Показано с 1 по 16 из 16.

.vault (заявка № 179098)

  1. #1
    Junior Member Репутация
    Регистрация
    08.03.2015
    Сообщений
    8
    Вес репутации
    34

    .vault

    ОС Windows 7 64

    02.03.2015, 09:56 получил письмо от "МАГАЗИН ЗАГАРА и маникюра" <[email protected]>:
    > Здравствуйте,
    > Ваш заказ прибыл.
    > Все детали, необходимые для получения оплаченных товаров, - во вложении.
    >
    > Прикреплённые файлы:
    > 1. Детали заказа.zip
    >
    > --
    > С уважением, "МАГАЗИН ЗАГАРА & маникюра"
    > г.Пермь ул.Мира, 64
    > Тел. 8(342)229-74-53, 278-58-60

    Т.к. супруга заказывала товары оттуда, подозрений вложение не вызвало. Скачала, открыла.
    Результат: файлы с расширениями:
    *.xls,*.doc
    *.pdf,*.rtf
    *.psd,*.dwg,*.cdr
    *.cd,*.mdb,*.1cd,*.dbf,*.sqlite
    *.jpg,*.zip,*.7z
    зашифрованы с расширением .vault

    Правда позже, владельцы электронного ящика написали, чтобы мы не открывали файл, но было уже поздно.

    При загрузке компьютера, запускается текстовый файл vault.txt со следующим содержанием:


    Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault
    Для их восстановления необходимо получить уникальный ключ.


    ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:


    КРАТКО
    1. Зайдите на наш веб-ресурс
    2. Получите уникальный ключ
    3. Восстановите файлы в прежний вид


    ДЕТАЛЬНО
    Шаг 1:
    Скачайте Tor браузер с официального сайта: https://www.torproject.org
    Шаг 2:
    Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion
    Шаг 3:
    Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели
    Авторизируйтесь на сайте используя ключ VAULT.KEY
    Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
    STEP 4:
    После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё


    ДОПОЛНИТЕЛЬНО
    a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
    b) Не забывайте про время, обычно оно играет против Вас
    c) Стоимость полного восстановления на ресурсе не окончательная


    Время блокировки: 02.03.2015 (10:31)
    \
    Антивирус ничего не чухнул даже.

    Найдены некоторые остатки файлов:
    files.jpg
    pubring_gpg.jpg
    secring_gpg.jpg

    Примеры шифрованных файлов:
    https://yadi.sk/d/dZY3_L5vf7MTC

    Файлы анализа системы AVZ4 и HijackThis прилагаются.
    Вложения Вложения
    Последний раз редактировалось MotoSheriff; 08.03.2015 в 12:38.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) MotoSheriff, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\PROGRA~3\Mozilla\qcjahac.exe','');
     QuarantineFile('C:\Users\40E4~1\AppData\Local\Temp\revault.js','');
     TerminateProcessByName('c:\users\40e4~1\appdata\local\temp\svchost.exe');
     QuarantineFile('c:\users\40e4~1\appdata\local\temp\svchost.exe','');
     DeleteFile('c:\users\40e4~1\appdata\local\temp\svchost.exe','32');
     DeleteFile('C:\Users\40E4~1\AppData\Local\Temp\revault.js','32');
     DeleteFile('C:\Users\40E4~1\AppData\Local\Temp\VAULT.txt','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tnotify');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vltexec');
     DeleteFile('C:\PROGRA~3\Mozilla\qcjahac.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\rvgcaxg','64');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи по правилам
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    08.03.2015
    Сообщений
    8
    Вес репутации
    34
    При выполнении скрипта в AVZ (последняя версия 4.43) от имени администратора в папке C:\Temp\avz4\Quarantine\2015-03-08\ пусто...

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Вы архив с AVZ распаковали или прямо из архива утилиту запускали?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Junior Member Репутация
    Регистрация
    08.03.2015
    Сообщений
    8
    Вес репутации
    34
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Вы архив с AVZ распаковали или прямо из архива утилиту запускали?
    Конечно распакован в C:\Temp\

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Тогда в карантин ничего не попало. Делайте новые логи
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    08.03.2015
    Сообщений
    8
    Вес репутации
    34
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Тогда в карантин ничего не попало. Делайте новые логи
    Пожалуйста.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите checkbrowserslnk.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. После окончания работы программы в папке Log будет сохранен отчет CheckBrowserLnk.log
    5. Прикрепите этот отчет в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #10
    Junior Member Репутация
    Регистрация
    08.03.2015
    Сообщений
    8
    Вес репутации
    34
    Цитата Сообщение от mike 1 Посмотреть сообщение
    1. Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите checkbrowserslnk.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. После окончания работы программы в папке Log будет сохранен отчет CheckBrowserLnk.log
    5. Прикрепите этот отчет в вашей теме.
    Готово.
    Вложения Вложения

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    08.03.2015
    Сообщений
    8
    Вес репутации
    34
    Есть
    Вложения Вложения

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    С расшифровкой не поможем
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    08.03.2015
    Сообщений
    8
    Вес репутации
    34
    Цитата Сообщение от thyrex Посмотреть сообщение
    С расшифровкой не поможем
    Спасибо за уделенное время.
    Понятно, что RSA 1024 с отсутствующим мастер-ключом расшифровать за адекватное время не реально. Просканировал диски на предмет удалённых файлов-оригиналов. Глухо... видимо перезапись была. Secring.gpg себя переписал с нулевой длиной. Исследование в deep web некоторые зависимости в random'e.
    Единственные варианты:
    1- платить за фотоальбом $200 - многовато.
    2- нести диск в лабораторию для глубокого сканирования поверхности и поиск удаленного секретного ключа. Тоже не дешёво.
    3- забыть про фотки и с нуля построить защиту в ущерб usability.
    4- искать "этих" через управление "К", ФСБ и интерпол.
    5- может найдутся умельцы, чтобы ломануть их БД в deep web и все ключи поднимем.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Либо попробовать восстановить информацию из теневых копий Windows.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #16
    Junior Member Репутация
    Регистрация
    08.03.2015
    Сообщений
    8
    Вес репутации
    34
    Защита была настроена только на диск C:\> а файлы зашифрованы на других дисках
    Будет уроком.

    Kaspersky показал тонкую настройку необходимых в защите файлов.

Похожие темы

  1. Проблема .vault
    От r0y в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 22.03.2015, 23:19
  2. Вирус *.doc.vault
    От vilnur83 в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 06.03.2015, 18:43
  3. Шифровирус VAULT
    От Аскар Мавлютов в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 03.03.2015, 00:27
  4. зашифровано .VAULT
    От saga029 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 02.03.2015, 19:16
  5. Шифровальщик .VAULT
    От АнтонСергеевич в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 02.03.2015, 19:13

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00700 seconds with 20 queries