-
Junior Member
- Вес репутации
- 34
Атака вируса-шифровальщика VAULT
24 марта по неосторожности "поймал" через почту вирус-шифровальщик, в результате атаки которого значительная часть хранящихся в явном виде файлов .doc и .xls практически одномоментно была зашифрована с присвоением расширения .vault (всего немногим менее 800 штук).
Файлы других типов не пострадали. Файлы .doc и .xls в архивах и файлах данных MS Outlook также не пострадали.
Окно-"вымагатель", обычно характерное для атаки вирусов-шифровальщиков, не появлялось.
В результате выполнения рекомендаций "Инструкции по оформлению запроса о помощи", а именно проверки и лечения утилитой AVPTool, были обнаружены и удалены три трояна: Trojan-Ransom.BAT.Scatter.an; Trojan-Ransom.BAT.Scatter.ak; Trojan-Ransom.BAT.Scatter.aq (скрин окна отчёта AVPTool прилагается).
Файлы логов, полученных в процессе диагностики (AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log), прилагаются.
Несколько примеров поражённых файлов выложены на файлообменник @Mail.ru; ссылка на папку с файлами: https://cloud.mail.ru/public/2f0349d...%D1%8B%20Vault
Дальнейшего распространения эпидемии шифрования файлов в настоящий момент не наблюдается.
Вопросы:
1) Можно ли быть уверенным, что "зловред"-шифровальщик нейтрализован и был среди удалённых в результате лечения AVPTool, а не затаился где-то ещё?
2) Существует ли в данном случае принципиальная возможность дешифровки некоторого количества (порядка нескольких десятков) файлов .doc и .xls, содержащих критически важную для меня, и притом трудновосстановимую, информацию? Сможете ли в этом помочь? Если да, то какие действия для этого требуются от меня?
Заранее признателен за любую помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Igor K, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\DOCUME~1\КОВАЛЕВ\LOCALS~1\Temp\svchost.exe','');
DeleteFile('C:\DOCUME~1\КОВАЛЕВ\LOCALS~1\Temp\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.
Сделайте новые логи по правилам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
Запрошенные логи
Запрошенный карантин выгружен.
Запрошенные новые логи прилагаются.
-
Пофиксите в HiJack
Код:
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
В остальном порядок.
С расшифровкой не поможем.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 34
Сообщение от
thyrex
Пофиксите в HiJack
Код:
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
В остальном порядок.
С расшифровкой не поможем.
Спасибо за помощь! В самое ближайшее время постараюсь перевести пожертвование на развитие проекта. Успехов вам в вашем благородном деле!
Что означает "С расшифровкой не поможем"? В смысле: это в данном случае невозможно в принципе (например, применённый вирусом код технически не поддаётся расшифровке или обратная задача метода шифрования не имеет практического решения), либо невозможно в рамках бесплатного сервиса данного проекта?...
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-