Атака вируса-шифровальщика VAULT

[Igor K]

24 марта по неосторожности "поймал" через почту вирус-шифровальщик, в результате атаки которого значительная часть хранящихся в явном виде файлов .doc и .xls практически одномоментно была зашифрована с присвоением расширения .vault (всего немногим менее 800 штук).
Файлы других типов не пострадали. Файлы .doc и .xls в архивах и файлах данных MS Outlook также не пострадали.
Окно-"вымагатель", обычно характерное для атаки вирусов-шифровальщиков, не появлялось.


В результате выполнения рекомендаций "Инструкции по оформлению запроса о помощи", а именно проверки и лечения утилитой AVPTool, были обнаружены и удалены три трояна: Trojan-Ransom.BAT.Scatter.an; Trojan-Ransom.BAT.Scatter.ak; Trojan-Ransom.BAT.Scatter.aq (скрин окна отчёта AVPTool прилагается).


Файлы логов, полученных в процессе диагностики (AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log), прилагаются.
Несколько примеров поражённых файлов выложены на файлообменник @Mail.ru; ссылка на папку с файлами: https://cloud.mail.ru/public/2f0349d...%D1%8B%20Vault


Дальнейшего распространения эпидемии шифрования файлов в настоящий момент не наблюдается.


Вопросы:
1) Можно ли быть уверенным, что "зловред"-шифровальщик нейтрализован и был среди удалённых в результате лечения AVPTool, а не затаился где-то ещё?


2) Существует ли в данном случае принципиальная возможность дешифровки некоторого количества (порядка нескольких десятков) файлов .doc и .xls, содержащих критически важную для меня, и притом трудновосстановимую, информацию? Сможете ли в этом помочь? Если да, то какие действия для этого требуются от меня?


Заранее признателен за любую помощь.

[Info_bot]

Уважаемый(ая) Igor K, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\DOCUME~1\КОВАЛЕВ\LOCALS~1\Temp\svchost.exe','');
 DeleteFile('C:\DOCUME~1\КОВАЛЕВ\LOCALS~1\Temp\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Сделайте новые логи по правилам

[Igor K]

Запрошенный карантин выгружен.

Запрошенные новые логи прилагаются.

[thyrex]

Пофиксите в HiJack

Код:

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

В остальном порядок.

С расшифровкой не поможем.

[Igor K]

Пофиксите в HiJack

Код:

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

В остальном порядок.


С расшифровкой не поможем.

Спасибо за помощь! В самое ближайшее время постараюсь перевести пожертвование на развитие проекта. Успехов вам в вашем благородном деле!

Что означает "С расшифровкой не поможем"? В смысле: это в данном случае невозможно в принципе (например, применённый вирусом код технически не поддаётся расшифровке или обратная задача метода шифрования не имеет практического решения), либо невозможно в рамках бесплатного сервиса данного проекта?...

[thyrex]

Помогут только злодеи

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены