Перейти к содержимому


Фото
- - - - -

Шифровальщик .vault


  • Закрыто Тема закрыта
536 ответов в этой теме

#1 Shajtan

Shajtan

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 12 Февраль 2015 - 20:32

Доброго времени суток! Словили на одной машине шифровальщика.
Пришло письмо такого содержания:

 

Тема:
Проверка налоговой
Дата:
Thu, 12 Feb 2015 13:17:03 +0200
От:
Joseph Polubinsky <info.slc.spb@mail.ru>
Кому:


Уважаемые коллеги,
При проведении налоговой проверки, проверяющие истребовали первичные документы, касающиеся нашей с Вами работы.

К сожалению, мы уже несколько дней не можем найти несколько актов приема-передачи и оригинал договора, заключенного в 2013 году.

Просим ознакомиться с запросом налоговой службы (текст - во вложении) и проверить наличие указанных в нем документов.
Если Вы их отыщете, вышлите нам документы.
Большое спасибо.
--
Sincerely,
Joseph Polubinsky

Special Logistic Company Ltd.
Phone/fax: +7 812 430-42-67
Phone: +7 812 430-43-39





К нему приаттачен zip, в зипе - js, его, конечно-же, запустили. Скрипт закачивает в %TEMP% всё нужное для работы, потом шифрует файлы doc, xls, jpg, docx, xlsx. (возможно, ещё какие-то). Там же создаёт лог работы, ключ и сообщение:

 

All your important data have been encrypted into LOCAL DIGITAL VAULT
You need to get your UNIQUE KEY to restore files with extension .vault

THE PROCEDURE FOR OBTAINING YOUR PERSONAL KEY:

BRIEFLY
1. Access our secure website
2. Get your personal key
3. Unlock files

DETAILED
STEP 1:
Download Tor browser from official site:
Instructions for launching Tor browser:
STEP 2:
Visit our web resource using Tor browser:
If you CAN NOT access this website, read this:
STEP 3:
Find your personal VAULT.KEY on computer, it's your key for accessing Client Panel
Log into your personal fully automated Client Panel via VAULT.KEY
Read FAQ carefully in the relevant section.
STEP 4:
After receiving key, you can decode your files using our open source software.

ADDITIONAL
a) You can't restore encrypted files without your personal key (which is securely stored on our server)
B) Do not forget about TIME. Usually it plays against you.

ENCRYPT TIME: 12.02.2015 (15:56)




Прилагаю лог работы CureIT, зашифрованный файл https://yadi.sk/d/X4Hj2jDyedjmQ, данные по машине - на Яндексдиске, сюда не приаттачились: https://yadi.sk/d/Bahuo1mRedmpy. Также даю ссылку на содержимое %TEMP% с поражённой машины:

Прикрепленные файлы:

  • Прикрепленный файл  cureit.zip   247,14К   71 Скачано раз

Сообщение было изменено VVS: 12 Февраль 2015 - 22:04
"Нехорошие" ссылки убрал


#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 687 Сообщений:

Отправлено 12 Февраль 2015 - 20:32

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

#3 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 12 Февраль 2015 - 20:51

Комрады, попробуйте на зашифрованный файл gpg -d сделать... Чот мне кажется что там оно. Ну и через PGP тож надо попробовать...


Личный сайт по Энкодерам - http://vmartyanov.ru/


#4 mike 1

mike 1

    Advanced Member

  • Posters
  • 726 Сообщений:

Отправлено 12 Февраль 2015 - 21:41

Комрады, попробуйте на зашифрованный файл gpg -d сделать... Чот мне кажется что там оно. Ну и через PGP тож надо попробовать...

gpg: зашифровано ключом RSA с ID 996E88A8
gpg: сбой расшифрования: No secret key

То́нут ведь не потому, что плавать не умеют. Тонут, когда нет сил оставаться на берегу.


#5 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 12 Февраль 2015 - 21:57

Ога, GPG значит...


Личный сайт по Энкодерам - http://vmartyanov.ru/


#6 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 340 Сообщений:

Отправлено 12 Февраль 2015 - 21:59

Ссыль может тоже убрать?  -  на содержимое %TEMP% с поражённой машины....а то там и скрипт и криптер....и почти ни кто не детектит. 



#7 VVS

VVS

    The Master

  • Moderators
  • 17 403 Сообщений:

Отправлено 12 Февраль 2015 - 22:09

Dmitry Shutov, TNX


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#8 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 12 Февраль 2015 - 22:11

В вирлаб бы их, я в понедельник посмотрю.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#9 VVS

VVS

    The Master

  • Moderators
  • 17 403 Сообщений:

Отправлено 12 Февраль 2015 - 22:12

В вирлаб бы их, я в понедельник посмотрю.

Уже.

Тикет в личке.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#10 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 688 Сообщений:

Отправлено 13 Февраль 2015 - 00:11

Да там целый зоопарк закачивается.

 

P.S. это говноподелка не запускается на x64 платформе. Но этим, видно, пожертвовали, чтобы распараллелить процесс шифрования и сбить анализатор на x86.

 

Shajtan, спасибо за образцы.


Сообщение было изменено RomaNNN: 13 Февраль 2015 - 00:11

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#11 Garen

Garen

    Newbie

  • Posters
  • 7 Сообщений:

Отправлено 18 Февраль 2015 - 19:43

Сегодня словили на работе на 3 рабочих станциях эту же гадость. Добавлю что также создаются файлы в  папке %appdata%  vault.key и confirmation.key



#12 Juravlev

Juravlev

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 19 Февраль 2015 - 10:02

Всем здрасти!

Я тоже подцепил выше указанный vault с все один в один как описано.

Подскажите как избывиться от этого?



#13 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 284 Сообщений:

Отправлено 19 Февраль 2015 - 10:17

Juravlev, в техподдержку.



#14 Juravlev

Juravlev

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 19 Февраль 2015 - 10:28

Juravlev, в техподдержку.

Своими силами не решить?



#15 VVS

VVS

    The Master

  • Moderators
  • 17 403 Сообщений:

Отправлено 19 Февраль 2015 - 10:30

 

Juravlev, в техподдержку.

Своими силами не решить?

Нет.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#16 Juravlev

Juravlev

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 19 Февраль 2015 - 10:36

Техподдержка это к кому?



#17 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 19 Февраль 2015 - 10:38

Техподдержка это к кому?

https://support.drweb.ru/support_wizard/?lng=ru


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#18 VVS

VVS

    The Master

  • Moderators
  • 17 403 Сообщений:

Отправлено 19 Февраль 2015 - 10:38

Техподдержка это к кому?

Пункт № 3 сообщения № 2 в этой теме.

Прочитать и выполнить написанное.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#19 Juravlev

Juravlev

    Newbie

  • Posters
  • 4 Сообщений:

Отправлено 19 Февраль 2015 - 10:39

Спасибо!



#20 Boundless

Boundless

    Newbie

  • Members
  • 1 Сообщений:

Отправлено 19 Февраль 2015 - 13:17

Подскажите, как убедится что вирусняк точно излечен ? (фиг с ними уже с файлами). Все батники в папке \Users\Userxxx\AppData\Local и Roaming я почистил. Папки временных файлов тоже. CureIT полечил только hosts файл. Security Essentials еще пару зараз нашел, после и тоже почистил.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых