.vault

[COLOR=#333333]ОС Windows 7 64
[/COLOR]
02.03.2015, 09:56 получил письмо от "МАГАЗИН ЗАГАРА и маникюра" <[email protected]>:
> Здравствуйте,
> Ваш заказ прибыл.
> Все детали, необходимые для получения оплаченных товаров, - во вложении.
>
> Прикреплённые файлы:
> 1. Детали заказа.zip
>
> --
> С уважением, "МАГАЗИН ЗАГАРА & маникюра"
> г.Пермь ул.Мира, 64
> Тел. 8(342)229-74-53, 278-58-60

Т.к. супруга заказывала товары оттуда, подозрений вложение не вызвало. Скачала, открыла.
Результат: файлы с расширениями:
*.xls,*.doc
*.pdf,*.rtf
*.psd,*.dwg,*.cdr
*.cd,*.mdb,*.1cd,*.dbf,*.sqlite
*.jpg,*.zip,*.7z
зашифрованы с расширением .vault

Правда позже, владельцы электронного ящика написали, чтобы мы не открывали файл, но было уже поздно.

При загрузке компьютера, запускается текстовый файл vault.txt со следующим содержанием:
[QUOTE]


Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault
Для их восстановления необходимо получить уникальный ключ.


ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:


КРАТКО
1. Зайдите на наш веб-ресурс
2. Получите уникальный ключ
3. Восстановите файлы в прежний вид


ДЕТАЛЬНО
Шаг 1:
Скачайте Tor браузер с официального сайта: [URL]https://www.torproject.org[/URL]
Шаг 2:
Используя Tor браузер посетите сайт: [URL]http://restoredz4xpmuqr.onion[/URL]
Шаг 3:
Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё


ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Не забывайте про время, обычно оно играет против Вас
c) Стоимость полного восстановления на ресурсе не окончательная


Время блокировки: 02.03.2015 (10:31)
[/QUOTE]\
Антивирус ничего не чухнул даже.

[B]Найдены некоторые остатки файлов:[/B]
[ATTACH=CONFIG]543099[/ATTACH]
[ATTACH=CONFIG]543104[/ATTACH]
[ATTACH=CONFIG]543105[/ATTACH]

[B]Примеры шифрованных файлов:[/B]
[URL]https://yadi.sk/d/dZY3_L5vf7MTC[/URL]

[B][COLOR=#333333]Файлы анализа системы AVZ4 и HijackThis прилагаются.
[/COLOR][/B]

Уважаемый(ая) [B]MotoSheriff[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\PROGRA~3\Mozilla\qcjahac.exe','');
QuarantineFile('C:\Users\40E4~1\AppData\Local\Temp\revault.js','');
TerminateProcessByName('c:\users\40e4~1\appdata\local\temp\svchost.exe');
QuarantineFile('c:\users\40e4~1\appdata\local\temp\svchost.exe','');
DeleteFile('c:\users\40e4~1\appdata\local\temp\svchost.exe','32');
DeleteFile('C:\Users\40E4~1\AppData\Local\Temp\revault.js','32');
DeleteFile('C:\Users\40E4~1\AppData\Local\Temp\VAULT.txt','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tnotify');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vltexec');
DeleteFile('C:\PROGRA~3\Mozilla\qcjahac.exe','32');
DeleteFile('C:\Windows\system32\Tasks\rvgcaxg','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[B]Сделайте новые логи по правилам[/B]

При выполнении скрипта в AVZ (последняя версия 4.43) от имени администратора в папке C:\Temp\avz4\Quarantine\2015-03-08\ пусто...

Вы архив с AVZ распаковали или прямо из архива утилиту запускали?

[QUOTE=mike 1;1242172]Вы архив с AVZ распаковали или прямо из архива утилиту запускали?[/QUOTE]
Конечно распакован в [COLOR=#333333]C:\Temp\[/COLOR]

Тогда в карантин ничего не попало. Делайте новые логи

[QUOTE=mike 1;1242228]Тогда в карантин ничего не попало. Делайте новые логи[/QUOTE]

Пожалуйста.

[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]CheckBrowserLnk[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]checkbrowserslnk.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы в папке [b]Log[/b] будет сохранен отчет [b]CheckBrowserLnk.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]

[QUOTE=mike 1;1242398][LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]CheckBrowserLnk[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]checkbrowserslnk.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы в папке [b]Log[/b] будет сохранен отчет [b]CheckBrowserLnk.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST][/QUOTE]

Готово.

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

Есть

С расшифровкой не поможем

[QUOTE=thyrex;1242673]С расшифровкой не поможем[/QUOTE]

Спасибо за уделенное время. :hi:
Понятно, что RSA 1024 с отсутствующим мастер-ключом расшифровать за адекватное время не реально. Просканировал диски на предмет удалённых файлов-оригиналов. Глухо... видимо перезапись была. Secring.gpg себя переписал с нулевой длиной. Исследование в deep web некоторые зависимости в random'e.
[B][U]Единственные вариант[/U][/B]ы:
1- платить за фотоальбом $200 - многовато.
2- нести диск в лабораторию для глубокого сканирования поверхности и поиск удаленного секретного ключа. Тоже не дешёво.
3- забыть про фотки и с нуля построить защиту в ущерб usability.
4- искать "этих" через управление "К", ФСБ и интерпол.
5- может найдутся умельцы, чтобы ломануть их БД в deep web и все ключи поднимем.

Либо попробовать восстановить информацию из теневых копий Windows.

Защита была настроена только на диск C:\> а файлы зашифрованы на других дисках ;)
Будет уроком.

Kaspersky показал [URL="http://support.kaspersky.ru/10905"]тонкую настройку [/URL]необходимых в защите файлов.