Перейти к содержимому


Фото
- - - - -

VAULT шифровальщик, все позашифровывал

Vault шифровальщик

  • Please log in to reply
104 ответов в этой теме

#21 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 09 Ноябрь 2015 - 17:50

С Trojan.Encoder.1418 ловить нечего?

В огороде бузина, в Киеве - дядька. Внимательно читайте тему в которую вы пишете.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#22 Closer

Closer

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 11 Ноябрь 2015 - 05:57

У нас ситуация один в один как в первом посте, т.е. вирус прилетел 2 ноября и вывел по итогу картинку как на скриншоте первого поста.

 

Вот только как узнать, та ли эта версия вируса, если антивирусы (пробовал касперского и вэба) его не видят?

т.е. есть во прям архив с этим шифровальщиком, но запуск его на машине (специально под это дело выделили отдельный комп) под "защитой" веба с самыми последними базами приводит к шифрованию файлов при полной молчанке вэба.

То же самое с касперским.



#23 santy

santy

    Member

  • Posters
  • 207 Сообщений:

Отправлено 11 Ноябрь 2015 - 06:47

Closer,

проверьте возможность расшифровки зашифрованного файла с помощью gnupg.

если выдаст что "не найден формат openPGP", значит файлы зашифрованы новым вариантом ВАУЛТа, тем что в ходу со 2 ноября.

 

а вообще, последнее упоминание об активности прежнего бат-энкодера (vault) датируется 30октября.

после 30октября этот вариант (с шифрованием gnupg) ушел в тень/отпуск/заслуженный отдых и .т.п.


Сообщение было изменено santy: 11 Ноябрь 2015 - 06:47


#24 VVS

VVS

    The Master

  • Moderators
  • 17 676 Сообщений:

Отправлено 11 Ноябрь 2015 - 08:09

У нас ситуация один в один как в первом посте, т.е. вирус прилетел 2 ноября и вывел по итогу картинку как на скриншоте первого поста.

 

Вот только как узнать, та ли эта версия вируса, если антивирусы (пробовал касперского и вэба) его не видят?

т.е. есть во прям архив с этим шифровальщиком, но запуск его на машине (специально под это дело выделили отдельный комп) под "защитой" веба с самыми последними базами приводит к шифрованию файлов при полной молчанке вэба.

То же самое с касперским.

А версия DrWeb какая?


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#25 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 11 Ноябрь 2015 - 09:51

Саппорт пишет про единичные случаи старого vault и после 2.11, но это даты подачи заявок. Еще у нового Vault нет характерного GPG-заголовка, и на doc-файлах очень хорошо видно версию. Но это сложно объяснить, надо руку набить.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#26 Closer

Closer

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 11 Ноябрь 2015 - 12:14

А версия DrWeb какая?

 

 

Свежий cureit, плюс запуск вируса на чистой машине с установленным, активированным (пробный период), и обновлённым вэбом.

 

При этом отправленный образец (через форму на этот сайте) отвергли, мол в базе уже есть.

 

Справедливости ради, касперский тоже его игнорирует.

 

 

Саппорт пишет про единичные случаи старого vault и после 2.11, но это даты подачи заявок.

 

 

Может по скрину можно понять версию:

 

Прикрепленный файл  Безымянный.jpg   279,3К   0 Скачано раз



#27 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 11 Ноябрь 2015 - 12:16

Новая версия, судя по всему.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#28 1eonov

1eonov

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 11 Ноябрь 2015 - 12:19

Closer, v.martyanov, это точно реакция на вирус, а не на hta-файл с инструкцией? У меня, например, антивирус не отреагировал на hta, а вирус из письма распознал.



#29 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 11 Ноябрь 2015 - 12:20

hta детектить не будем, пусть этим "мусорщики" занимаются :-) Если детекта нет - SHA1 в студию или номер тикета.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#30 Closer

Closer

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 11 Ноябрь 2015 - 12:25

hta детектить не будем, пусть этим "мусорщики" занимаются :-)

 

 

Я посылал не файл картинки, а архив с скриптом.

 

Прикрепленный файл  2015-11-11_162751.png   37,89К   0 Скачано раз

 

SHA1 в студию или номер тикета.

 

6394505


Сообщение было изменено Closer: 11 Ноябрь 2015 - 12:25


#31 VVS

VVS

    The Master

  • Moderators
  • 17 676 Сообщений:

Отправлено 11 Ноябрь 2015 - 12:25

А версия DrWeb какая?

Свежий cureit, плюс запуск вируса на чистой машине с установленным, активированным (пробный период), и обновлённым вэбом.

А версия DrWeb какая?

--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#32 Closer

Closer

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 11 Ноябрь 2015 - 12:44

А версия DrWeb какая?
как будто есть выбор - "drweb-11.0-ss-win.exe" единственное, что можно скачать с сайта.

Сейчас пошли на второй круг - новая система и новый вэб, т.к. может после установки-удаления касперского чего осталось, что блокирует по тихому работу вэба....



#33 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 11 Ноябрь 2015 - 12:46

Соответствующая запись была добавлена на прошлой неделе.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#34 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 845 Сообщений:

Отправлено 11 Ноябрь 2015 - 12:48

Что 10, что 11 версии должны блокировать работу энкодера, если не была отключена защита целостности программ (защита от инжектов).

 

Интересно бы посмотреть логи сервиса с зараженной машины. Можете выложить отчет Dr.Web с той машины?

 

И скрипт, который Вы в вирлаб отправляли, тоже в личку можно? Проверю.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#35 VVS

VVS

    The Master

  • Moderators
  • 17 676 Сообщений:

Отправлено 11 Ноябрь 2015 - 12:54

 

А версия DrWeb какая?

как будто есть выбор - "drweb-11.0-ss-win.exe" единственное, что можно скачать с сайта.

 

Ну дык, откуда у меня уверенность, что Вы именно с сайта скачивали? :)
Народ иногда такие раритеты устанавливает... :facepalm:


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#36 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 11 Ноябрь 2015 - 14:00

Все, прикрыли лавочку с vault. Те кому "повезло" подхватить трояна с 2.11 по 10.11 имеют шансы на расшифровку. После - не уверен...


Личный сайт по Энкодерам - http://vmartyanov.ru/


#37 j0cker

j0cker

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 11 Ноябрь 2015 - 15:46

Все, прикрыли лавочку с vault. Те кому "повезло" подхватить трояна с 2.11 по 10.11 имеют шансы на расшифровку. После - не уверен...

то есть, имеем шансы?
подцепили 10 ноября, сразу обратились в саппорт. Тикет XXXX-XXXX. Но уже более суток молчания, то ли не дошел ход, то ли в процессе. Посмотрите, плз?


Сообщение было изменено RomaNNN: 11 Ноябрь 2015 - 15:55
Номера тикетов из саппорта нельзя публиковать


#38 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 11 Ноябрь 2015 - 15:49

Номера тикетов из саппорта нельзя публиковать...


Личный сайт по Энкодерам - http://vmartyanov.ru/


#39 j0cker

j0cker

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 11 Ноябрь 2015 - 15:59

сорри, а как тогда?

о, пошел процесс вроде (с перепиской, имею в виду).

Сообщение было изменено j0cker: 11 Ноябрь 2015 - 16:01


#40 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 11 Ноябрь 2015 - 16:01

Личка же есть, если просят. Я спросил у сотрудника саппорта что там, сам, увы, не могу видеть результаты. Их тоже не надо публиковать :-)


Личный сайт по Энкодерам - http://vmartyanov.ru/




Also tagged with one or more of these keywords: Vault, шифровальщик

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых