Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Вирус шифровальщик Vault

Finch
 Поделиться

Рекомендуемые сообщения

Finch

Finch

Опубликовано
Опубликовано

Здравствуйте. На компьютер попал вирус шифровальщик Vault. Все файлы Office, PDF, изображения и zip архивы зашифрованы в файлы с одноименным расширением. На рабочем столе баннер вируса, закрывающий почти 80% места. Так же на рабочем столе задан файл VAULT.hta. В процессах висит процесс mshta.exe (При его завершении баннер пропадает). Антивирус Касперского его не находит, как и утилиты Cureit и KVRT. Логи прикрепляю.

 

На ПК используется Ammy Admin и Radmin, так же имеются "доработки" для его использования в качестве "сервера терминалов" путем подключения нескольких пользователей посредствам удаленного рабочего стола.

CollectionLog-2016.05.25-18.51.zip

report1.log

report2.log

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Finch

Finch

Опубликовано
  • Автор
Опубликовано (изменено)

Сканирование проведено. Архив с полученными логами прилагаю.

 

Также при входе в корзину был найден тот самый .js файл, что был скачан и запущен пользователем. Касперский идентифицировал его как Trojan.JS.agent.dgt и сразу же удалил.

FRST.rar

Изменено пользователем Finch
Finch

Finch

Опубликовано
  • Автор
Опубликовано

Дополнение, после перезагрузки сам баннер появляется снова, шифрования не происходит, новосозданные файлы остаются нетронутыми. В автозагрузке имеется VAULT.hta. Его можно пока удалить?

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0FO\adialhk.dll => No File
AppInit_DLLs: ,C:\PROGRA~1\KASPER~1\KASPER~2.0FO\kloehk.dll => No File
BHO: Визуальные закладки -> {C93F72A2-2162-4BBA-A07A-F13663C297A6} -> C:\Program Files\Yandex\YandexBarIE\fastdial.dll => No File
Toolbar: HKLM - Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll No File
Toolbar: HKU\.DEFAULT -> Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll No File
2016-05-25 14:26 - 2016-05-25 14:26 - 00004533 ____N C:\Documents and Settings\Санек\Рабочий стол\VAULT.hta
2016-05-25 14:26 - 2016-05-25 14:26 - 00004533 _____ C:\VAULT.hta
2016-05-25 14:26 - 2016-05-25 14:26 - 00004533 _____ C:\Documents and Settings\Санек\Application Data\VAULT.hta
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
  • Спасибо (+1) 1
Finch

Finch

Опубликовано
  • Автор
Опубликовано

Все сделано. Файл прикрепляю. После перезагрузки опять появился баннер, удалил вручную vault.hta из автозагрузки. Больше баннер не появляется. Спасибо огромное Вам за помощь в борьбе с этой заразой.

Fixlog.txt

thyrex

thyrex

Опубликовано
Опубликовано

С расшифровкой не сможем помочь

Prorempc

Prorempc

Опубликовано
Опубликовано

Здравствуйте.

Скажите пожалуйста, получалось ли когда-нибудь расшифровать такие файлы?

Я имею ввиду .VAULT

 

Просмотрел несколько тем на вашем форуме и все они заканчивались приблизительно как и тут, т.е. "с расшифровкой не сможем помочь"

 

По сути я тут именно по этому вопросу (расшифровка файлов .VAULT), но вот почитал и думаю, а стоит ли тратить время, если нет ни одного положительного результата? Или все же есть?

 

Спасибо.

thyrex

thyrex

Опубликовано
Опубликовано

Какую-то одну давнюю версию расшифровывали

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...