Шифровальщик файлов .vault

**Makloth** · 27.10.2015, 16:11

Помогите пожалуйста с дешифровкой файлов.

На сколько я понял, использовался gpg ключ.
Файл шифровальщика, и файлы из папки TEMP (включая gpg) прилагаю.

https://drive.google.com/file/d/0BzX...ew?usp=sharing

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 27.10.2015, 16:12

Уважаемый(ая) Makloth, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 27.10.2015, 20:22

http://virusinfo.info/pravila.html

**Makloth** · 28.10.2015, 09:34

Образцы зашифрованных файлов с компьютера.

https://drive.google.com/file/d/0BzX...ew?usp=sharing

Google Drive блокирует архив с вирусом

Выкладываю архив на Yandex в формате xz
https://yadi.sk/d/XKuEFEBPk52UX

**thyrex** · 28.10.2015, 18:13

Нам нужны логи по правилам

**Makloth** · 29.10.2015, 09:59

Простите, вот логи AVZ и Hijack

**thyrex** · 29.10.2015, 20:32

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\CHERBI~1\AppData\Local\Temp\7c62070c.js','');
 DeleteFile('C:\Users\CHERBI~1\AppData\Local\Temp\VAULT.txt','32');
 DeleteFile('C:\Users\CHERBI~1\AppData\Local\Temp\7c62070c.js','32');
 DeleteFile('C:\Users\cherbinina\Desktop\vault.txt','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\96f72a39','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\4eb71040','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\27f2c137','command');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\Tasks\At10.job','32');
 DeleteFile('C:\Windows\Tasks\At11.job','32');
 DeleteFile('C:\Windows\Tasks\At12.job','32');
 DeleteFile('C:\Windows\Tasks\At13.job','32');
 DeleteFile('C:\Windows\Tasks\At14.job','32');
 DeleteFile('C:\Windows\Tasks\At15.job','32');
 DeleteFile('C:\Windows\Tasks\At16.job','32');
 DeleteFile('C:\Windows\Tasks\At17.job','32');
 DeleteFile('C:\Windows\Tasks\At18.job','32');
 DeleteFile('C:\Windows\Tasks\At19.job','32');
 DeleteFile('C:\Windows\Tasks\At2.job','32');
 DeleteFile('C:\Windows\Tasks\At20.job','32');
 DeleteFile('C:\Windows\Tasks\At21.job','32');
 DeleteFile('C:\Windows\Tasks\At22.job','32');
 DeleteFile('C:\Windows\Tasks\At23.job','32');
 DeleteFile('C:\Windows\Tasks\At24.job','32');
 DeleteFile('C:\Windows\Tasks\At25.job','32');
 DeleteFile('C:\Windows\Tasks\At26.job','32');
 DeleteFile('C:\Windows\Tasks\At27.job','32');
 DeleteFile('C:\Windows\Tasks\At28.job','32');
 DeleteFile('C:\Windows\Tasks\At29.job','32');
 DeleteFile('C:\Windows\Tasks\At3.job','32');
 DeleteFile('C:\Windows\Tasks\At30.job','32');
 DeleteFile('C:\Windows\Tasks\At31.job','32');
 DeleteFile('C:\Windows\Tasks\At32.job','32');
 DeleteFile('C:\Windows\Tasks\At33.job','32');
 DeleteFile('C:\Windows\Tasks\At34.job','32');
 DeleteFile('C:\Windows\Tasks\At35.job','32');
 DeleteFile('C:\Windows\Tasks\At36.job','32');
 DeleteFile('C:\Windows\Tasks\At37.job','32');
 DeleteFile('C:\Windows\Tasks\At38.job','32');
 DeleteFile('C:\Windows\Tasks\At39.job','32');
 DeleteFile('C:\Windows\Tasks\At4.job','32');
 DeleteFile('C:\Windows\Tasks\At40.job','32');
 DeleteFile('C:\Windows\Tasks\At41.job','32');
 DeleteFile('C:\Windows\Tasks\At5.job','32');
 DeleteFile('C:\Windows\Tasks\At6.job','32');
 DeleteFile('C:\Windows\Tasks\At7.job','32');
 DeleteFile('C:\Windows\Tasks\At8.job','32');
 DeleteFile('C:\Windows\Tasks\At9.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 DeleteFile('C:\Windows\system32\Tasks\At10','32');
 DeleteFile('C:\Windows\system32\Tasks\At11','32');
 DeleteFile('C:\Windows\system32\Tasks\At12','32');
 DeleteFile('C:\Windows\system32\Tasks\At13','32');
 DeleteFile('C:\Windows\system32\Tasks\At14','32');
 DeleteFile('C:\Windows\system32\Tasks\At15','32');
 DeleteFile('C:\Windows\system32\Tasks\At16','32');
 DeleteFile('C:\Windows\system32\Tasks\At17','32');
 DeleteFile('C:\Windows\system32\Tasks\At18','32');
 DeleteFile('C:\Windows\system32\Tasks\At19','32');
 DeleteFile('C:\Windows\system32\Tasks\At2','32');
 DeleteFile('C:\Windows\system32\Tasks\At20','32');
 DeleteFile('C:\Windows\system32\Tasks\At21','32');
 DeleteFile('C:\Windows\system32\Tasks\At22','32');
 DeleteFile('C:\Windows\system32\Tasks\At23','32');
 DeleteFile('C:\Windows\system32\Tasks\At24','32');
 DeleteFile('C:\Windows\system32\Tasks\At25','32');
 DeleteFile('C:\Windows\system32\Tasks\At26','32');
 DeleteFile('C:\Windows\system32\Tasks\At27','32');
 DeleteFile('C:\Windows\system32\Tasks\At28','32');
 DeleteFile('C:\Windows\system32\Tasks\At29','32');
 DeleteFile('C:\Windows\system32\Tasks\At3','32');
 DeleteFile('C:\Windows\system32\Tasks\At30','32');
 DeleteFile('C:\Windows\system32\Tasks\At31','32');
 DeleteFile('C:\Windows\system32\Tasks\At32','32');
 DeleteFile('C:\Windows\system32\Tasks\At33','32');
 DeleteFile('C:\Windows\system32\Tasks\At34','32');
 DeleteFile('C:\Windows\system32\Tasks\At35','32');
 DeleteFile('C:\Windows\system32\Tasks\At36','32');
 DeleteFile('C:\Windows\system32\Tasks\At37','32');
 DeleteFile('C:\Windows\system32\Tasks\At38','32');
 DeleteFile('C:\Windows\system32\Tasks\At39','32');
 DeleteFile('C:\Windows\system32\Tasks\At4','32');
 DeleteFile('C:\Windows\system32\Tasks\At40','32');
 DeleteFile('C:\Windows\system32\Tasks\At41','32');
 DeleteFile('C:\Windows\system32\Tasks\At5','32');
 DeleteFile('C:\Windows\system32\Tasks\At6','32');
 DeleteFile('C:\Windows\system32\Tasks\At7','32');
 DeleteFile('C:\Windows\system32\Tasks\At8','32');
 DeleteFile('C:\Windows\system32\Tasks\At9','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

**Makloth** · 30.10.2015, 12:39

Высылаю логи.
Пожалуйста, скажите: возможно ли расшифровать файлы?

**thyrex** · 30.10.2015, 20:24

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

**Makloth** · 02.11.2015, 09:17

Выкладываю результат

**CyberHelper** · 02.11.2015, 09:27

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Шифровальщик файлов .vault (заявка № 191871)

Опции темы