Показано с 1 по 5 из 5.

Шифровальщик, расширение vault

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.06.2010
    Сообщений
    453
    Вес репутации
    381

    Шифровальщик, расширение vault

    Преамбула.
    У одних моих знакомых (небольшое ООО) был взломан ящик на Яндексе. После чего началась массовая рассылка сей заразы (пять типов писем, содержащих архив со скриптом) по всему списку контактов. Список, как выяснилось, достаточно внушительный... 3506 контактов получили "письмо счастья"...
    По их словам, рассылка началась в ночь с 20 на 21. В 3 часа ночи яндекс уведомил "держателя" почты о попытке смены пароля. Часам к трем дня (я там уже присутствовал) частота звонков по всем имеющимся телефонам снизилась до одного в 2-3 минуты. Количество ответных сообщений на почте исчислялось тысячами...

    За те три часа, что я провел в этой компании, набралась интересная статистика. Но сейчас не об этом...

    На сегодняшний день восстановлены документы на четырех компьютерах. Теперь будем распространять инфу среди пострадавших, как этого добились, может кому поможет. Во всяком случае, очень хочется в это верить

    Восстановили документы, используя диалог "предыдущие версии".
    Нюанс: искать предыдущие версии на каждом конкретном файле не имеет смысла, их попросту нет. А вот если открыть этот диалог через свойства папки, содержащей зашифрованные файлы, всё быстро и прекрасно восстанавливается. По окончании работы в каталоге присутствуют зашифрованные файлы с расширением vault и восстановленные незашифрованные версии этих же файлов.

    Если это кому-нибудь поможет, буду только рад...
    Последний раз редактировалось Val_Ery; 22.04.2015 в 20:40.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    Это вам повезло, вообще он пытается удалить теневые копии Windows, но видимо прав на удаление этих копий у него не хватило.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.06.2010
    Сообщений
    453
    Вес репутации
    381
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Это вам повезло, вообще он пытается удалить теневые копии Windows, но видимо прав на удаление этих копий у него не хватило.
    Да, с долей везения нам повезло, извиняюсь за каламбур...
    А про права... Я, если честно, плохо понимаю, что такое права в виндовс. Например, что такое беспарольный администратор?.. Не-не, теорию я знаю... просто не понимаю

    Вообще, писал пост только с точки зрения, а вдруг кому ещё поможет, вдруг кто ещё не знает...

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,320
    Вес репутации
    1028
    А про права... Я, если честно, плохо понимаю, что такое права в виндовс.
    Для удаления теневых копий Windows требуются права Администратора.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.06.2010
    Сообщений
    453
    Вес репутации
    381
    В общем, результаты...

    На самом деле, надо согласится с тем, что виря была не "особо злобная", если можно так сказать.
    Видимо, разрабы понадеялись на массовость в получении дохода. Поэтому, не встроили в него ничего лишнего, кроме шифрования, добавления hta'шки в автозапуск и удаления секьюрного ключа по окончании работы посредством sdelete... По окончании её работы - никаких лишних процессов, цмд-шек, батников и т.п. Антивирусы - все, как один - пропустили и дали отработать. На тех компах, с которыми "разбирался" я, был лицензионный КИС, по-моему, 14-ый... На одном компе, по логам, он матерился на то, что ccleaner пытается вычитать данные из реестра, пытается просмотреть автозапуск... но вот заразу даже не заметил
    Что странно, ибо, опять же по логам, шифрование производил некий "svchost" с диким ключом... (вот вам и эвристика, обзови файл свхостом и запускай откуда хошь...)

    За расшифровку требовали 200 долларов, можно было сторговаться до 180... Есть примеры. Самый первый ценник был 16 т.р. (в первые же часы один чел "обратился" за ключиком).

    Нами была устроена рассылка по пострадавшим с рекомендациями, что делать, и без 100%-ой гарантии расшифровки.
    Блин, Яндекс приколол... "мы разрешаем вам отправлять не более 500 писем в день"... Такого количества не отправили ни разу (3500 пострадавших), они блокируют отправку после 400 с небольшим отправлений. Риторический вопрос - "а как хакеры отправили всем и за раз без блокировок и санкций со стороны Яндекса?"..

    Отзвонилось порядка 2-х сотен пострадавших. Вернуть свои данные получилось у примерно половины. У остальных - либо вообще отсутствует закладка "предыдущие версии" (методом тыка мы добились такого же результата на Винде 8.1 Про, вернуть не смогли... к слову - "тыки" были вполне легитимными, никаких твиков, ковыряний в реестре и пр. Только то, что встроено в виндовый проводник), либо - предыдущих версий не найдено.
    Большая часть этих лузеров (в плане, их постигла неудача с восстановлением данных) работала из-под учетки Администратор...

    В общем, статистика такая: из желающих вернуть свои документы сделать это получилось примерно у 50%.

Похожие темы

  1. Ответов: 4
    Последнее сообщение: 11.04.2015, 14:03
  2. Зашифрованы файлы. Расширение .vault
    От klassiktv в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 09.04.2015, 21:07
  3. Файлы зашифрованы в расширение .vault
    От GolseR в разделе Помогите!
    Ответов: 17
    Последнее сообщение: 27.03.2015, 18:13
  4. Зашифровались файлы на расширение Vault
    От psb в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 24.03.2015, 16:22
  5. Ответов: 4
    Последнее сообщение: 21.01.2015, 15:30

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00466 seconds with 16 queries