форваржу в вирлаб), в большинстве случаев не определяется сигнатурно ни нами, ни каспером, ни нодом, ни симантеком... за остальных не скажу - внимания не обращал.
Про что я и говорил.
#10
Отправлено 10 Ноябрь 2015 - 11:37
Ну и да, расшифровку мы вчера выкатили для свежего vault.
Как с Вами можно связаться? Мы проверим решение и сможем консультировать наших пользователей.
С уважением,
Биль Олег.
Сообщение было изменено VVS: 11 Ноябрь 2015 - 12:08
#11
Отправлено 10 Ноябрь 2015 - 11:50
Ну и да, расшифровку мы вчера выкатили для свежего vault.
Как с Вами можно связаться? Мы проверим решение и сможем консультировать наших пользователей.
С уважением,
Биль Олег.
Я думаю, что Вам имеет смысл решить этот вопрос по официальным каналам.
Все контакты тут - http://company.drweb.ru/contacts/moscow/?lng=ru
Сообщение было изменено VVS: 11 Ноябрь 2015 - 12:08
меня вот что возмутило. что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
#12
Отправлено 10 Ноябрь 2015 - 11:50
Ну и да, расшифровку мы вчера выкатили для свежего vault.
Как с Вами можно связаться? Мы проверим решение и сможем консультировать наших пользователей.
С уважением,
Биль Олег.
Пишите в личку, чо-нить придумаем...
Сообщение было изменено VVS: 11 Ноябрь 2015 - 12:08
Личный сайт по Энкодерам - http://vmartyanov.ru/
#13
Отправлено 10 Ноябрь 2015 - 12:07
Вот конкретно есть я, есть файл vault.key зашифрованная база 1cv8.1cd.vault
Зарегиться не получается в мойдрвеб, так как не приходит на почту письмо с подтверждением, чтобы создать тикет и прикрепить ему шифрованные файлы.
ввиде исключения помогите плиз, клиент готов суицид сделать у меня на глазах
#14
Отправлено 10 Ноябрь 2015 - 12:09
При чем тут "мойдрвеб"? https://support.drweb.ru/new/free_unlocker/?keyno=&for_decode=1И да, нужна рабочая винда, в которой трой запускался, а не файлы.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#15
Отправлено 10 Ноябрь 2015 - 12:17
И да, нужна рабочая винда, в которой трой запускался, а не файлы
Владимир, а можно подробнее? Файлы вообще интереса не представляют? Что тогда отправляется в вирлаб в данном случае?
#16
Отправлено 10 Ноябрь 2015 - 12:19
И да, нужна рабочая винда, в которой трой запускался, а не файлы
Владимир, а можно подробнее? Файлы вообще интереса не представляют? Что тогда отправляется в вирлаб в данном случае?
Не в вирлаб, а в саппорт. Пишете что у вас vault, присылаете один зашифрованный файл, ждете инструкций.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#17
Отправлено 10 Ноябрь 2015 - 13:03
Пруф товарищам из KZ-CERT предоставлен, ждем их подтверждения тут ;-)
Личный сайт по Энкодерам - http://vmartyanov.ru/
#18
Отправлено 10 Ноябрь 2015 - 13:12
А вот и оно! :-)
Протестировали, при содействии Владимира, утилиту.
Работает, тестовый файл расшифрован успешно.
Спасибо.
С уважением,
Биль Олег.
#19
Отправлено 10 Ноябрь 2015 - 13:13
ждете инструкций.
Владимир, объясните плиз как вы можете помочь (вернее сапорт)?
У вас появился квантовый компьютер? Как можно подобрать ассимитричный ключ? Свой ключик вирус стирает безвозратно. Давеча пытались найти этот ключик через PC3000 нету его там, он стирает его через sdelete. Если вы поймали чорта с сервером присланных ключей, то это поможет только тем кто заразился до поимки.
Как?
Работает, тестовый файл расшифрован успешно.
Спасибо.
С уважением,
Биль Олег.
Блин тоже хачу!!!
#20
Отправлено 10 Ноябрь 2015 - 13:25
Я продал душу Сотоне, он открыл мне тайну, а заодно каждый день поставляет мне халявное пиво. Техническая сторона дела никогда не должна быть опубликована. sdelete вы упомянули зря, его там нет. PC3K тоже совершенно бесполезна.
PS.Хотите расшифровку - вэлкам в саппорт. Гарантия не 100%, но для произвольного случая я показал что расшифровка есть. Увеличение шансов в процессе, но без продажи второй души Сотоне чот не выходит пока.
Сообщение было изменено v.martyanov: 10 Ноябрь 2015 - 13:27
Личный сайт по Энкодерам - http://vmartyanov.ru/
Also tagged with one or more of these keywords: drweb, vault
|
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
CHROMIUM:PAGE.MALWARE.URL Помогите пожалуйста!Автор: wasid , 23 янв 2024 malwares, virustotal, drweb |
|
|
|
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Ошибка 1722 DrWebАвтор: Andrey73 , 31 май 2023 Drweb |
|
|
||
Русские форумы →
Dr.Web для Unix →
host_not_found_exeptionАвтор: deadlisted , 13 мар 2023 astralinux, drweb |
|
|
||
Русские форумы →
Общие вопросы →
Существует DrWeb для IOS, Apple, iPad ?Автор: Max_NV , 06 окт 2021 ios, apple, ipad, drweb |
|
|
||
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Шифровальщик VaultАвтор: victorsomow , 08 май 2021 Vault, Шифровальщик |
|
|
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых