Здравствуйте!
21-22 июля один из наших сотрудников схватил вирус (из письма по почте), который зашифровал документы и добавил к ним расширение VAULT.
На всякий случай забрал файлы VAULT.hta, VAULT.KEY. Сохранил несколько зашифрованных файлов. Вдруг Вам понадобятся. Письмо сохранить не удалось. Прикрепил отчёты по инструкции. Прочитал в Интернете, что у Вас получилось найти способ расшифровки данной заразы. Надеюсь это не новая версия трояна. На неё на сколько я знаю ещё не нашли управу.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Testerekb, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Пардон! Ошибочно предположил, что надо запустить из под виновного пользователя. Прикрепил.
- - - - -Добавлено - - - - -
Письмо с вирусом нашли. Сделал скрин текста и названия файла архива. Для теста попробовал скачать это вложение (через безопасный компьютер).
"Красно-чёрный" антивирус его пропустил, а "Зелёный" сразу грохнул даже не дав скачать архив. Не мудрено, что этот файл попал к нашему сотруднику - почта, которой мы пользуемся - использует технологию "Красно-чёрного" антивируса для проверки писем. Если надо могу скинуть скрин этого письма.
Не мудрено, что этот файл попал к нашему сотруднику - почта, которой мы пользуемся - использует технологию "Красно-чёрного" антивируса для проверки писем.
А голова на плечах на что? Актуальные версии Антивируса Касперского ловят по поведению такое. Отсутствие сигнатуры в базах еще ни о чем не говорит.
AV: ESET NOD32 Antivirus 3.0 (Enabled - Up to date) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
С такой древней версией не мудрено, что поймали шифровальщика. 9 версия актуальная, а у вас 3 стоит.
- А голова на плечах на что? Актуальные версии Антивируса Касперского ловят по поведению такое. Отсутствие сигнатуры в базах еще ни о чем не говорит.
- Я о том, что в Ma**.ru по умолчанию письма проверяются Касперским на серверном и уже подом отображаются на сайте. Получается у них сигнатуры старые?
- Установите Internet Explorer 8 (даже если им не пользуетесь).
- К сожалению эта машина пользуется специализированным железом, которая требует такую старую версию ИЕ.
- Я о том, что в Ma**.ru по умолчанию письма проверяются Касперским на серверном и уже подом отображаются на сайте.
И чего?
Получается у них сигнатуры старые?
Нет. Злоумышленники далеко не дураки и прежде чем рассылать вирусы в архивах делают так, чтобы популярные антивирусы не детектировали их сигнатурно. Для этого они могут различные методики. Поэтому обучать персонал нужно азам компьютерной безопасности.
- К сожалению эта машина пользуется специализированным железом, которая требует такую старую версию ИЕ.
Это не важно, ваша система уязвима к сетевым червям и антивирус от заражения вас не спасет пока дыры не залатаете.
mike 1, спасибо за консультацию! Если вдруг вопрос удастся решить, то кому из вашей команды можно будет прислать итоги решения, чтобы помочь другим пользователям? Топик можно закрыть.