Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

шифровальщик Vault

Alopus
 Поделиться

Рекомендуемые сообщения

Alopus Новичок

Alopus

Опубликовано
Опубликовано

Добрый день!

Получили письмо с просьбой провести акт сверки, по незнанию открыли архив и все файлы были зашифрованы. (например файл фото стал вот такого вида 1009.jpg.vault) позже расширение vault пропало,  но файлы не открываются.

 

Помогите расшифровать. В ноутбуке пол жизни в фотографиях и других документах.

 

Прогнал autologgerom, логи во вложении.

 

Архив с самим вирусом могу тоже вложить

CollectionLog-2015.03.26-11.20.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Jazzy\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Users\Work\AppData\Roaming\OVPZEW.exe','');
QuarantineFile('C:\Users\Work\AppData\Roaming\ISVGUG.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-7.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-6.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-5.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-4.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-10.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-7.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-6.exe','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Program Files\punto.bat','');
QuarantineFile('C:\Program Files\Google\chrome.bat','');
DeleteFile('C:\Program Files\Google\chrome.bat','32');
DeleteFile('C:\Program Files\punto.bat','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-6.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-6.job','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-7.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-7.job','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-10_user.job','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-10.exe','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-4.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-4.job','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-5.job','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-5.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-5_user.job','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-6.job','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-6.exe','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-7.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-7.job','32');
DeleteFile('C:\Windows\Tasks\ISVGUG.job','32');
DeleteFile('C:\Windows\Tasks\OVPZEW.job','32');
DeleteFile('C:\Users\Work\AppData\Roaming\ISVGUG.exe','32');
DeleteFile('C:\Users\Work\AppData\Roaming\OVPZEW.exe','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-6','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-7','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-4','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-5','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-6','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-7','32');
DeleteFile('C:\Windows\system32\Tasks\nethost task','32');
DeleteFile('C:\Users\Jazzy\AppData\Local\SystemDir\nethost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты
Alopus Новичок

Alopus

Опубликовано
  • Автор
Опубликовано

KLAN-2623853420   

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

 

Отправлял и выполнял скрипты 2-ды. Оба раза ответ одинаковый


Всё сделал чётко по инструкции http://forum.kasperskyclub.ru/index.php?showtopic=7607&do=findComment&comment=78496

Ссылка на комментарий
Поделиться на другие сайты
Alopus Новичок

Alopus

Опубликовано
  • Автор
Опубликовано

Вот логи. с quarantine.zip нормальная ситуация?


после отправки вам последних логов заново выполнил скрипты. Получился quarantine.zip с другим размером.

Отправил его в лабораторию- пришёл ответ : Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки.   Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

 

Поместил архив quarantine.zip, в другой архив, запаролил его ? отправил... Жду ответ

CollectionLog-2015.03.26-15.49.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 08Sergey
      Шифровальщик .eking
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Александр_vgau
      шифровальщик banta
      Автор Александр_vgau
      Шифровальщик изменил файлы данных внутри сети на всех серверах и рабочих станциях с ОС Windows где был доступ по протоколу rdp или общие папки, часть бэкапов удалил.
      Антивирус не реагирует (все обновления установлены), наблюдали шифрование в режиме реального времени Антивирус спокойно наблюдал за шифрованием.
      Требования и файлы.rar Вирус.zip FRST.txt Addition.txt
    • vmax
      Шифровальщик 13
      Автор vmax
      Шифровальщик зашифровал все файлы, даже архивы, помогите, не знаю что делать. В архиве две заражённые картинки.
      1.jpg.id[3493C0DF-3274].[xlll@imap.cc].zip
    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...