Вирус зашифровал файлы в .vault

[msm21]

Прошу расмотреть возможность расшифрофки файлов зашифрованных вирусом vault.

В теле письма была приложена ссылка якобы на документ, при переходе по этой ссылке компьтер стал тормозить, зависли программы, открылось черное окошко с диском С, которое было мною закрыто. После этого было обнаружено, что файлы jpg, pdf, exl, doc зашифрованы с расширением ... .vault и появилась заставка с текстом о платной расшифровке файлов.

 

CollectionLog-2016.02.29-20.14.zip

[Roman_Five]

у вас лицензия на DrWeb?

[msm21]

у вас лицензия на DrWeb?

Нет, если возможность расшифровать есть - готовы купить лицензию.

Изменено 29 февраля, 2016 пользователем msm21

[Roman_Five]

была бы лицензия на DrWeb - ушли бы сюда.
https://support.drweb.ru/new/free_unlocker/for_decode/?lng=ru
но сразу обратите внимание:
 

В большинстве случаев расшифровка НЕВОЗМОЖНА.

 

была бы лицензия на продукт ЛК - можно было бы обратиться в ТП ЛК.
так что думайте.

пока подчистим следы заражения.

 

[msm21]

как? хотелось бы узнать возможна ли именно в моем случае расшифровка? Для рассмотра ситуации прислали файл. 

 

Вижу  у  "Юный Техник" в теме была возможна расшифровка.

 

Сообщение от модератора Roman_Five

не постите простыни из цитат.

Изменено 29 февраля, 2016 пользователем Roman_Five

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\windows\system32\windebug32.exe','');
 QuarantineFile('C:\Users\Lenovo\AppData\Roaming\netprotocol.exe','');
 DeleteFile('C:\Users\Lenovo\AppData\Roaming\netprotocol.exe','32');
 DeleteFile('C:\windows\system32\windebug32.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

O4 - HKCU\..\Run: [Netprotocol] C:\Users\Lenovo\AppData\Roaming\netprotocol.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Debugger 32] C:\windows\system32\windebug32.exe

 

Сделайте новые логи по правилам (только пункт 2).

[msm21]

 

 

Сделайте новые логи по правилам (только пункт 2).

Хотелось бы уточнить, пункт 2 относится к теме на форуме по ссылке или стандартный скрипт №2 указанный в окошке при запуске автологера (с участием клавиши шифт)?

[thyrex]

Новые логи при помощи Autologger

[msm21]

Ответ прислали: "Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

С уважением, Лаборатория Касперского"

Не понятно что не получилось и как поместить их в архив с паролем infected....

 

"3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина."

не получается выполнить пункт 3. после загрузки и наличия строки "Я хочу отправить на проверку Quarantine.zip" невозможно нажать повторно на ссылку Выбрать файл, т.к. такая ссылка не появляется...

Изменено 1 марта, 2016 пользователем msm21

[msm21]

Новые логи.

Файлы из архива карантина антивирус вырезает при доставке. Несколько раз делали, а запоролить не получается, как просят, в 7-zip такую функцию найти не удалось.

CollectionLog-2016.03.01-11.00.zip

[Roman_Five]

 

 

Файлы из архива карантина антивирус вырезает при доставке.

нет.
он просто пустой.

 

приложите логи MBAM и AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

[msm21]

В архиве 4 файла bcqr00001...4.ini

Изменено 1 марта, 2016 пользователем msm21

[Roman_Five]

)
а файлов dat нету.
карантин пуст.

выполняйте рекомендации.

[msm21]

 

приложите логи MBAM и AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

 

вот логи. Vault.hta в архиве они почему-то так и не заметили с редиректом на тор.

MBAM.txt

AdwCleanerS1.txt

Изменено 1 марта, 2016 пользователем msm21

[thyrex]

Удалите в МВАМ все найденное