Пользователь подхватил кодировщик vault, также закодированы оказались и документы в доменной сети.

Сегодня одному из пользователей пришло угрожающее письмо от [FONT=Arial][COLOR=#000000]Интеграционный центр экономических инноваций [[email protected]].[/COLOR][/FONT]
[FONT=Arial][COLOR=#000000]Пользователь открыл содержимое.[/COLOR][/FONT]
[FONT=Arial][COLOR=#000000]Сначала у пользователя поменяли расширения xls, xlsx и doc на локальной машине. Он не обратил внимания и продолжил работу. Залез на общесетевые диски - скрипт исправно сработал и там, все [/COLOR][/FONT][COLOR=#000000][FONT=Arial]xls, xlsx и doc [/FONT][/COLOR][FONT=Arial][COLOR=#000000]- стали [/COLOR][/FONT][COLOR=#000000][FONT=Arial]xls.vault, xlsx[/FONT][/COLOR][COLOR=#000000][FONT=Arial].vault[/FONT][/COLOR][COLOR=#000000][FONT=Arial] и doc[/FONT][/COLOR][FONT=Arial][COLOR=#000000].vault. Интересен тот факт что закодировались абсолютно все документы к которым пользователь имел сетевой доступ.
В %temp% нашёл текстовик с со следующим содержанием:
[/COLOR][/FONT]Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vаult
Для их восстановления необходимо получить уникальный ключ


ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:


КРАТКО
1. Зайдите на наш веб-ресурс
2. Гарантированно получите Ваш ключ
3. Восстановите файлы в прежний вид


ДЕТАЛЬНО
Шаг 1:
Скачайте Tor браузер с официального сайта: [URL]https://www.torproject.org[/URL]
Шаг 2:
Используя Tor браузер посетите сайт: [URL]http://restoredz4xpmuqr.onion[/URL]
Шаг 3:
Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели. Не потеряйте его
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё


ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке
c) Ваша стоимость восстановления не окончательная


Дата блокировки: 24.03.2015 (13:51)
[FONT=Arial][COLOR=#000000]
У друзей взял декодировщик предоставленный им Eset - не подошел.
Буду признателен если поможете.

Ы.З.
Если требуется злосчастный архив с кодировщиком - могу поделиться. [/COLOR][/FONT];)

Уважаемый(ая) [B]Андрей Малков[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
QuarantineFile('C:\DOCUME~1\siberian\LOCALS~1\Temp\revlt.js','');
RegKeyParamDel('HKEY_USERS','S-1-5-21-2698506566-4247554632-3864236467-1134\Software\Microsoft\Windows\CurrentVersion\Run','ChristmasTree');
RegKeyParamDel('HKEY_USERS','S-1-5-21-2698506566-4247554632-3864236467-1134\Software\Microsoft\Windows\CurrentVersion\Run','tnotify');
DeleteFile('C:\DOCUME~1\siberian\LOCALS~1\Temp\revlt.js','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-2698506566-4247554632-3864236467-1134\Software\Microsoft\Windows\CurrentVersion\Run','GnuPG');
ExecuteSysClean;
RebootWindows(true);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]CheckBrowserLnk[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]checkbrowserslnk.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы в папке [b]Log[/b] будет сохранен отчет [b]CheckBrowserLnk.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]

Новые отчёты и логи отправил.
Ещё один момент. Папку %TEMP% пользователь почистил, НО, если требуется живность от туда - я сделал копию у меня всё есть, включая VAULT.KEY и т.п.
Могу предоставить по требованию.

И ещё вопрос - хотел на вашем сайте оформить "Дополнение [1]: Помощь в расшифровке файлов, пострадавщих от шифровальщиков" за 499р.
Нажимаю "Оформить с использованием PayPal" - выбрасывает на битую ссылку.
Платные услуги у вас вообще работают?

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

[QUOTE]Платные услуги у вас вообще работают?[/QUOTE]
Работают, но вам с расшифровкой не поможем так что нет смысла оформлять подписку.

готово

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=mike 1;1251090][list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]


Работают, но вам с расшифровкой не поможем так что нет смысла оформлять подписку.[/QUOTE]

Для чего тогда делаю дальнейшие действия? :O

[QUOTE]Для чего тогда делаю дальнейшие действия?[/QUOTE]
Чтобы хотя бы компоненты шифровальщика на горячую не работали. ;)

Логи в порядке. С расшифровкой не поможем.

Огромное Вам Спасибо! :>