Перейти к содержанию

шифровальщик Vault

Alopus
 Share

Рекомендуемые сообщения

Alopus Новичок

Alopus

Опубликовано
Опубликовано

Добрый день!

Получили письмо с просьбой провести акт сверки, по незнанию открыли архив и все файлы были зашифрованы. (например файл фото стал вот такого вида 1009.jpg.vault) позже расширение vault пропало,  но файлы не открываются.

 

Помогите расшифровать. В ноутбуке пол жизни в фотографиях и других документах.

 

Прогнал autologgerom, логи во вложении.

 

Архив с самим вирусом могу тоже вложить

CollectionLog-2015.03.26-11.20.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Jazzy\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Users\Work\AppData\Roaming\OVPZEW.exe','');
QuarantineFile('C:\Users\Work\AppData\Roaming\ISVGUG.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-7.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-6.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-5.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-4.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-10.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-7.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-6.exe','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Program Files\punto.bat','');
QuarantineFile('C:\Program Files\Google\chrome.bat','');
DeleteFile('C:\Program Files\Google\chrome.bat','32');
DeleteFile('C:\Program Files\punto.bat','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-6.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-6.job','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-7.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-7.job','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-10_user.job','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-10.exe','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-4.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-4.job','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-5.job','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-5.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-5_user.job','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-6.job','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-6.exe','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-7.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-7.job','32');
DeleteFile('C:\Windows\Tasks\ISVGUG.job','32');
DeleteFile('C:\Windows\Tasks\OVPZEW.job','32');
DeleteFile('C:\Users\Work\AppData\Roaming\ISVGUG.exe','32');
DeleteFile('C:\Users\Work\AppData\Roaming\OVPZEW.exe','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-6','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-7','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-4','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-5','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-6','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-7','32');
DeleteFile('C:\Windows\system32\Tasks\nethost task','32');
DeleteFile('C:\Users\Jazzy\AppData\Local\SystemDir\nethost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты
Alopus Новичок

Alopus

Опубликовано
  • Автор
Опубликовано

KLAN-2623853420   

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

 

Отправлял и выполнял скрипты 2-ды. Оба раза ответ одинаковый


Всё сделал чётко по инструкции http://forum.kasperskyclub.ru/index.php?showtopic=7607&do=findComment&comment=78496

Ссылка на комментарий
Поделиться на другие сайты
Alopus Новичок

Alopus

Опубликовано
  • Автор
Опубликовано

Вот логи. с quarantine.zip нормальная ситуация?


после отправки вам последних логов заново выполнил скрипты. Получился quarantine.zip с другим размером.

Отправил его в лабораторию- пришёл ответ : Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки.   Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

 

Поместил архив quarantine.zip, в другой архив, запаролил его ? отправил... Жду ответ

CollectionLog-2015.03.26-15.49.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      Шифровальщик BlackBit
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      поймали шифровальщика
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      Шифровальщик
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...