Показано с 1 по 8 из 8.

Пользователь подхватил кодировщик vault, также закодированы оказались и документы в доменной сети. (заявка № 180381)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    24.03.2015
    Сообщений
    4
    Вес репутации
    7

    Пользователь подхватил кодировщик vault, также закодированы оказались и документы в доменной сети.

    Сегодня одному из пользователей пришло угрожающее письмо от Интеграционный центр экономических инноваций [icei@icei.msk.ru].
    Пользователь открыл содержимое.
    Сначала у пользователя поменяли расширения xls, xlsx и doc на локальной машине. Он не обратил внимания и продолжил работу. Залез на общесетевые диски - скрипт исправно сработал и там, все xls, xlsx и doc - стали xls.vault, xlsx.vault и doc.vault. Интересен тот факт что закодировались абсолютно все документы к которым пользователь имел сетевой доступ.
    В %temp% нашёл текстовик с со следующим содержанием:
    Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vаult
    Для их восстановления необходимо получить уникальный ключ


    ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:


    КРАТКО
    1. Зайдите на наш веб-ресурс
    2. Гарантированно получите Ваш ключ
    3. Восстановите файлы в прежний вид


    ДЕТАЛЬНО
    Шаг 1:
    Скачайте Tor браузер с официального сайта: https://www.torproject.org
    Шаг 2:
    Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion
    Шаг 3:
    Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели. Не потеряйте его
    Авторизируйтесь на сайте используя ключ VAULT.KEY
    Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
    STEP 4:
    После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё


    ДОПОЛНИТЕЛЬНО
    a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
    b) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке
    c) Ваша стоимость восстановления не окончательная


    Дата блокировки: 24.03.2015 (13:51)

    У друзей взял декодировщик предоставленный им Eset - не подошел.
    Буду признателен если поможете.

    Ы.З.
    Если требуется злосчастный архив с кодировщиком - могу поделиться.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    327
    Уважаемый(ая) Андрей Малков, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     QuarantineFile('C:\DOCUME~1\siberian\LOCALS~1\Temp\revlt.js','');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-2698506566-4247554632-3864236467-1134\Software\Microsoft\Windows\CurrentVersion\Run','ChristmasTree');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-2698506566-4247554632-3864236467-1134\Software\Microsoft\Windows\CurrentVersion\Run','tnotify');
     DeleteFile('C:\DOCUME~1\siberian\LOCALS~1\Temp\revlt.js','32');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-2698506566-4247554632-3864236467-1134\Software\Microsoft\Windows\CurrentVersion\Run','GnuPG');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    1. Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите checkbrowserslnk.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. После окончания работы программы в папке Log будет сохранен отчет CheckBrowserLnk.log
    5. Прикрепите этот отчет в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    24.03.2015
    Сообщений
    4
    Вес репутации
    7
    Новые отчёты и логи отправил.
    Ещё один момент. Папку %TEMP% пользователь почистил, НО, если требуется живность от туда - я сделал копию у меня всё есть, включая VAULT.KEY и т.п.
    Могу предоставить по требованию.

    И ещё вопрос - хотел на вашем сайте оформить "Дополнение [1]: Помощь в расшифровке файлов, пострадавщих от шифровальщиков" за 499р.
    Нажимаю "Оформить с использованием PayPal" - выбрасывает на битую ссылку.
    Платные услуги у вас вообще работают?
    Вложения Вложения
    Последний раз редактировалось Андрей Малков; 25.03.2015 в 09:24.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.


    Платные услуги у вас вообще работают?
    Работают, но вам с расшифровкой не поможем так что нет смысла оформлять подписку.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    24.03.2015
    Сообщений
    4
    Вес репутации
    7
    готово

    - - - - -Добавлено - - - - -

    Цитата Сообщение от mike 1 Посмотреть сообщение
    • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.



    Работают, но вам с расшифровкой не поможем так что нет смысла оформлять подписку.
    Для чего тогда делаю дальнейшие действия?
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Для чего тогда делаю дальнейшие действия?
    Чтобы хотя бы компоненты шифровальщика на горячую не работали.

    Логи в порядке. С расшифровкой не поможем.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  9. #8
    Junior Member (OID) Репутация
    Регистрация
    24.03.2015
    Сообщений
    4
    Вес репутации
    7
    Огромное Вам Спасибо!

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 02.03.2015, 18:25
  2. документы переименовались в vault.
    От Лиапольт в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 01.03.2015, 01:09
  3. Зашифровались все документы в формате vault
    От Devilmon в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 24.02.2015, 20:00
  4. Ответов: 4
    Последнее сообщение: 23.01.2015, 13:21
  5. Ответов: 0
    Последнее сообщение: 06.06.2012, 23:00

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01327 seconds with 21 queries