ssst07 Опубликовано 10 марта, 2015 Опубликовано 10 марта, 2015 Добрый день. Сегодня пришло письмо от поставщика с Актом сверки в формате zip архив. При открытии выдавал ошибку, после этого зашифровались файлы всех возможных расшерений документов и фотографий. В имени добавилось (.VAULT) Прошелся CURE IT нашел и удалил два вируса. Вновь созданные документы не шифрует. Т.е. вирус удалился, как я понял. Помогите расшифровать (востановить) файлы. Сделал лог програмой AVZ прилогаю. Есть письмо с зараженным файлом. При поиске по компьютеру есть несколько файлов типа key.vault и т.д. в папке TEMP, так же в реестре. Могу прислать все что потребуется. CollectionLog-2015.03.10-16.59.zip
thyrex Опубликовано 10 марта, 2015 Опубликовано 10 марта, 2015 Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\METACR~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE',''); DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\WINDOWS\Tasks\At1.job','32'); DeleteFile('C:\WINDOWS\Tasks\At3.job','32'); DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\METACR~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\WINDOWS\Tasks\At4.job','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи по правилам Сделайте лог полного сканирования МВАМ
ssst07 Опубликовано 10 марта, 2015 Автор Опубликовано 10 марта, 2015 Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2581260260]От кого: newvirus@kaspersky.comЗдравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика. UPDATE~1.EXE - not-a-virus:AdWare.Win32.DealPly.bt Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates С уважением, Лаборатория Касперского "125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru" Hello, This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst. UPDATE~1.EXE - not-a-virus:AdWare.Win32.DealPly.bt This file is an Advertizing Tool, It's detection will be included in the next update of extended databases set. See more info about extended databases here: http://www.kaspersky.com/extraavupdates Best Regards, Kaspersky Lab "39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com" -------------------------------------------------------------------------------- Sent: 10.03.2015 17:05:48 To: newvirus@kaspersky.com Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] LANG: ru description: Выполняется запрос хэлпера Загруженные файлы: quarantine.zip Лог полного сканирования МВАМ ClearLNK-10.03.2015_19-46.log 1.txt
Roman_Five Опубликовано 10 марта, 2015 Опубликовано 10 марта, 2015 Сделайте новые логи по правилам +Выберите для всего найденного в MBAM карантин.приложите новый лог.
ssst07 Опубликовано 10 марта, 2015 Автор Опубликовано 10 марта, 2015 Сделал логи по правилам указаным выше "Сделайте лог полного сканирования МВАМ" Вот файл. Или по каким правилам надо? Нужно все что он отправил в карантин удалить и приложить новый лог? Как правильно нужно? 1.txt
Roman_Five Опубликовано 10 марта, 2015 Опубликовано 10 марта, 2015 все что он отправил в карантин в карантин ПОКА ничего не отправлено. в конце сканирования выберите карантин для всего. Сделал логи по правилам ни разу.Порядок оформления запроса о помощи (п.3)
ssst07 Опубликовано 11 марта, 2015 Автор Опубликовано 11 марта, 2015 Сделайте новые логи по правилам + Выберите для всего найденного в MBAM карантин. приложите новый лог. Все готово. Сделайте новые логи по правилам + Выберите для всего найденного в MBAM карантин. приложите новый лог. Все готово. Вот сообщение которое прислал шифровщик: Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault Для их восстановления необходимо получить уникальный ключ ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА: КРАТКО 1. Зайдите на наш веб-ресурс 2. Гарантированно получите Ваш ключ 3. Восстановите файлы в прежний вид ДЕТАЛЬНО Шаг 1: Скачайте Tor браузер с официального сайта: https://www.torproject.org Шаг 2: Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion Шаг 3: Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели. Не потеряйте его Авторизируйтесь на сайте используя ключ VAULT.KEY Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой STEP 4: После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё ДОПОЛНИТЕЛЬНО a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке c) Ваша стоимость восстановления не окончательная Дата блокировки: 10.03.2015 ( 9:29) 3.txt
ssst07 Опубликовано 11 марта, 2015 Автор Опубликовано 11 марта, 2015 После отправления в карантин файлов, и еще одного сканирования МВАМ не обнаружил ни чего и кнопки экспорт отчета просто нет. Что еще нужно сделать?
ssst07 Опубликовано 12 марта, 2015 Автор Опубликовано 12 марта, 2015 Сделайте новые логи по правилам Сделал по правилам. Как сохранить лог? Скрин прикрепил.
Roman_Five Опубликовано 12 марта, 2015 Опубликовано 12 марта, 2015 Сделайте новые логи по правилам (только пункт 3).
ssst07 Опубликовано 12 марта, 2015 Автор Опубликовано 12 марта, 2015 Сделайте новые логи по правилам (только пункт 3). Все сделал. CollectionLog-2015.03.12-20.34.zip
thyrex Опубликовано 12 марта, 2015 Опубликовано 12 марта, 2015 Выполните скрипт в AVZ begin DeleteFile('C:\Documents and Settings\Admin\Application Data\VAULT.hta','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vltnotify'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Сделайте новые логи по правилам
ssst07 Опубликовано 12 марта, 2015 Автор Опубликовано 12 марта, 2015 Выполните скрипт в AVZ begin DeleteFile('C:\Documents and Settings\Admin\Application Data\VAULT.hta','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vltnotify'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Сделайте новые логи по правилам Готово CollectionLog-2015.03.12-21.56.zip
Рекомендуемые сообщения