Перейти к содержимому


Фото
- - - - -

VAULT шифровальщик, все позашифровывал

Vault шифровальщик

  • Please log in to reply
104 ответов в этой теме

#1 jester7

jester7

    Newbie

  • Posters
  • 20 Сообщений:

Отправлено 02 Ноябрь 2015 - 14:48

Сегодня по почте пришло письмо

 

ОТ КОГО:    "БУХГАЛТЕРИЯ"

 

ТЕМА:    тут было пусто

 

КОМУ: a0503156844@mail.ru <a0503156844@mail.ru>; a0_sverka5@amstor.ua <a0_sverka5@amstor.ua>; a0_sverka2@amstor.ua <a0_sverka2@amstor.ua> и .т.д ......

 

ТЕКСТ ПИСЬМА:
"Рабочие документы на ноябрь месяц, ознакомьтесь с ними.Спасибо.<br>

11/1/2015    17:05:41"


Было еще одно письмо  от  БУХГАЛТЕРИИ, там был приложен файл АРХИВ
"!Рабочие документы_2599911456.zip"
 

 

После запуска файла или после перехода по ссылке вирус активировался из

"Счета-фактуры_128-1 129-7_согласовано начальником отдела продаж_ТрансСнабКом_scanned by hewlett packard_162-10_ca15f4b9814.рdf .js"

этот скрипт выполнился и зашифровал все файлики типа : doc, xls, dbf, zip  и прочие офисные

 

Антивирусы типа : Касперский, Нод, Дрвеб, Аваст - пропустили этот вирус.

Просим помочь в лечении и в расшифровке файлов.

Очень много ДОКУМЕНТОВ  стали нечитаемыми.

Помогите.

 

 

П.С.

Прилагаю файл архив  с зашифрованными документами и вирусом, с отчетами куреита и НДЖхака.

пароль к архиву = 1234567


Сообщение было изменено maxic: 02 Ноябрь 2015 - 14:55


#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 085 Сообщений:

Отправлено 02 Ноябрь 2015 - 14:48

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

#3 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 807 Сообщений:

Отправлено 02 Ноябрь 2015 - 14:56

jester7, читайте правила! Вирусы на форум выкладывать НЕЛЬЯ!



#4 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 02 Ноябрь 2015 - 15:57

Новый троянчик, и инжект полезной нагрузки у него весело сделан :-)


Личный сайт по Энкодерам - http://vmartyanov.ru/


#5 Dmitry130663

Dmitry130663

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 02 Ноябрь 2015 - 19:33

Сегодня тоже самое на компе у супруги win7. Но она у меня работает под пользователем с ограниченными правами. И ничего не зашифровалось. Выскочило порядка 20 окошек "Разрешить внести изменения на данном компьютере....?". И окно с "Ваши файлы и базы данных были зашифрованы...." см. скрины в прикреплленых файлах

На этом компе ничего особо полезного у нас нет, потому решил немного поиграться

Отключил сеть (шнурок от роутера)

Окошки позакрывал

Проверил файлы (ни одного с расширением .vault не нашел) 

Убил незнакомые процессы

удалил много копий vault.key , vault.txt и confirmation.key в разных папках.

удалил незнакомые файлы *.js , *.bat , *.cmd (сравнивал со своей машиной т.к. у нас почти одинаковая конфигурация и приложения)

Просканил антивирем (у меня и у супруги предустановленная win7 и Security Essentials), там что-то нашлось, но из другой оперы.

Почистил комп Vit Registry Fix 9.5 (все реестр, темпы, баки ...)

Убрал из планировщика заданий все незнакомое.

Перезагрузился.

Все работает

Думаю спас то факт, что работа велась из под пользователя с огр. правами, а не из под админа.

Но напрягает, что время от времени приходится заходить под админом и не проявится ли вирус-шифровальщик? 

 

Прикрепленные файлы:



#6 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 02 Ноябрь 2015 - 20:32

Alexander13, если язык, на котором Вы изъясняетесь, и который отдалённо напоминает русский, ещё можно кое-как вытерпеть в свободном общении, то в остальных разделах форума он IMHO неуместен. :angry:

Модератор.


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#7 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 02 Ноябрь 2015 - 23:39

Новый троянчик, и инжект полезной нагрузки у него весело сделан :-)

Да, что-то странное навертели в этот раз.

 

Spoiler

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#8 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 02 Ноябрь 2015 - 23:56

Думаю, это первый инжект только, там дальше самая мякотка!


Личный сайт по Энкодерам - http://vmartyanov.ru/


#9 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 03 Ноябрь 2015 - 00:26

Антивирусы типа : Касперский, Нод, Дрвеб, Аваст - пропустили этот вирус.

Просим помочь в лечении и в расшифровке файлов.

Очень много ДОКУМЕНТОВ  стали нечитаемыми.

Помогите.

А вот врать и сочинять не хорошо. Если бы стояла 11 (или хотя бы 10) версия Dr.Web, было бы ровным счетом вот что:

 

 

(это проверено с Вашим семплом, если что).


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#10 jester7

jester7

    Newbie

  • Posters
  • 20 Сообщений:

Отправлено 03 Ноябрь 2015 - 14:41

Прошу прощения, не так написал, проверял CUREIT-ом последним (а не ДРВЕБОМ), Каспером, Нодом, Авастом



#11 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 03 Ноябрь 2015 - 14:51

Ну все правильно, перед рассылкой добились чтобы никто не детектил.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#12 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 06 Ноябрь 2015 - 19:37

В общем, в техподдержку. Сделал что мог, но не знаю как оно на реальных системах будет.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#13 numas

numas

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 09 Ноябрь 2015 - 10:25

Сегодня по почте пришло письмо

 

ОТ КОГО:    "БУХГАЛТЕРИЯ"

 

ТЕМА:    тут было пусто

 

КОМУ: a0503156844@mail.ru <a0503156844@mail.ru>; a0_sverka5@amstor.ua <a0_sverka5@amstor.ua>; a0_sverka2@amstor.ua <a0_sverka2@amstor.ua> и .т.д ......

 

ТЕКСТ ПИСЬМА:
"Рабочие документы на ноябрь месяц, ознакомьтесь с ними.Спасибо.<br>

11/1/2015    17:05:41"


Было еще одно письмо  от  БУХГАЛТЕРИИ, там был приложен файл АРХИВ
"!Рабочие документы_2599911456.zip"
 

 

После запуска файла или после перехода по ссылке вирус активировался из

"Счета-фактуры_128-1 129-7_согласовано начальником отдела продаж_ТрансСнабКом_scanned by hewlett packard_162-10_ca15f4b9814.рdf .js"

этот скрипт выполнился и зашифровал все файлики типа : doc, xls, dbf, zip  и прочие офисные

 

Антивирусы типа : Касперский, Нод, Дрвеб, Аваст - пропустили этот вирус.

Просим помочь в лечении и в расшифровке файлов.

Очень много ДОКУМЕНТОВ  стали нечитаемыми.

Помогите.

 

 

П.С.

Прилагаю файл архив  с зашифрованными документами и вирусом, с отчетами куреита и НДЖхака.

пароль к архиву = 1234567

 

Примерно такая же  ситуация.

Отправил файлы на дешифровку в Dr.Web

Пришел ответ, что пока расшифровка невозможна.

Инфа в файла ценная.

Контакты звоумышленников не записал.

Может у Вас остались. Хочу связаться, узнатьсколько будет стоить восстановление.

Если есть возможность, напишите здесь или на почту numas@ru.ru



#14 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 09 Ноябрь 2015 - 11:50

Номер тикета в личку киньте...


Личный сайт по Энкодерам - http://vmartyanov.ru/


#15 zjzaikeu

zjzaikeu

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 09 Ноябрь 2015 - 13:53

В общем, в техподдержку. Сделал что мог, но не знаю как оно на реальных системах будет.

Можете пояснить, что это значит? Появилась расшифровка? 
Тем, кто уже ранее безрезультатно обращался в техподдержку (тикет уже закрыт) нужно что-то делать?


#16 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 09 Ноябрь 2015 - 13:59

Вот сейчас я собираю финальную версию тулзы для расшифровки. Если нужна расшифровка - обращайтесь в техподдержку. Шансы на 100%, но если систему не чистили и не переставляли - шансы хорошие.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#17 andrew65

andrew65

    Newbie

  • Posters
  • 97 Сообщений:

Отправлено 09 Ноябрь 2015 - 14:45

Вот сейчас я собираю финальную версию тулзы для расшифровки. Если нужна расшифровка - обращайтесь в техподдержку. Шансы на 100%, но если систему не чистили и не переставляли - шансы хорошие.

Я правильно понимаю, что это относится к новой версии vault, которая появилась 2 ноября?

Вы уточните, а то ведь толпа народу побежит со старой версией :)



#18 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 09 Ноябрь 2015 - 14:48

 

Вот сейчас я собираю финальную версию тулзы для расшифровки. Если нужна расшифровка - обращайтесь в техподдержку. Шансы на 100%, но если систему не чистили и не переставляли - шансы хорошие.

Я правильно понимаю, что это относится к новой версии vault, которая появилась 2 ноября?

Вы уточните, а то ведь толпа народу побежит со старой версией :)

 

В новости будет отдельно указано.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#19 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 09 Ноябрь 2015 - 16:53

http://news.drweb.ru/show/?i=9689&lng=ru&c=14а вот и новость


Личный сайт по Энкодерам - http://vmartyanov.ru/


#20 zjzaikeu

zjzaikeu

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 09 Ноябрь 2015 - 17:49

С Trojan.Encoder.1418 ловить нечего?





Also tagged with one or more of these keywords: Vault, шифровальщик

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых