Перейти к содержанию

Расшифровка файлов после VAULT вируса шифровальщика


Рекомендуемые сообщения

Добрый день. Сегодня пришло письмо от поставщика с Актом сверки в формате zip архив. При открытии выдавал ошибку, после этого зашифровались файлы всех возможных расшерений документов и фотографий. В имени добавилось (.VAULT) Прошелся CURE IT нашел и удалил два вируса. Вновь созданные документы не шифрует. Т.е. вирус удалился, как я понял. Помогите расшифровать (востановить) файлы. Сделал лог програмой AVZ прилогаю. Есть письмо с зараженным файлом. При поиске по компьютеру есть несколько файлов типа key.vault и т.д. в папке TEMP, так же в реестре. Могу прислать все что потребуется.

CollectionLog-2015.03.10-16.59.zip

Ссылка на комментарий
Поделиться на другие сайты

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\METACR~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
DeleteFile('C:\WINDOWS\Tasks\At3.job','32');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\METACR~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\WINDOWS\Tasks\At4.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

 

Сделайте лог полного сканирования МВАМ

Ссылка на комментарий
Поделиться на другие сайты

Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2581260260]От кого:    newvirus@kaspersky.com
Здравствуйте,

 Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

 UPDATE~1.EXE - not-a-virus:AdWare.Win32.DealPly.bt

 Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

 С уважением, Лаборатория Касперского

 "125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"


 Hello,

 This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. Requests from licensed users, which have been sent from the Dashboard (https://my.kaspersky.com/en/support/viruslab) or CompanyAccount (https://companyaccount.kaspersky.com) will also receive a response from a virus analyst.

 UPDATE~1.EXE - not-a-virus:AdWare.Win32.DealPly.bt

 This file is an Advertizing Tool, It's detection will be included in the next update of extended databases set. See more info about extended databases here: http://www.kaspersky.com/extraavupdates

 Best Regards, Kaspersky Lab

 "39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com"


 --------------------------------------------------------------------------------
 Sent: 10.03.2015 17:05:48
 To: newvirus@kaspersky.com
 Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]


 LANG: ru

 description:
 Выполняется запрос хэлпера

 Загруженные файлы:
 quarantine.zip


Лог полного сканирования МВАМ

ClearLNK-10.03.2015_19-46.log

1.txt

Ссылка на комментарий
Поделиться на другие сайты

Сделал логи по правилам указаным выше "Сделайте лог полного сканирования МВАМ" Вот файл. Или по каким правилам надо?


Нужно все что он отправил в карантин удалить и приложить новый лог? Как правильно нужно?

1.txt

Ссылка на комментарий
Поделиться на другие сайты

 

 


все что он отправил в карантин

в карантин ПОКА ничего не отправлено. в конце сканирования выберите карантин для всего.

Сделал логи по правилам


ни разу.
Порядок оформления запроса о помощи (п.3)
Ссылка на комментарий
Поделиться на другие сайты

 

Сделайте новые логи по правилам

+

Выберите для всего найденного в MBAM карантин.

приложите новый лог.

 

Все готово.

 

 

Сделайте новые логи по правилам

+

Выберите для всего найденного в MBAM карантин.

приложите новый лог.

 

Все готово.

 

Вот сообщение которое прислал шифровщик:

Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault

Для их восстановления необходимо получить уникальный ключ

 

  ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:

 

КРАТКО

1. Зайдите на наш веб-ресурс

2. Гарантированно получите Ваш ключ

3. Восстановите файлы в прежний вид

 

ДЕТАЛЬНО

  Шаг 1:

Скачайте Tor браузер с официального сайта: https://www.torproject.org

  Шаг 2:

Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion

  Шаг 3:

Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели. Не потеряйте его

Авторизируйтесь на сайте используя ключ VAULT.KEY

Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой

  STEP 4:

После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё

 

ДОПОЛНИТЕЛЬНО

a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)

B) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке

c) Ваша стоимость восстановления не окончательная

 

  Дата блокировки: 10.03.2015 ( 9:29)

 

3.txt

Ссылка на комментарий
Поделиться на другие сайты

После отправления в карантин файлов, и еще одного сканирования МВАМ не обнаружил ни чего и кнопки экспорт отчета просто нет. Что еще нужно сделать?

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
DeleteFile('C:\Documents and Settings\Admin\Application Data\VAULT.hta','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vltnotify');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
DeleteFile('C:\Documents and Settings\Admin\Application Data\VAULT.hta','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vltnotify');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Сделайте новые логи по правилам

Готово

CollectionLog-2015.03.12-21.56.zip

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Profssn
      От Profssn
      Нужна помощь расшифровать. Поймали на другом ПК с другой windows. Windows удален. Файлы переименованы на расшерение decrypting@cock.li
      Новая сжатая ZIP-папка.zip Addition.txt FRST.txt
    • Maximus02
      От Maximus02
      1.zip
       
      Здравствуйте!
       
      Словили шифровальшик. Пока не выяснили источник, где был произведен запуск шифровальщика. Есть зашифрованные файлы с размером и окончанием .tae7AeTe. Также есть оригинальный файл с нулевым окончанием. Зашифровано все на NAS Synology.
      Помогите пожалуйста с расшифровкой, если это возможно.
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
    • scopsa
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
×
×
  • Создать...