Vault зашифровал файлы

[kulichenko.znam]

Добрый день!

21 августа 2015 Компьютер подвергся атаке. Все файлы получили расширение vault

Логи прилагаю . Так же смог отыскать некоторые файлы типа secring.gpg 

Очень надеюсь на Вашу помощь

Новая папка.rar

CollectionLog-2015.08.24-15.00.zip

[mike 1]

Так же смог отыскать некоторые файлы типа secring.gpg 

Эти файлы какого размера?

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

[kulichenko.znam]

Так же смог отыскать некоторые файлы типа secring.gpg

Эти файлы какого размера?

 

Размер больше нуля. В прошлом сообщении во вложении "Новая папка"rar положил.

FRST.txt

Addition.txt

[mike 1]

Включите восстановление системы перед выполнением скрипта. 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CHR Extension: (Домашняя страница - Mail.Ru) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\aijcflokephhcjdmjednnmejlcacgfgb [2015-06-02]
CHR HKLM\...\Chrome\Extension: [aijcflokephhcjdmjednnmejlcacgfgb] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url>
R2 servervo; C:\Documents and Settings\Кузнецова\Application Data\VOPackage\VOsrv.exe [72192 2014-08-25] () [File not signed] <==== ATTENTION
DomainProfile\AuthorizedApplications: [C:\Documents and Settings\Кузнецова\Local Settings\Temp\2\F0722_s_30803.exe] => Enabled:????????
DomainProfile\AuthorizedApplications: [C:\Documents and Settings\Кузнецова\Local Settings\Temp\2\G0722_s_70904.exe] => Enabled:????????
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Baidu\BDDownload\107\bddownloader.exe] => Enabled:???????
DomainProfile\AuthorizedApplications: [C:\Documents and Settings\Кузнецова\Local Settings\Temp\2\~nsu.tmp\Au_.exe] => Enabled:????????
C:\Documents and Settings\Кузнецова\Application Data\VOPackage
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Кузнецова\Local Settings\Temp\2\F0722_s_30803.exe] => Enabled:????????
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Кузнецова\Local Settings\Temp\2\G0722_s_70904.exe] => Enabled:????????
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Baidu\BDDownload\107\bddownloader.exe] => Enabled:???????
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Кузнецова\Local Settings\Temp\2\~nsu.tmp\Au_.exe] => Enabled:????????

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Перезагрузите сервер вручную.

 

 

 

Пришлите несколько небольших зашифрованных файлов.

[kulichenko.znam]

Выполнено.Файлы во вложении.

Fixlog.txt

Файлы.rar

[mike 1]

Файл secring.gpg был на сервере или нашли его на просторах интернета? 

[kulichenko.znam]

21.08.2015 С учетной записи "Кузнецова", примерно в 9.15 был исполнен запуск шифратора. Естественно по незнанию сотрудника.

Так же знаю ( я не давно тут) что 2.06.2015 уже было такое происшествие. Возможно этот файл остался с тех пор, но однозначно с этого компьютера.

[mike 1]

Этот файл (secring.gpg) не подходит для ваших файлов, следовательно расшифровать файлы им не получится. Без приватного ключа файлы вы расшифровать не сможете. 

[kulichenko.znam]

Как я уже писал, система подвергалась атаке дважды.

Во вложении все что смог найти. В архиве "Файлы" положил файлы зараженные 2.06 и 21.08. Надеюсь Вам поможет. Готов перелопатить файлы и по возможности найти интересующие Вас файлы.

21.08.rar

[mike 1]

В архиве нет того, что может помочь в расшифровке. В архиве есть несколько файлов secring.gpg, но они затерты уже (имеют размер 0 байт). Нужно пытаться восстановить файл  secring.gpg, но при этом, чтобы он не имел размера 0 байт. Шансов восстановить этот файл очень малы, т.к. они хорошо затираются перед шифрованием.