Перейти к содержимому


Фото
- - - - -

VAULT шифровальщик, все позашифровывал

Vault шифровальщик

  • Please log in to reply
104 ответов в этой теме

#41 j0cker

j0cker

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 11 Ноябрь 2015 - 16:05

понял, простите.
сбило с истинного пути http://forum.drweb.com/index.php?showtopic=322968&page=2#entry787149

завтра начнем пробовать, у нас ночь уже

#42 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 11 Ноябрь 2015 - 16:07

Там другой номер.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#43 dimkapavlov

dimkapavlov

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 11 Ноябрь 2015 - 19:39

Все, прикрыли лавочку с vault. Те кому "повезло" подхватить трояна с 2.11 по 10.11 имеют шансы на расшифровку. После - не уверен...

Сегодня обращались в саппорт, удалось один из двух зашифрованных компьютеров расшифровать с помощью blackmagick.exe.

При запуске на втором компьютере log не пустой, но при втором запуске выдает ошибку error acquire ... - ключи не генерируются.

На первом стоит Windows Xp, на втором компьютере Windows 7. Зашифровались Vault'ом в один день.



#44 j0cker

j0cker

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 12 Ноябрь 2015 - 01:09

в семёрке хотя бы можно попытаться вытащить данные из теневых копий томов - http://forum.drweb.com/index.php?showtopic=320701#entry760695
а вот в ХР этого шанса нет, так что рад за вас.

#45 Closer

Closer

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 12 Ноябрь 2015 - 05:17

Все, прикрыли лавочку с vault. Те кому "повезло" подхватить трояна с 2.11 по 10.11 имеют шансы на расшифровку. После - не уверен...

 

Письмо пришло 2 ноября, тогда же было запущено.

Но мне до сих пор не удалось узнать версию шифровщика.

 

Поставил новую винду, подцепил винт с данными заражённой машины.

Сейчас вэб блокирует сам скрипт из письма при попытке запустить его.

Но и пишет, что это какой то вредосносый скрипт.

Прошёлся вебом по файлам заражённого компа - видит всякие медиагеты (т.е. обычный мусор от майл ру и компании), но никаких следов шифровщика не нашёл.

При этом вариант самоудаления шифровщика исключён - комп был выключен принудительно до окончания процесса шифровки (и это спасло часть файлов), а при пробном запуске (данные предварительно были скопированы) шифровщик снова принимался за работу, т.е. там он есть.



#46 andrew65

andrew65

    Newbie

  • Posters
  • 97 Сообщений:

Отправлено 12 Ноябрь 2015 - 09:29

 

Письмо пришло 2 ноября, тогда же было запущено.

Но мне до сих пор не удалось узнать версию шифровщика.

 

Поставил новую винду, подцепил винт с данными заражённой машины.

Сейчас вэб блокирует сам скрипт из письма при попытке запустить его.

Но и пишет, что это какой то вредосносый скрипт.

Прошёлся вебом по файлам заражённого компа - видит всякие медиагеты (т.е. обычный мусор от майл ру и компании), но никаких следов шифровщика не нашёл.

При этом вариант самоудаления шифровщика исключён - комп был выключен принудительно до окончания процесса шифровки (и это спасло часть файлов), а при пробном запуске (данные предварительно были скопированы) шифровщик снова принимался за работу, т.е. там он есть.

 

 А что мешает в техподдержку обратиться? Отсутствие лицензии?

Так она все равно для расшифровки потребуется.

Нет, конечно если у вас старый vault и он не успел затереть ключ...

 

Создайте отдельную тему, в общей никто вам помогать не будет.



#47 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 12 Ноябрь 2015 - 09:59

"Поставил новую винду" - молодец! Без ЖИВОЙ винды в которой троян запускался там делать нечего.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#48 Closer

Closer

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 12 Ноябрь 2015 - 11:37

А что мешает в техподдержку обратиться? Отсутствие лицензии?

 

Выше чётко прописано, что расшифровка только для определённой версии вируса.

Остальные в пролёте.

 

"Поставил новую винду" - молодец! Без ЖИВОЙ винды в которой троян запускался там делать нечего.

 

Вы читаете через строку - все опыты проводятся на отдельной машине.

На её винт скинуто всё содержимое винта заражённой.

А заражённая стоит выключенная, в надежде появления антивируса который хотя бы вирус с неё удалит.



#49 Closer

Closer

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 12 Ноябрь 2015 - 11:55

А что мешает в техподдержку обратиться? Отсутствие лицензии?

 

Они попросят сам вирус, а я им чего отвечу "извините, но антивирус его не нашёл".

Плюс им подавай логи с заражённой машины. А её включаешь - сразу продолжается шифрование.

 

А что подразумевается под лицензией? 

Коробка от антивируса утеряна (давно это было), дальше только коды продления покупались в электронном виде.



#50 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 12 Ноябрь 2015 - 12:15

 

А что мешает в техподдержку обратиться? Отсутствие лицензии?

Они попросят сам вирус, а я им чего отвечу "извините, но антивирус его не нашёл".

 

Не попросят, ибо он не нужен.
 

Плюс им подавай логи с заражённой машины.

Логи тоже не нужны.
 

А что подразумевается под лицензией?

Регистрационный номер.

 

PS

А вообще, чем заниматься тут гаданием на тему нужен/не нужен, давно бы уж сходили по соответствующей ссылке и посмотрели, что нужно.


Сообщение было изменено VVS: 12 Ноябрь 2015 - 12:16

меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#51 dimkapavlov

dimkapavlov

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 12 Ноябрь 2015 - 12:21

 

А что мешает в техподдержку обратиться? Отсутствие лицензии?

 

Они попросят сам вирус, а я им чего отвечу "извините, но антивирус его не нашёл".

Плюс им подавай логи с заражённой машины. А её включаешь - сразу продолжается шифрование.

 

А что подразумевается под лицензией? 

Коробка от антивируса утеряна (давно это было), дальше только коды продления покупались в электронном виде.

 

 

Если уж боитесь что продолжится шифрование можно и с помощью какого нибудь загрузочного диска сохранить данные на отдельный диск или на съемный



#52 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 12 Ноябрь 2015 - 12:30

Логи специального софта под этот энкодер с пораженной машины нужны.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#53 VVS

VVS

    The Master

  • Moderators
  • 19 366 Сообщений:

Отправлено 12 Ноябрь 2015 - 12:35

Логи специального софта под этот энкодер с пораженной машины нужны.

Так это, насколько я понимаю, для расшифровки.

А для того, чтобы узнать, можно ли расшифровать, ведь достаточно только самих файлов?


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#54 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 12 Ноябрь 2015 - 12:37

Ну по файлам можно понять какая версия... Но без запуска специальной тулзы расшифровки не будет точно.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#55 dimkapavlov

dimkapavlov

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 12 Ноябрь 2015 - 12:57

Со вторым компом (на котором семерка стоит) попробовали сегодня Ripperom.exe, ключи появились в c:\windows\system32. Но не подходят они для расшифровки как в поддержке сказали, но пока окончательно не сказали что невозможно расшифровать... очень надеимся на саппорт!



#56 j0cker

j0cker

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 12 Ноябрь 2015 - 17:26

могу доложить, что у нас на ХР тоже удачно проходит раскодировка (процесс еще идет).
Не всё, конечно, но более 90% от уже обработанных файлов вполне читабельны.
Видимо удовольствуемся этим.

Огромная благодарность v.martyanov за удачно найденный алгоритм, а саппорту за оперативно проведенный анализ.

#57 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 12 Ноябрь 2015 - 17:32

Странно что часть файлов не расшифровывает.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#58 j0cker

j0cker

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 12 Ноябрь 2015 - 17:37

Странно что часть файлов не расшифровывает.

я не сказал, что не расшифровывает :)
я сказал про читабельность, подозреваю, что некоторые файлы просто были битые сами по себе.

вот значки форматирования повылезали во всех доках, не знаю получится ли убрать. Буду завтра пробовать, возможно, на зараженной машине так настроен Word.

#59 j0cker

j0cker

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 13 Ноябрь 2015 - 03:02

Всё гуд. Восстановились в полном объеме. Все доки, архивы и пр. стопроцентно рабочие, в доп. правке не нуждаются.
Владимир, человечище. огромадный решпект!!!
Windows XP SP3, напомню.

#60 Closer

Closer

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 13 Ноябрь 2015 - 05:19

Windows XP SP3, напомню.

О, у меня тоже wi xp sp3.

Уточните, какие данный Вы отправляли в поддержку?

Я вот потихоньку собираю инфу для отправки, ибо боюсь, что с нынешним завалом, если чего то не предоставить могут тупо послать.





Also tagged with one or more of these keywords: Vault, шифровальщик

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых