536 ответов в этой теме

[Alexandr82]

Там прямая ссылка на zip? или как то замаскировано?

mail-attach com и имя файла с вирусом.zip

Сообщение было изменено Alexandr82: 20 Февраль 2015 - 12:41

[Shajtan]

Кстати, интересное наблюдение: у людей зашифровало только часть документов локально, до сетевых шар даже не дотянулось. Что-то остановило процесс? Машину не перезагружали, антивирь даже не почесался - то есть это не он.

Ещё замечание: шифрует также архивы, так что бекап может быть похерен, если создавался в архивы. В песочнице изнасиловал помимо доков и .zip-ы.

[v.martyanov]

Бэкап на тех же дисках - не бэкап.

[santy]

да, svchost.exe упакован в UPX. 960000 - это уже чистый gpg.exe

 

                       Ultimate Packer for eXecutables
                          Copyright © 1996 - 2013
UPX 3.09w       Markus Oberhumer, Laszlo Molnar & John Reiser   Feb 18th 2013

        File size         Ratio      Format      Name
   --------------------   ------   -----------   -----------
    960000 <-    374784   39.04%    win32/pe     svchost.exe

Unpacked 1 file.

 

Сообщение было изменено santy: 20 Февраль 2015 - 14:20

[santy]

VAULT.KEY зашифрован ключом злоумышленников с ID 996E88A8, создан 25.01.2015 "VaultCrypt (VaultCrypt) " содержит секретный ключ из пары, созданной на стороне юзера. CONFIRMATION.KEY содержит список зашифрованных документов юзера. зашифрован pub key юзера.

[Garen]

Сегодня на почтовый ящики пользователей продолжились атаки писем с вложением со сылкой на  mail-attach com, от компании Автотрейдинг, люди обучены сразу тревогу подняли.

[Phisto]

доброго дня!

подскажите, пожалуйста, этот шифровальщик срабатывает только один раз в момент активации файла или работает постоянно? 

[VVS]

доброго дня!

подскажите, пожалуйста, этот шифровальщик срабатывает только один раз в момент активации файла или работает постоянно? 

Пока что всё, что я на эту тему встречал, было одноразовым.

[Phisto]

VVS, спасибо 

[Vazunga]

 

доброго дня!

подскажите, пожалуйста, этот шифровальщик срабатывает только один раз в момент активации файла или работает постоянно? 

Пока что всё, что я на эту тему встречал, было одноразовым.

 

То есть, если в зашифрованных файлах нет важной информации можно их все смело удалять и все? 

[gunit]

Всех приветствую, аналогичная ситуация, готов даже купить ваш антивирус если решите проблемы, у меня фото детей все в компьютере ,Все зашифровано. очень прошу найдите решение. вирус тотже

[VVS]

 

 

доброго дня!

подскажите, пожалуйста, этот шифровальщик срабатывает только один раз в момент активации файла или работает постоянно? 

Пока что всё, что я на эту тему встречал, было одноразовым.

 

То есть, если в зашифрованных файлах нет важной информации можно их все смело удалять и все? 

IMHO так.

На всякслуч для успокоения можете провериться свежим CureIt.

[username500]

Ну так что, есть ли дешёвые решения для распаковки 

.vault файлов, вымогатели ссылались на restoredz4xpmuqr.onion

??

[v.martyanov]

Общее решение такой проблемы стоит, наверное, как половина Франции.

[username500]

А можно конкретный .vault, если часть ключей осталась в папке temp?

 

файл \ размер

random_seed │ 600
pubring.gpg │ 359
confirmation.key │ 87462
vault.key │ 1368

 

 

Шифрование было таким (первый .exe это GPG, второй - Gsar: general search and replace utility, потом ещё где-то Sdelete использовалась):

 

 

"%temp%\svchost.exe" -r Cellar --trust-model always --yes -z 3 -q --homedir "%temp%" -o "D:\
"%temp%\tick.exe" -s"05FNSH-!hash5!" -r"05FNSH-OK" -o "%temp%\VAULT.KEY"
"%temp%\tick.exe" -s"05FNSH-!hash5!" -r"05FNSH-OK" -o "%appdata%\VAULT.KEY"
"%temp%\tick.exe" -s"05FNSH-!hash5!" -r"05FNSH-OK" -o "%userprofile%\Desktop\VAULT.KEY"

 

могу этот вирус запустить в виртуалбоксе и качнуть ключ снова.

это может спасти файлы по цене не выше 2х годичной подписки на др.веба?

[username500]

В конце vault.key такие строки: 

01FNSH-19369
02FNSH-21896
03FNSH-29907
04FNSH-2731
05FNSH-11946
FHASH-4104

 

это о чём-то говорит?

[Orly]

Здравствуйте. Тоже открыли ссылку на вирус, все файлы переименовались как указано у ТС, но не зашифровались (как мне сказали при открытии DrWeb SS 10 ругался).

Потом через несколько часов синий экран, перезагрузка и вот такой текстовый файл:

Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault
Для их восстановления необходимо получить уникальный ключ.

  ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:

КОРОТКО
1. Зайдите на наш веб-ресурс
2. Получите уникальный ключ
3. Восстановите файлы в прежний вид

ДЕТАЛЬНО
  Шаг 1:
Скачайте Tor браузер с официального сайта: https://www.torproject.org
  Шаг 2:
Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion
  Шаг 3:
Найтиде Ваш уникальный VAULT.KEY на компьютере, это Ваш ключ к личной клиент-панели
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
  STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё

ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
Не забывайте про время, обычно оно играет против Вас
c) Стоимость полного восстановления на ресурсе не окончательная

  Время блокировки: 24.02.2015 (12:31)

 

Собственно проблема - как все файлы назад переименовать автоматически?

[v.martyanov]

Переименование НЕ ПОМОЖЕТ.

[Orly]

Переименование НЕ ПОМОЖЕТ.

Помогает. Проверил на нескольких типах файлов: pdf, jpg, doc/xls.

Может вирус работу не закончил, но все открывается нормально после переименования.

[username500]

Может вирус работу не закончил, но все открывается нормально после переименования.

 

Повезло значит, может демо-версия вируса попалась или какой-то компонент недокачался.

 

Можно в FAR manager сделать поиск (Alt+F7) файлов *.doc.vault, выделить найденные на панели и переименовать кнопкой F6 в *.doc

и повторить процедуру с XLS и JPG.

 

 

А у моего знакомого внутри файлов полная каша получилась.

См. пример шифрованной таблицы Excel.

 

и то же предупреждение с опечаткой:

Найтиде Ваш уникальный VAULT.KEY

Время блокировки: 24.02.2015 ( 9:13)

Прикрепленные файлы:

•  schet1938.xls.vault.zip   6,32К   35 Скачано раз

Сообщение было изменено username500: 24 Февраль 2015 - 14:15