Шивровальщик в формат .vault

[Geforse]

Помогите пожалуйста, схватил вирус, текстовые файлы зашифровались в формам .vault

 

тело вируса есть, а так же файлы VAULT.hta VAULT.KEY

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Geforse]

Готово

CollectionLog-2016.06.03-14.20.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta', '');
 DeleteFile('C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Geforse]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta', '');
 DeleteFile('C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

Пришел ответ. Вот что было в письме:

 

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

 

VAULT.hta

 

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

 

Номер КLAN: KLAN-4387231409

 

Какие будут дальше действия?

Изменено 3 июня, 2016 пользователем Geforse

[Sandor]

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Geforse]

Готово

CollectionLog-2016.06.03-15.59.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Geforse]

Готово

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
2016-06-03 12:35 - 2016-06-03 12:35 - 01728456 _____ C:\Users\user2\AppData\Roaming\CONFIRMATION.KEY
2016-06-03 12:35 - 2016-06-03 12:35 - 00004540 _____ C:\Users\user2\AppData\Roaming\VAULT.hta
2016-06-03 12:35 - 2016-06-03 12:35 - 00001613 _____ C:\Users\user2\AppData\Roaming\VAULT.KEY
C:\Users\user2\AppData\Local\Temp\506661db7d8.exe
C:\Users\user2\AppData\Local\Temp\BSvcProcessor.exe
C:\Users\user2\AppData\Local\Temp\BSvcUpdater.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Geforse]

Готово

Fixlog.txt

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

[Geforse]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

Так у меня вопрос. А лицензия должна быть именно на том компьютере где зашифрованы файлы или можно указать лицензию установленную на другом компьютере?

[Sandor]

Можно.

[Geforse]

Можно.

Не подскажите ли Вы по 5 пункту из темы запрос на расшифровку, какие именно файлы прикрепить к запросу?

 

 

И еще в той теме написано про файл README.txt От злоумышленников, у меня такого не было. Как быть?

Изменено 6 июня, 2016 пользователем Geforse