Пользователь подхватил кодировщик vault, также закодированы оказались и документы в доменной сети.
Сегодня одному из пользователей пришло угрожающее письмо от Интеграционный центр экономических инноваций [[email protected]]. Пользователь открыл содержимое. Сначала у пользователя поменяли расширения xls, xlsx и doc на локальной машине. Он не обратил внимания и продолжил работу. Залез на общесетевые диски - скрипт исправно сработал и там, все xls, xlsx и doc - стали xls.vault, xlsx.vault и doc.vault. Интересен тот факт что закодировались абсолютно все документы к которым пользователь имел сетевой доступ.
В %temp% нашёл текстовик с со следующим содержанием: Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vаult
Для их восстановления необходимо получить уникальный ключ
ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:
КРАТКО
1. Зайдите на наш веб-ресурс
2. Гарантированно получите Ваш ключ
3. Восстановите файлы в прежний вид
ДЕТАЛЬНО
Шаг 1:
Скачайте Tor браузер с официального сайта: https://www.torproject.org
Шаг 2:
Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion
Шаг 3:
Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели. Не потеряйте его
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё
ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке
c) Ваша стоимость восстановления не окончательная
Дата блокировки: 24.03.2015 (13:51)
У друзей взял декодировщик предоставленный им Eset - не подошел.
Буду признателен если поможете.
Ы.З.
Если требуется злосчастный архив с кодировщиком - могу поделиться.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Андрей Малков, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
QuarantineFile('C:\DOCUME~1\siberian\LOCALS~1\Temp\revlt.js','');
RegKeyParamDel('HKEY_USERS','S-1-5-21-2698506566-4247554632-3864236467-1134\Software\Microsoft\Windows\CurrentVersion\Run','ChristmasTree');
RegKeyParamDel('HKEY_USERS','S-1-5-21-2698506566-4247554632-3864236467-1134\Software\Microsoft\Windows\CurrentVersion\Run','tnotify');
DeleteFile('C:\DOCUME~1\siberian\LOCALS~1\Temp\revlt.js','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-2698506566-4247554632-3864236467-1134\Software\Microsoft\Windows\CurrentVersion\Run','GnuPG');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите checkbrowserslnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
После окончания работы программы в папке Log будет сохранен отчет CheckBrowserLnk.log
Новые отчёты и логи отправил.
Ещё один момент. Папку %TEMP% пользователь почистил, НО, если требуется живность от туда - я сделал копию у меня всё есть, включая VAULT.KEY и т.п.
Могу предоставить по требованию.
И ещё вопрос - хотел на вашем сайте оформить "Дополнение [1]: Помощь в расшифровке файлов, пострадавщих от шифровальщиков" за 499р.
Нажимаю "Оформить с использованием PayPal" - выбрасывает на битую ссылку.
Платные услуги у вас вообще работают?
Последний раз редактировалось Андрей Малков; 25.03.2015 в 09:24.