Перейти к содержимому


Фото
- - - - -

DrWeb и Vault

drweb vault

  • Please log in to reply
20 ответов в этой теме

#1 RedRain

RedRain

    Newbie

  • Posters
  • 54 Сообщений:

Отправлено 07 Ноябрь 2015 - 15:49

Здравствуйте. Недавно узнал о новом вирусе-шифровальщике Vault. В этой статье -> https://news.mail.ru/society/23867373/  написано, что этот вирус не обнаруживается современными антивирусами. Хотелось бы узнать, может ли DrWeb обнаруживать вирус Vault, а также вирусы семейства Trojan.Encoder? И если может обнаруживать, то способен ли предовратить зашифровку файлов? Спасибо



#2 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 494 Сообщений:

Отправлено 07 Ноябрь 2015 - 15:56

Здравствуйте. Недавно узнал о новом вирусе-шифровальщике Vault. В этой статье -> https://news.mail.ru/society/23867373/  написано, что этот вирус не обнаруживается современными антивирусами. Хотелось бы узнать, может ли DrWeb обнаруживать вирус Vault, а также вирусы семейства Trojan.Encoder? И если может обнаруживать, то способен ли предовратить зашифровку файлов? Спасибо

 
У Vault много разновидностей. БОльшую часть ловим по дефолту, но не исключено, что есть и более хитрые образцы.
 
 
  
Против энкодеров лучшим средством является грамотный бекап.


Сообщение было изменено RomaNNN: 07 Ноябрь 2015 - 15:58

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#3 mike 1

mike 1

    Advanced Member

  • Posters
  • 725 Сообщений:

Отправлено 07 Ноябрь 2015 - 16:00

 

 

Хотелось бы узнать, может ли DrWeb обнаруживать вирус Vault, а также вирусы семейства Trojan.Encoder?

Может. На крайний случай есть защита от потери данных.

 


То́нут ведь не потому, что плавать не умеют. Тонут, когда нет сил оставаться на берегу.


#4 VVS

VVS

    The Master

  • Moderators
  • 17 003 Сообщений:

Отправлено 07 Ноябрь 2015 - 18:48

Здравствуйте. Недавно узнал о новом вирусе-шифровальщике Vault. В этой статье -> https://news.mail.ru/society/23867373/  написано, что этот вирус не обнаруживается современными антивирусами.

В этой статье слишком много бреда для одной статьи.
1. Не существует такого вируса-шифровальщика, как Vault, существует некоторое кол-во шифровальщиков, которые присваивают зашифрованным файлам расширение Vault.
2. Ничего нового в этой новости нет, на форуме информация о зашифрованных файлах с таким расширением появилась в марте этого года.
3. Насчёт "не детектируется антивирусными программами" - Вам уже ответили.
4. Насчёт "отсутствует подробное описание механизма работы вируса" - на форуме куча описаний работы подобных шифровальщиков.

 

А вот что интересно - в статье упоминается "Служба реагирования на компьютерные инциденты — KZ-CERT".

Если это действительно работает, то казахстанцы - молодцы, нам пример с них брать пора.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#5 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 10 Ноябрь 2015 - 09:11

то казахстанцы - молодцы, нам пример с них брать пора.

А вы позвоните им и скажите волшебное слово ваулт



#6 Олег Биль

Олег Биль

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 10 Ноябрь 2015 - 09:19

 

Здравствуйте. Недавно узнал о новом вирусе-шифровальщике Vault. В этой статье -> https://news.mail.ru/society/23867373/  написано, что этот вирус не обнаруживается современными антивирусами.

В этой статье слишком много бреда для одной статьи.
1. Не существует такого вируса-шифровальщика, как Vault, существует некоторое кол-во шифровальщиков, которые присваивают зашифрованным файлам расширение Vault.
2. Ничего нового в этой новости нет, на форуме информация о зашифрованных файлах с таким расширением появилась в марте этого года.
3. Насчёт "не детектируется антивирусными программами" - Вам уже ответили.
4. Насчёт "отсутствует подробное описание механизма работы вируса" - на форуме куча описаний работы подобных шифровальщиков.

 

А вот что интересно - в статье упоминается "Служба реагирования на компьютерные инциденты — KZ-CERT".

Если это действительно работает, то казахстанцы - молодцы, нам пример с них брать пора.

 

Здравствуйте!

Я являюсь сотрудником службы KZ-CERT и хотел бы прокомментировать Ваш пост, учитывая его эмоциональность.

>>1. Не существует такого вируса-шифровальщика, как Vault...

 

Полностью согласен, но если бы мы так написали для обычных пользователей - нас бы не все поняли.

 

>>2. Ничего нового в этой новости нет...

 

Мы реагируем на конкретную ситуацию, которую наблюдаем в настоящее время в Казахстане и предлагаем пользователям все доступные решения данной проблемы.

Статья, которую цитируете Вы была написана во время анализа ситуации с тем, чтобы предупредить пользователей об угрозе.

 

>>3. Насчёт "не детектируется антивирусными программами".

Мы получаем очень много писем и, почти каждое является уникальным и не определяется сигнатурными методами.

 

>>4. Насчёт "отсутствует подробное описание механизма работы вируса" - на форуме куча описаний работы подобных шифровальщиков.

 

Подобных - да, но мы видим вполне конкретное семейство и должны рассказать об этом пользователям, не все из них являются посетителями форумов антивирусных компаний.

 
Наши новые рекомендации включают настройки антивирусных продуктов Dr. Web и Лаборатории Касперского, направленные на предотвращение шифрования данных пользователей. Рекомендации расположены по адресу http://kz-cert.kz/ru/presscenter/certnews/?news=466
Надеюсь, это поможет многим людям избежать потери данных, поскольку, учитывая схему работы современных шифровальщиков, расшифровать данные получается очень редко.
 

>>А вот что интересно - в статье упоминается "Служба реагирования на компьютерные инциденты — KZ-CERT".

>>Если это действительно работает, то казахстанцы - молодцы, нам пример с них брать пора.

А вот за это спасибо! ;-)

 
С уважением, и надеждой на конструктивное общение,
Биль Олег,
вирусный аналитик,
Служба реагирования на компьютерные инциденты,
KZ-CERT.


#7 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 10 Ноябрь 2015 - 09:57

"Мы получаем очень много писем и, почти каждое является уникальным и не определяется сигнатурными методами." - ни одним вендором? Все что я видел ловилось, кстати. Ну и да, расшифровку мы вчера выкатили для свежего vault.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#8 VVS

VVS

    The Master

  • Moderators
  • 17 003 Сообщений:

Отправлено 10 Ноябрь 2015 - 10:16

 

"Мы получаем очень много писем и, почти каждое является уникальным и не определяется сигнатурными методами." - ни одним вендором?

Володя, тот свежачок, который сыпется непосредственно нам на почту (и который я сразу же форваржу в вирлаб), в большинстве случаев не определяется сигнатурно ни нами, ни каспером, ни нодом, ни симантеком... за остальных не скажу - внимания не обращал.

У меня нет сомнений, что технокрысы являются клиентами всех вышеозначенных антивирусных компаний (и не только их), причём, скорее всего, вполне себе лицензионными. ;)


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#9 Олег Биль

Олег Биль

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 10 Ноябрь 2015 - 11:35

 

 

"Мы получаем очень много писем и, почти каждое является уникальным и не определяется сигнатурными методами." - ни одним вендором?

Володя, тот свежачок, который сыпется непосредственно нам на почту (и который я сразу же форваржу в вирлаб), в большинстве случаев не определяется сигнатурно ни нами, ни каспером, ни нодом, ни симантеком... за остальных не скажу - внимания не обращал.

 

Про что я и говорил.



#10 Олег Биль

Олег Биль

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 10 Ноябрь 2015 - 11:37

 

 Ну и да, расшифровку мы вчера выкатили для свежего vault.

 

Как с Вами можно связаться? Мы проверим решение и сможем консультировать наших пользователей.

С уважением,

Биль Олег.


Сообщение было изменено VVS: 11 Ноябрь 2015 - 12:08


#11 VVS

VVS

    The Master

  • Moderators
  • 17 003 Сообщений:

Отправлено 10 Ноябрь 2015 - 11:50

 

 

 Ну и да, расшифровку мы вчера выкатили для свежего vault.

 

Как с Вами можно связаться? Мы проверим решение и сможем консультировать наших пользователей.

С уважением,

Биль Олег.

 

Я думаю, что Вам имеет смысл решить этот вопрос по официальным каналам.

Все контакты тут - http://company.drweb.ru/contacts/moscow/?lng=ru


Сообщение было изменено VVS: 11 Ноябрь 2015 - 12:08

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#12 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 10 Ноябрь 2015 - 11:50

 

 

 Ну и да, расшифровку мы вчера выкатили для свежего vault.

 

Как с Вами можно связаться? Мы проверим решение и сможем консультировать наших пользователей.

С уважением,

Биль Олег.

 

Пишите в личку, чо-нить придумаем...


Сообщение было изменено VVS: 11 Ноябрь 2015 - 12:08

Личный сайт по Энкодерам - http://vmartyanov.ru/


#13 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 10 Ноябрь 2015 - 12:07

Вот конкретно есть я, есть файл vault.key зашифрованная база 1cv8.1cd.vault

Зарегиться не получается в мойдрвеб, так как не приходит на почту письмо с подтверждением, чтобы создать тикет и прикрепить ему шифрованные файлы.

ввиде исключения помогите плиз, клиент готов суицид сделать у меня на глазах



#14 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 10 Ноябрь 2015 - 12:09

При чем тут "мойдрвеб"? https://support.drweb.ru/new/free_unlocker/?keyno=&for_decode=1И да, нужна рабочая винда, в которой трой запускался, а не файлы.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#15 Vladimir K.

Vladimir K.

    Member

  • Posters
  • 197 Сообщений:

Отправлено 10 Ноябрь 2015 - 12:17

И да, нужна рабочая винда, в которой трой запускался, а не файлы

 

Владимир, а можно подробнее? Файлы вообще интереса не представляют? Что тогда отправляется в вирлаб в данном случае?



#16 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 10 Ноябрь 2015 - 12:19

 

И да, нужна рабочая винда, в которой трой запускался, а не файлы

 

Владимир, а можно подробнее? Файлы вообще интереса не представляют? Что тогда отправляется в вирлаб в данном случае?

 

Не в вирлаб, а в саппорт. Пишете что у вас vault, присылаете один зашифрованный файл, ждете инструкций.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#17 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 10 Ноябрь 2015 - 13:03

Пруф товарищам из KZ-CERT предоставлен, ждем их подтверждения тут ;-)


Личный сайт по Энкодерам - http://vmartyanov.ru/


#18 Олег Биль

Олег Биль

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 10 Ноябрь 2015 - 13:12

А вот и оно! :-)

Протестировали, при содействии Владимира, утилиту.

Работает, тестовый файл расшифрован успешно.

Спасибо.

С уважением,

Биль Олег.



#19 Banzai

Banzai

    Advanced Member

  • Posters
  • 686 Сообщений:

Отправлено 10 Ноябрь 2015 - 13:13

ждете инструкций.

Владимир, объясните плиз как вы можете помочь (вернее сапорт)?

У вас появился квантовый компьютер? Как можно подобрать ассимитричный ключ? Свой ключик вирус стирает безвозратно. Давеча пытались найти этот ключик через PC3000 нету его там, он стирает его через sdelete. Если вы поймали чорта с сервером присланных ключей, то это поможет только тем кто заразился до поимки.

Как?


Работает, тестовый файл расшифрован успешно.
Спасибо.
С уважением,
Биль Олег.

Блин тоже хачу!!!



#20 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 10 Ноябрь 2015 - 13:25

Я продал душу Сотоне, он открыл мне тайну, а заодно каждый день поставляет мне халявное пиво. Техническая сторона дела никогда не должна быть опубликована. sdelete вы упомянули зря, его там нет. PC3K тоже совершенно бесполезна.

 

PS.Хотите расшифровку - вэлкам в саппорт. Гарантия не 100%, но для произвольного случая я показал что расшифровка есть. Увеличение шансов в процессе, но без продажи второй души Сотоне чот не выходит пока.


Сообщение было изменено v.martyanov: 10 Ноябрь 2015 - 13:27

Личный сайт по Энкодерам - http://vmartyanov.ru/




Also tagged with one or more of these keywords: drweb, vault

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых