Вирус-шифровальщик зашифровал все документы на компьютере
Прищёл по почте файл с длинным именем и расширением js. Внутри шифрованный макрос для офиса. Пользователь запустил.
Запускается процесс, скрытый руткитом. Шифрует все документы, добавляя расширение .vault. Потом выводит html с описанием процедуры как заплатить денег.
Все документы теперь имеют расширение .vault и зашифрованы:
gpg: encrypted with RSA key, ID 83719F36
gpg: decryption failed: secret key not available
Ни одним антивирусом, судя по virustotal, не ловится. Гуглпочта тоже ничего не заподозрила.
После отработки вируса в системе остались файлы VAULT.KEY, CONFIRMATION.KEY и инструкция о том куда платить деньги.
Среди удалённых файлов обнаружил secring.gpg, но, к сожалению, пустой.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) unree, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
QuarantineFile('C:\Windows\Temp\RemoveFolder.exe','');
QuarantineFile('C:\Windows\Temp\LaunchAR.exe','');
DeleteFile('C:\Windows\Temp\LaunchAR.exe','32');
DeleteFile('C:\Windows\Temp\RemoveFolder.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','DeleteRemoveFolder');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','DeleteLaunchAR');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
А Вы предполагали найти приватный ключ в тех двух закарантиненых файлах? Я думал, что он может быть только в secring.gpg, но он в моём случае обнулён и стёрт.
А Вы предполагали найти приватный ключ в тех двух закарантиненых файлах?
Нет. Это остатки вирусных следов.
Я думал, что он может быть только в secring.gpg
Верно, но он 16 раз перезаписывается, а потом удаляется. Результат сохраняется в файл VAULT.KEY и потом шифруется 2 открытым ключом злоумышленника. Файл VAULT.KEY содержит код на расшифровку ваших файлов в зашифрованном виде.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: