Printable View
Здравствуйте!
21-22 июля один из наших сотрудников схватил вирус (из письма по почте), который зашифровал документы и добавил к ним расширение VAULT.
На всякий случай забрал файлы VAULT.hta, VAULT.KEY. Сохранил несколько зашифрованных файлов. Вдруг Вам понадобятся. Письмо сохранить не удалось. Прикрепил отчёты по инструкции. Прочитал в Интернете, что у Вас получилось найти способ расшифровки данной заразы. Надеюсь это не новая версия трояна. На неё на сколько я знаю ещё не нашли управу.:)
Уважаемый(ая) [B]Testerekb[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list=1][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
Прикрепил.
[QUOTE]Ran by Jumataeva (ATTENTION: The user is not administrator) on OGZ-3 (28-07-2016 15:15:33)
[/QUOTE]
Переделывайте от имени Администратора.
Пардон! Ошибочно предположил, что надо запустить из под виновного пользователя. Прикрепил.:>
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Письмо с вирусом нашли. Сделал скрин текста и названия файла архива. Для теста попробовал скачать это вложение (через безопасный компьютер).
"Красно-чёрный" антивирус его пропустил, а "Зелёный" сразу грохнул даже не дав скачать архив. Не мудрено, что этот файл попал к нашему сотруднику - почта, которой мы пользуемся - использует технологию "Красно-чёрного" антивируса для проверки писем. Если надо могу скинуть скрин этого письма.
[QUOTE]Не мудрено, что этот файл попал к нашему сотруднику - почта, которой мы пользуемся - использует технологию "Красно-чёрного" антивируса для проверки писем.[/QUOTE]
А голова на плечах на что? Актуальные версии Антивируса Касперского ловят по поведению такое. Отсутствие сигнатуры в базах еще ни о чем не говорит.
[QUOTE]AV: ESET NOD32 Antivirus 3.0 (Enabled - Up to date) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
[/QUOTE]
С такой древней версией не мудрено, что поймали шифровальщика. 9 версия актуальная, а у вас 3 стоит.
[QUOTE]Internet Explorer Version 6 (Default browser: IE)
[/QUOTE]
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Смените все пароли. С расшифровкой не поможем. Логи в порядке.
- А голова на плечах на что? Актуальные версии Антивируса Касперского ловят по поведению такое. Отсутствие сигнатуры в базах еще ни о чем не говорит.
- Я о том, что в Ma**.ru по умолчанию письма проверяются Касперским на серверном и уже подом отображаются на сайте. Получается у них сигнатуры старые?
- Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь).
- К сожалению эта машина пользуется специализированным железом, которая требует такую старую версию ИЕ.
[QUOTE]- Я о том, что в Ma**.ru по умолчанию письма проверяются Касперским на серверном и уже подом отображаются на сайте. [/QUOTE]
И чего?
[QUOTE]Получается у них сигнатуры старые?[/QUOTE]
Нет. Злоумышленники далеко не дураки и прежде чем рассылать вирусы в архивах делают так, чтобы популярные антивирусы не детектировали их сигнатурно. Для этого они могут различные методики. Поэтому обучать персонал нужно азам компьютерной безопасности.
[QUOTE]- К сожалению эта машина пользуется специализированным железом, которая требует такую старую версию ИЕ.[/QUOTE]
Это не важно, ваша система уязвима к сетевым червям и антивирус от заражения вас не спасет пока дыры не залатаете.
[B]mike 1[/B], спасибо за консультацию! Если вдруг вопрос удастся решить, то кому из вашей команды можно будет прислать итоги решения, чтобы помочь другим пользователям? Топик можно закрыть. :beer:
Я сильно сомневаюсь, что кому-то удастся решить проблему. А чужие ключи другому пользователю не подойдут.