Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

шифровальщик Vault

Alopus
 Поделиться

Рекомендуемые сообщения

Alopus Новичок

Alopus

Опубликовано
Опубликовано

Добрый день!

Получили письмо с просьбой провести акт сверки, по незнанию открыли архив и все файлы были зашифрованы. (например файл фото стал вот такого вида 1009.jpg.vault) позже расширение vault пропало,  но файлы не открываются.

 

Помогите расшифровать. В ноутбуке пол жизни в фотографиях и других документах.

 

Прогнал autologgerom, логи во вложении.

 

Архив с самим вирусом могу тоже вложить

CollectionLog-2015.03.26-11.20.zipПолучение информации...

report1.logПолучение информации...

report2.logПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Jazzy\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Users\Work\AppData\Roaming\OVPZEW.exe','');
QuarantineFile('C:\Users\Work\AppData\Roaming\ISVGUG.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-7.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-6.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-5.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-4.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-10.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-7.exe','');
QuarantineFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-6.exe','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Program Files\punto.bat','');
QuarantineFile('C:\Program Files\Google\chrome.bat','');
DeleteFile('C:\Program Files\Google\chrome.bat','32');
DeleteFile('C:\Program Files\punto.bat','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-6.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-6.job','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-1-7.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-7.job','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-10_user.job','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-10.exe','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-4.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-4.job','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-5.job','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-5.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-5_user.job','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-6.job','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-6.exe','32');
DeleteFile('C:\Program Files\CinemaP-1.9cV04.03\30c92123-4db5-4afd-bf08-c3aefa114864-7.exe','32');
DeleteFile('C:\Windows\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-7.job','32');
DeleteFile('C:\Windows\Tasks\ISVGUG.job','32');
DeleteFile('C:\Windows\Tasks\OVPZEW.job','32');
DeleteFile('C:\Users\Work\AppData\Roaming\ISVGUG.exe','32');
DeleteFile('C:\Users\Work\AppData\Roaming\OVPZEW.exe','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-6','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-1-7','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-4','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-5','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-6','32');
DeleteFile('C:\Windows\system32\Tasks\30c92123-4db5-4afd-bf08-c3aefa114864-7','32');
DeleteFile('C:\Windows\system32\Tasks\nethost task','32');
DeleteFile('C:\Users\Jazzy\AppData\Local\SystemDir\nethost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты
Alopus Новичок

Alopus

Опубликовано
  • Автор
Опубликовано

KLAN-2623853420   

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

 

Отправлял и выполнял скрипты 2-ды. Оба раза ответ одинаковый


Всё сделал чётко по инструкции http://forum.kasperskyclub.ru/index.php?showtopic=7607&do=findComment&comment=78496

Ссылка на комментарий
Поделиться на другие сайты
Alopus Новичок

Alopus

Опубликовано
  • Автор
Опубликовано

Вот логи. с quarantine.zip нормальная ситуация?


после отправки вам последних логов заново выполнил скрипты. Получился quarantine.zip с другим размером.

Отправил его в лабораторию- пришёл ответ : Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки.   Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

 

Поместил архив quarantine.zip, в другой архив, запаролил его ? отправил... Жду ответ

CollectionLog-2015.03.26-15.49.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
Alopus Новичок

Alopus

Опубликовано
  • Автор
Опубликовано
Ссылка на комментарий
Поделиться на другие сайты
Alopus Новичок

Alopus

Опубликовано
  • Автор
Опубликовано

Всё верно сделал?


Всё верно сделал?


так подойдет? сделал экспорт в txt

mbam-log-2015-03-27 (03-33-35).txtПолучение информации...

protection-log-2015-03-27.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KOMK
      Шифровальщик zimmer1488
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • Игорь_Белов
      Шифровальщик AES
      Автор Игорь_Белов
      Доброго времени суток. 
      Прошу помощи, словил вирус шифровальщик, недавно созданный сервер для теста 1с, поймал вирус, файлы баз данных зашифровались. 
      Прошу помочь в определение вируса, по возможности расшифровать. И как его побороть.
       
      scan.zip
    • Albina
      На сервер попал шифровальщик ((
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • __Михаил__
      Шифровальщик IxehUe8Rg
      Автор __Михаил__
      Добрый! 
      Пожалуйста, помогите расшифровать файлы на компьютере.
      Шифровальщик IxehUe8Rg.
      Файлы образцы и требование выкупа во вложении.
      Анализ_2.xlsx.rar
       
      Я так понимаю это CriptomanGizmo и с ним проблема.
      У меня есть несколько копий файлов не зашифрованных , с другого устройства.
      Может это поможет?
    • workforfuns
      Шифровальщик Elenor-corp
      Автор workforfuns
      Здравствуйте, появился ли дешифратор?
      Addition.txt FRST.txt ЭЛЕНОР КОРП (1).7z
×
×
  • Создать...