Расшифровка файлов после VAULT вируса шифровальщика

[ssst07]

Добрый день. Сегодня пришло письмо от поставщика с Актом сверки в формате zip архив. При открытии выдавал ошибку, после этого зашифровались файлы всех возможных расшерений документов и фотографий. В имени добавилось (.VAULT) Прошелся CURE IT нашел и удалил два вируса. Вновь созданные документы не шифрует. Т.е. вирус удалился, как я понял. Помогите расшифровать (востановить) файлы. Сделал лог програмой AVZ прилогаю. Есть письмо с зараженным файлом. При поиске по компьютеру есть несколько файлов типа key.vault и т.д. в папке TEMP, так же в реестре. Могу прислать все что потребуется.

CollectionLog-2015.03.10-16.59.zip

[thyrex]

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  
• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\METACR~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
DeleteFile('C:\WINDOWS\Tasks\At3.job','32');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\METACR~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\WINDOWS\Tasks\At4.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

 

Сделайте лог полного сканирования МВАМ

[ssst07]

Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2581260260]От кого:    newvirus@kaspersky.com
Здравствуйте,

 Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

 UPDATE~1.EXE - not-a-virus:AdWare.Win32.DealPly.bt

 Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

 С уважением, Лаборатория Касперского

 "125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"


 Hello,

 This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst.

 UPDATE~1.EXE - not-a-virus:AdWare.Win32.DealPly.bt

 This file is an Advertizing Tool, It's detection will be included in the next update of extended databases set. See more info about extended databases here: http://www.kaspersky.com/extraavupdates

 Best Regards, Kaspersky Lab

 "39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com"


 --------------------------------------------------------------------------------
 Sent: 10.03.2015 17:05:48
 To: newvirus@kaspersky.com
 Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]


 LANG: ru

 description:
 Выполняется запрос хэлпера

 Загруженные файлы:
 quarantine.zip

Лог полного сканирования МВАМ

ClearLNK-10.03.2015_19-46.log

1.txt

[Roman_Five]

 

 

Сделайте новые логи по правилам

+
Выберите для всего найденного в MBAM карантин.
приложите новый лог.

[ssst07]

Сделал логи по правилам указаным выше "Сделайте лог полного сканирования МВАМ" Вот файл. Или по каким правилам надо?

Нужно все что он отправил в карантин удалить и приложить новый лог? Как правильно нужно?

1.txt

[Roman_Five]

 

 

все что он отправил в карантин

в карантин ПОКА ничего не отправлено. в конце сканирования выберите карантин для всего.

Сделал логи по правилам

ни разу.
Порядок оформления запроса о помощи (п.3)

[ssst07]

 

Сделайте новые логи по правилам

+

Выберите для всего найденного в MBAM карантин.

приложите новый лог.

 

Все готово.

 

 

Сделайте новые логи по правилам

+

Выберите для всего найденного в MBAM карантин.

приложите новый лог.

 

Все готово.

 

Вот сообщение которое прислал шифровщик:

Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault

Для их восстановления необходимо получить уникальный ключ

 

  ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:

 

КРАТКО

1. Зайдите на наш веб-ресурс

2. Гарантированно получите Ваш ключ

3. Восстановите файлы в прежний вид

 

ДЕТАЛЬНО

  Шаг 1:

Скачайте Tor браузер с официального сайта: https://www.torproject.org

  Шаг 2:

Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion

  Шаг 3:

Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели. Не потеряйте его

Авторизируйтесь на сайте используя ключ VAULT.KEY

Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой

  STEP 4:

После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё

 

ДОПОЛНИТЕЛЬНО

a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)

Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке

c) Ваша стоимость восстановления не окончательная

 

  Дата блокировки: 10.03.2015 ( 9:29)

 

3.txt

[Roman_Five]

 

 

Все готово.

увы, не всё.

[ssst07]

После отправления в карантин файлов, и еще одного сканирования МВАМ не обнаружил ни чего и кнопки экспорт отчета просто нет. Что еще нужно сделать?

[thyrex]

Сделайте новые логи по правилам

[ssst07]

Сделайте новые логи по правилам

Сделал по правилам. Как сохранить лог? Скрин прикрепил.

[Roman_Five]

Сделайте новые логи по правилам (только пункт 3).

[ssst07]

Сделайте новые логи по правилам (только пункт 3).

Все сделал.

CollectionLog-2015.03.12-20.34.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
DeleteFile('C:\Documents and Settings\Admin\Application Data\VAULT.hta','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vltnotify');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Сделайте новые логи по правилам

[ssst07]

Выполните скрипт в AVZ

begin
DeleteFile('C:\Documents and Settings\Admin\Application Data\VAULT.hta','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vltnotify');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Сделайте новые логи по правилам

Готово

CollectionLog-2015.03.12-21.56.zip