Расшифровка файлов Vault шифратора

[kobzar]

Добрый день! Сотрудникам нашей организации злоумылшленниками была сделана рассылка по электронной почте. Во вложении в письме содержался заархривированный скрипт. К сожалению на некоторых компьютерах скрипт был выполнен пользователями. Антивирус Kaspersky Endpoint Security 10 данную операцию выполнить позволил, но потом нашел и удалил скрипт и все прилегающие к нему файлы. В общем, нужна ваша помощь по расшифровке файлов. Все документы на компьютерах имеют расширение *.vault

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[kobzar]

Компьютер был заражен вчера. Антивирус Kaspersky Endpoint Security обнаружил на нем вирус Trojan-Ransom.BAT.Scatter.ak

Во вложении отчет AutoLogger.exe

CollectionLog-2015.03.25-08.10.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 ClearQuarantine;

 QuarantineFile('C:\Users\manakov\AppData\Local\Temp\svchost.exe','');

 DeleteFile('C:\Users\manakov\appdata\local\temp\svchost.exe','32');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin

DeleteFile('Qurantine.zip','');

ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);

end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

 

Полученный через электронную почту ответ сообщите в этой теме.

 

Сделайте новые логи по правилам (только пункт 3).

 

Посмотрите, активны ли на этой машине в настройках KES все варианты защиты Мониторинга системы.

 

[thyrex]

+

 

Сотрудникам нашей организации злоумылшленниками была сделана рассылка по электронной почте

Всем пришло письмо от одного адресата?

[kobzar]

да от одного адресата

[Roman_Five]

 

 

Сделайте новые логи по правилам (только пункт 3).   Посмотрите, активны ли на этой машине в настройках KES все варианты защиты Мониторинга системы.