-
Junior Member
- Вес репутации
- 60
Зловред-шифровальщик Vault
Клиенты получили письмо от своих партнеров с вирусом, который зашифровал документы Microsoft Office (по описанию он еще портит rar-архивы, pdf- и jpeg-файлы). В результате чего при запуске открывается окно Блокнота со следующим текстом:
Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault
Для их восстановления необходимо получить уникальный ключ.
ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:
КОРОТКО
1. Зайдите на наш веб-ресурс
2. Получите уникальный ключ
3. Восстановите файлы в прежний вид
ДЕТАЛЬНО
Шаг 1:
Скачайте Tor браузер с официального сайта: https://www.torproject.org
Шаг 2:
Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion
Шаг 3:
Найтиде Ваш уникальный VAULT.KEY на компьютере, это Ваш ключ к личной клиент-панели
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё
ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Не забывайте про время, обычно оно играет против Вас
c) Стоимость полного восстановления на ресурсе не окончательная
Время блокировки: 24.02.2015 ( 8:49)
На компьютере установлен Eset Smart Security с последними обновленными базами. Просканировал им машину и какую-то часть вируса удалил. На всякий случай загрузился с Dr.Web LiveDisk и тоже просканировал им, тот тоже что-то нашел и удалил какие-то остатки. Однако при загрузке опять появляется сообщение. Как его можно удалить?
Логи сканирования прилагаю. При сканировании AVZ был создан автокарантин.
P.S. Дешифратор от этого зловреда еще не вышел?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) yobot, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
QuarantineFile('C:\Users\Rex\AppData\Local\Temp\svchost.exe','');
DeleteFile('C:\Users\Rex\AppData\Local\Temp\svchost.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TNotification');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
Вложение из письма сохранилось?
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 60
При работе первого скрипта было выдано сообщение об ошибке такого содержания: "Invalid dll entry point". Однако карантин создался, карантин выслал по ссылке вверху темы. Письмо с вложением сохранилось. Также есть образец зашифрованного документа и его нормальная резервная копия. поможет ли это в дешифровке?
Новые логи AVZ и HijackThis прилагаю.
-
Письмо с вложением сохранилось.
Пришлите карантин согласно Приложения 1 правил по красной ссылке Прислать запрошенный карантин вверху темы.
Информацию пробуйте восстановить из теневых копий Windows.
-
-
Junior Member
- Вес репутации
- 60
Что именно прислать? Само письмо с заголовками RFC-822 (вложение в этом письме представляет собой замаскированную гиперссылку на сайт злоумышленников вместо обычного архива)?
-
-
-
Junior Member
- Вес репутации
- 60
Повторяю: вложение в этом письме представляет собой замаскированную гиперссылку на сайт злоумышленников вместо обычного архива.
Ну не публиковать же здесь в открытом доступе точку распространения заразы!!
-
Сохраните ссылку в текстовой документ, сохраните документ, потом прикрепите к сообщению.
-
-
Junior Member
- Вес репутации
- 60
Во избежание дальнейшего распространения текстовый документ упаковал в запароленый архив. Пароль - такой же как и для каратинов.
Для не_помощников: Не пытайтесь скачивать или открывать вложение данного сообщения! Я не несу ответственности за распространение вредоносных ссылок или заражение Вашего компьютера!
-
Ссылка уже похоже мертвая. Архив счета.zip сохранился?
-
-
Junior Member
- Вес репутации
- 60
К сожалению нет. Потерянные данные восстанавливаю из резервных копий
-
Хорошо что хоть резервные копии у вас оказались, а так расшифровка данных зашифрованных этим шифратором невозможна.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-