Перейти к содержанию

шифровальщик Vault

Alopus
 Share

Рекомендуемые сообщения

Alopus Новичок

Alopus

Опубликовано
Опубликовано

Добрый день!

Получили письмо с просьбой провести акт сверки, по незнанию открыли архив и все файлы были зашифрованы. (например файл фото стал вот такого вида 1009.jpg.vault) позже расширение vault пропало,  но файлы не открываются.

 

Помогите расшифровать. В ноутбуке пол жизни в фотографиях и других документах.

 

Прогнал autologgerom, логи во вложении.

 

Архив с самим вирусом могу тоже вложить

CollectionLog-2015.03.26-11.20.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Jazzy\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Users\Work\AppData\Roaming\OVPZEW.exe','');
QuarantineFile('C:\Users\Work\AppData\Roaming\ISVGUG.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-7.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-6.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-5.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-4.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-10.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-7.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-6.exe','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Program Files\punto.bat','');
QuarantineFile('C:\Program Files\Google\chrome.bat','');
DeleteFile('C:\Program Files\Google\chrome.bat','32');
DeleteFile('C:\Program Files\punto.bat','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-6.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-6.job','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-7.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-7.job','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-10_user.job','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-10.exe','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-4.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-4.job','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-5.job','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-5.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-5_user.job','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-6.job','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-6.exe','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-7.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-7.job','32');
DeleteFile('C:\Windows\Tasks\ISVGUG.job','32');
DeleteFile('C:\Windows\Tasks\OVPZEW.job','32');
DeleteFile('C:\Users\Work\AppData\Roaming\ISVGUG.exe','32');
DeleteFile('C:\Users\Work\AppData\Roaming\OVPZEW.exe','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-6','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-7','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-4','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-5','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-6','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-7','32');
DeleteFile('C:\Windows\system32\Tasks\nethost task','32');
DeleteFile('C:\Users\Jazzy\AppData\Local\SystemDir\nethost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты
Alopus Новичок

Alopus

Опубликовано
  • Автор
Опубликовано

KLAN-2623853420   

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

 

Отправлял и выполнял скрипты 2-ды. Оба раза ответ одинаковый


Всё сделал чётко по инструкции http://forum.kasperskyclub.ru/index.php?showtopic=7607&do=findComment&comment=78496

Ссылка на комментарий
Поделиться на другие сайты
Alopus Новичок

Alopus

Опубликовано
  • Автор
Опубликовано

Вот логи. с quarantine.zip нормальная ситуация?


после отправки вам последних логов заново выполнил скрипты. Получился quarantine.zip с другим размером.

Отправил его в лабораторию- пришёл ответ : Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки.   Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

 

Поместил архив quarantine.zip, в другой архив, запаролил его ? отправил... Жду ответ

CollectionLog-2015.03.26-15.49.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Thunderer
      Шифровальщик
      От Thunderer
      Зашифровали файлы на компьютере и все общие папки 
      Подключились к компьютеру по RDP 
      В архиве логи frst, зашифрованный и расшифрованный файлы
      -Файлы.zip
    • Пользователь 1551
      Шифровальщик
      От Пользователь 1551
      Добрый день! У нас аналогичная ситуация? Удалось расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Евгений А1
      Шифровальщик АES.
      От Евгений А1
      Добрый день! Поймали шифровальщик. Очень похоже на взлом сервера, зашифрованы не только папки которые были видны через сеть, но и папки внутри сервера. Которые не были расшарены. Во вложении файлы про выкуп. Реадми. И примеры зашифрованных файлов.
      vikupandfile.7zAddition.txtFRST.txt
    • Kirill-Ekb
      Шифровальщик ELENOR-corp
      От Kirill-Ekb
      Приветствую
       
      По RDP в локальной сети распространился и зашифровал файлы ELENOR-corp на нескольких компьютерах.
      Во вложении файлы диагностики Farbar Recovery Scan Tool и архив с требованием и двумя небольшими зашифрованными файлами - всё с одного компьютера.
      Также есть файл вируса - готов предоставить по необходимости
      Основная цель: расшифровать файлы
      Addition.txt FRST.txt Требование и пример файлов.7z
    • Rome0
      Шифровальщик-вымогатель .kwx8
      От Rome0
      15.02 ночью. Судя по всему RDP. На комп был проброшен нестандартный порт. Комп для удаленного подключения был включен круглосуточно. Все бы ничего, но остались незавершенные сессии с сетевым хранилищем NAS и там тоже все зашифровало... Все файлы с расширением .kwx8
      Без Вашей помощи не обойтись явно.
      Desktop.zip
×
×
  • Создать...