Перейти к содержанию

Расшифровка файлов после VAULT вируса шифровальщика

ssst07
 Share Подписчики 1

Рекомендуемые сообщения

ssst07

ssst07 0

Опубликовано
Опубликовано

Добрый день. Сегодня пришло письмо от поставщика с Актом сверки в формате zip архив. При открытии выдавал ошибку, после этого зашифровались файлы всех возможных расшерений документов и фотографий. В имени добавилось (.VAULT) Прошелся CURE IT нашел и удалил два вируса. Вновь созданные документы не шифрует. Т.е. вирус удалился, как я понял. Помогите расшифровать (востановить) файлы. Сделал лог програмой AVZ прилогаю. Есть письмо с зараженным файлом. При поиске по компьютеру есть несколько файлов типа key.vault и т.д. в папке TEMP, так же в реестре. Могу прислать все что потребуется.

CollectionLog-2015.03.10-16.59.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\METACR~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
DeleteFile('C:\WINDOWS\Tasks\At3.job','32');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\METACR~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\WINDOWS\Tasks\At4.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

 

Сделайте лог полного сканирования МВАМ

Ссылка на сообщение
Поделиться на другие сайты
ssst07

ssst07 0

Опубликовано
  • Автор
Опубликовано

Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2581260260]От кого:    newvirus@kaspersky.com
Здравствуйте,

 Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

 UPDATE~1.EXE - not-a-virus:AdWare.Win32.DealPly.bt

 Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

 С уважением, Лаборатория Касперского

 "125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"


 Hello,

 This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst.

 UPDATE~1.EXE - not-a-virus:AdWare.Win32.DealPly.bt

 This file is an Advertizing Tool, It's detection will be included in the next update of extended databases set. See more info about extended databases here: http://www.kaspersky.com/extraavupdates

 Best Regards, Kaspersky Lab

 "39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com"


 --------------------------------------------------------------------------------
 Sent: 10.03.2015 17:05:48
 To: newvirus@kaspersky.com
 Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]


 LANG: ru

 description:
 Выполняется запрос хэлпера

 Загруженные файлы:
 quarantine.zip


Лог полного сканирования МВАМ

ClearLNK-10.03.2015_19-46.log

1.txt

Ссылка на сообщение
Поделиться на другие сайты
ssst07

ssst07 0

Опубликовано
  • Автор
Опубликовано

Сделал логи по правилам указаным выше "Сделайте лог полного сканирования МВАМ" Вот файл. Или по каким правилам надо?


Нужно все что он отправил в карантин удалить и приложить новый лог? Как правильно нужно?

1.txt

Ссылка на сообщение
Поделиться на другие сайты
Roman_Five

Roman_Five 598

Опубликовано
Опубликовано

 

 


все что он отправил в карантин

в карантин ПОКА ничего не отправлено. в конце сканирования выберите карантин для всего.

Сделал логи по правилам


ни разу.
Порядок оформления запроса о помощи (п.3)
Ссылка на сообщение
Поделиться на другие сайты
ssst07

ssst07 0

Опубликовано
  • Автор
Опубликовано

 

Сделайте новые логи по правилам

+

Выберите для всего найденного в MBAM карантин.

приложите новый лог.

 

Все готово.

 

 

Сделайте новые логи по правилам

+

Выберите для всего найденного в MBAM карантин.

приложите новый лог.

 

Все готово.

 

Вот сообщение которое прислал шифровщик:

Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault

Для их восстановления необходимо получить уникальный ключ

 

  ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:

 

КРАТКО

1. Зайдите на наш веб-ресурс

2. Гарантированно получите Ваш ключ

3. Восстановите файлы в прежний вид

 

ДЕТАЛЬНО

  Шаг 1:

Скачайте Tor браузер с официального сайта: https://www.torproject.org

  Шаг 2:

Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion

  Шаг 3:

Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели. Не потеряйте его

Авторизируйтесь на сайте используя ключ VAULT.KEY

Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой

  STEP 4:

После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё

 

ДОПОЛНИТЕЛЬНО

a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)

B) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке

c) Ваша стоимость восстановления не окончательная

 

  Дата блокировки: 10.03.2015 ( 9:29)

 

3.txt

Ссылка на сообщение
Поделиться на другие сайты
ssst07

ssst07 0

Опубликовано
  • Автор
Опубликовано

После отправления в карантин файлов, и еще одного сканирования МВАМ не обнаружил ни чего и кнопки экспорт отчета просто нет. Что еще нужно сделать?

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
DeleteFile('C:\Documents and Settings\Admin\Application Data\VAULT.hta','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vltnotify');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Сделайте новые логи по правилам

Ссылка на сообщение
Поделиться на другие сайты
ssst07

ssst07 0

Опубликовано
  • Автор
Опубликовано

Выполните скрипт в AVZ

begin
DeleteFile('C:\Documents and Settings\Admin\Application Data\VAULT.hta','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vltnotify');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Сделайте новые логи по правилам

Готово

CollectionLog-2015.03.12-21.56.zip

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Александр Евтухов
      Расшифровка файлов после VAULT вируса
      От Александр Евтухов
      Добрый день. Сегодня пришло письмо от поставщика с Актом сверки в формате zip архив. При открытии выдал ошибку, после чего зашифровались файлы .doc, .xls, .jpg. К именам файлов добавилось расширение .VAULT. Помогите, пожалуйста, расшифровать (восстановить) файлы. Сделал лог програмой AVZ прилогаю. Есть письмо с зараженным файлом. При поиске по компьютеру есть несколько файлов типа key.vault и т.д. в папке TEMP, так же в реестре. Могу прислать все что потребуется.
      CollectionLog-2015.08.20-09.59.zip
      Ключи от вируса.rar
×
×
  • Создать...