Перейти к содержанию

Расшифровка файлов после VAULT вируса шифровальщика

ssst07
 Поделиться

Рекомендуемые сообщения

ssst07

ssst07

Опубликовано
Опубликовано

Добрый день. Сегодня пришло письмо от поставщика с Актом сверки в формате zip архив. При открытии выдавал ошибку, после этого зашифровались файлы всех возможных расшерений документов и фотографий. В имени добавилось (.VAULT) Прошелся CURE IT нашел и удалил два вируса. Вновь созданные документы не шифрует. Т.е. вирус удалился, как я понял. Помогите расшифровать (востановить) файлы. Сделал лог програмой AVZ прилогаю. Есть письмо с зараженным файлом. При поиске по компьютеру есть несколько файлов типа key.vault и т.д. в папке TEMP, так же в реестре. Могу прислать все что потребуется.

CollectionLog-2015.03.10-16.59.zip

thyrex

thyrex

Опубликовано
Опубликовано

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\METACR~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
DeleteFile('C:\WINDOWS\Tasks\At3.job','32');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\METACR~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\WINDOWS\Tasks\At4.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

 

Сделайте лог полного сканирования МВАМ

ssst07

ssst07

Опубликовано
  • Автор
Опубликовано

Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2581260260]От кого:    newvirus@kaspersky.com
Здравствуйте,

 Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

 UPDATE~1.EXE - not-a-virus:AdWare.Win32.DealPly.bt

 Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

 С уважением, Лаборатория Касперского

 "125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"


 Hello,

 This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst.

 UPDATE~1.EXE - not-a-virus:AdWare.Win32.DealPly.bt

 This file is an Advertizing Tool, It's detection will be included in the next update of extended databases set. See more info about extended databases here: http://www.kaspersky.com/extraavupdates

 Best Regards, Kaspersky Lab

 "39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com"


 --------------------------------------------------------------------------------
 Sent: 10.03.2015 17:05:48
 To: newvirus@kaspersky.com
 Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]


 LANG: ru

 description:
 Выполняется запрос хэлпера

 Загруженные файлы:
 quarantine.zip


Лог полного сканирования МВАМ

ClearLNK-10.03.2015_19-46.log

1.txt

Roman_Five

Roman_Five

Опубликовано
Опубликовано

 

 


Сделайте новые логи по правилам

+
Выберите для всего найденного в MBAM карантин.
приложите новый лог.

ssst07

ssst07

Опубликовано
  • Автор
Опубликовано

Сделал логи по правилам указаным выше "Сделайте лог полного сканирования МВАМ" Вот файл. Или по каким правилам надо?


Нужно все что он отправил в карантин удалить и приложить новый лог? Как правильно нужно?

1.txt

Roman_Five

Roman_Five

Опубликовано
Опубликовано

 

 


все что он отправил в карантин

в карантин ПОКА ничего не отправлено. в конце сканирования выберите карантин для всего.

Сделал логи по правилам


ни разу.
Порядок оформления запроса о помощи (п.3)
ssst07

ssst07

Опубликовано
  • Автор
Опубликовано

 

Сделайте новые логи по правилам

+

Выберите для всего найденного в MBAM карантин.

приложите новый лог.

 

Все готово.

 

 

Сделайте новые логи по правилам

+

Выберите для всего найденного в MBAM карантин.

приложите новый лог.

 

Все готово.

 

Вот сообщение которое прислал шифровщик:

Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault

Для их восстановления необходимо получить уникальный ключ

 

  ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:

 

КРАТКО

1. Зайдите на наш веб-ресурс

2. Гарантированно получите Ваш ключ

3. Восстановите файлы в прежний вид

 

ДЕТАЛЬНО

  Шаг 1:

Скачайте Tor браузер с официального сайта: https://www.torproject.org

  Шаг 2:

Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion

  Шаг 3:

Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели. Не потеряйте его

Авторизируйтесь на сайте используя ключ VAULT.KEY

Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой

  STEP 4:

После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё

 

ДОПОЛНИТЕЛЬНО

a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)

B) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке

c) Ваша стоимость восстановления не окончательная

 

  Дата блокировки: 10.03.2015 ( 9:29)

 

3.txt

ssst07

ssst07

Опубликовано
  • Автор
Опубликовано

После отправления в карантин файлов, и еще одного сканирования МВАМ не обнаружил ни чего и кнопки экспорт отчета просто нет. Что еще нужно сделать?

thyrex

thyrex

Опубликовано
Опубликовано

Сделайте новые логи по правилам

ssst07

ssst07

Опубликовано
  • Автор
Опубликовано

Сделайте новые логи по правилам

Сделал по правилам. Как сохранить лог? Скрин прикрепил.

post-33896-0-89466100-1426147579_thumb.png

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
DeleteFile('C:\Documents and Settings\Admin\Application Data\VAULT.hta','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vltnotify');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Сделайте новые логи по правилам

ssst07

ssst07

Опубликовано
  • Автор
Опубликовано

Выполните скрипт в AVZ

begin
DeleteFile('C:\Documents and Settings\Admin\Application Data\VAULT.hta','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vltnotify');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Сделайте новые логи по правилам

Готово

CollectionLog-2015.03.12-21.56.zip

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kubanrentgen
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов
      Автор kubanrentgen
      Утром 6.12.2022 на компьютере обнаружили зашифрованные файлы.
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов.
      Addition.txt FRST.txt Образцы.rar virus.rar
    • gjin
      Vault вирус
      Автор gjin
      В 2015 году словил вирус Vault. Причина, всем понятна. 
      Я всё сохранил, в надежде на развитие технологий  в этой сфере.. 
      есть все файлы шифровальщики, и то что нужно открыть.
      Вопрос: скажите пожалуйста, есть сейчас возможности открыть? или ещё подождать лет 15?
      есть даже ник  этого человека в "jaber". но связь он не выходит.
    • Leo_Pahomov
      расшифровка файлов
      Автор Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • couzee
      Расшифровка файлов
      Автор couzee
      Добрый день. На файловом сервере зашифровало  .NESCHELKAIEBALOM.
      Помогите с расшифровкой.
    • Barsetka
      Расшифровка файлов
      Автор Barsetka
      Добрый день.Зашифровало .NESCHELKAIEBALOM.
      Подскажите,что нужно что бы попытаться расшифровать файлы.
×
×
  • Создать...