Показано с 1 по 14 из 14.

Зловред-шифровальщик Vault (заявка № 178272)

  1. #1
    Junior Member Репутация
    Регистрация
    25.11.2007
    Сообщений
    116
    Вес репутации
    33

    Зловред-шифровальщик Vault

    Клиенты получили письмо от своих партнеров с вирусом, который зашифровал документы Microsoft Office (по описанию он еще портит rar-архивы, pdf- и jpeg-файлы). В результате чего при запуске открывается окно Блокнота со следующим текстом:
    Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault
    Для их восстановления необходимо получить уникальный ключ.
    ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:
    КОРОТКО
    1. Зайдите на наш веб-ресурс
    2. Получите уникальный ключ
    3. Восстановите файлы в прежний вид
    ДЕТАЛЬНО
    Шаг 1:
    Скачайте Tor браузер с официального сайта: https://www.torproject.org
    Шаг 2:
    Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion
    Шаг 3:
    Найтиде Ваш уникальный VAULT.KEY на компьютере, это Ваш ключ к личной клиент-панели
    Авторизируйтесь на сайте используя ключ VAULT.KEY
    Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
    STEP 4:
    После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё
    ДОПОЛНИТЕЛЬНО
    a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
    b) Не забывайте про время, обычно оно играет против Вас
    c) Стоимость полного восстановления на ресурсе не окончательная
    Время блокировки: 24.02.2015 ( 8:49)

    На компьютере установлен Eset Smart Security с последними обновленными базами. Просканировал им машину и какую-то часть вируса удалил. На всякий случай загрузился с Dr.Web LiveDisk и тоже просканировал им, тот тоже что-то нашел и удалил какие-то остатки. Однако при загрузке опять появляется сообщение. Как его можно удалить?
    Логи сканирования прилагаю. При сканировании AVZ был создан автокарантин.
    P.S. Дешифратор от этого зловреда еще не вышел?

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    325
    Уважаемый(ая) yobot, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     QuarantineFile('C:\Users\Rex\AppData\Local\Temp\svchost.exe','');
     DeleteFile('C:\Users\Rex\AppData\Local\Temp\svchost.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TNotification');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    Вложение из письма сохранилось?

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. #4
    Junior Member Репутация
    Регистрация
    25.11.2007
    Сообщений
    116
    Вес репутации
    33
    При работе первого скрипта было выдано сообщение об ошибке такого содержания: "Invalid dll entry point". Однако карантин создался, карантин выслал по ссылке вверху темы. Письмо с вложением сохранилось. Также есть образец зашифрованного документа и его нормальная резервная копия. поможет ли это в дешифровке?
    Новые логи AVZ и HijackThis прилагаю.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Письмо с вложением сохранилось.
    Пришлите карантин согласно Приложения 1 правил по красной ссылке Прислать запрошенный карантин вверху темы.

    Информацию пробуйте восстановить из теневых копий Windows.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  7. #6
    Junior Member Репутация
    Регистрация
    25.11.2007
    Сообщений
    116
    Вес репутации
    33
    Что именно прислать? Само письмо с заголовками RFC-822 (вложение в этом письме представляет собой замаскированную гиперссылку на сайт злоумышленников вместо обычного архива)?

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Вложение из письма.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  9. #8
    Junior Member Репутация
    Регистрация
    25.11.2007
    Сообщений
    116
    Вес репутации
    33
    Повторяю: вложение в этом письме представляет собой замаскированную гиперссылку на сайт злоумышленников вместо обычного архива.
    Ну не публиковать же здесь в открытом доступе точку распространения заразы!!

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Сохраните ссылку в текстовой документ, сохраните документ, потом прикрепите к сообщению.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  11. #10
    Junior Member Репутация
    Регистрация
    25.11.2007
    Сообщений
    116
    Вес репутации
    33
    Во избежание дальнейшего распространения текстовый документ упаковал в запароленый архив. Пароль - такой же как и для каратинов.
    Для не_помощников: Не пытайтесь скачивать или открывать вложение данного сообщения! Я не несу ответственности за распространение вредоносных ссылок или заражение Вашего компьютера!

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Ссылка уже похоже мертвая. Архив счета.zip сохранился?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  13. #12
    Junior Member Репутация
    Регистрация
    25.11.2007
    Сообщений
    116
    Вес репутации
    33
    К сожалению нет. Потерянные данные восстанавливаю из резервных копий

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Хорошо что хоть резервные копии у вас оказались, а так расшифровка данных зашифрованных этим шифратором невозможна.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,506
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) yobot, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Шифровальщик .VAULT
      От DMB77 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 27.02.2015, 13:45
    2. Зашифровались файлы VAULT
      От AgentV в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 27.02.2015, 07:10
    3. Зашифровались все документы в формате vault
      От Devilmon в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 24.02.2015, 20:00
    4. Шифровальщик .vault
      От GamleTSever в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.02.2015, 14:20
    5. Ответов: 0
      Последнее сообщение: 09.09.2014, 14:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00564 seconds with 21 queries