Восстановление после дешифратора .vault

[fu000]

Добрый день,

Обратились за помощью - на стареньком компе зашифрованы офисные документы и зип-архивы. На почту пришло не подозрительное в общем-то письмо с финансовой претензией от некой фирмы. Файл вложения запустили, документы зашифрованы, злоумышленники требуют денег.

вложение и файлы vault.key и прочее отослал в созданном личном кабинете организации

Полную проверку после обновления до последней версии баз ещё не сделал, протокол прилагаю.

Дешифратор вообще возможен?

CollectionLog-2016.06.06-11.44.zip

Изменено 6 июня, 2016 пользователем fu000

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\System32\mswindows\explorer.exe', '');
 DeleteFile('C:\Windows\System32\mswindows\explorer.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunServices','uTorrent');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TorrentExpress','command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

Установлен KES, но видны следы Norton Internet Security

 

Чистка системы после некорректного удаления антивируса.

[fu000]

 

 

Norton Internet Security скорей всего установился в своё время вместе с драйверами, была у производителей мат.плат такая мода втулять всё вместе.. До чего живучий оказался. Прошелся Norton Removal Tool.

Выполнил скрипты в avz

На отправку карантина пришел автоответ [KLAN-4399549581] с текстом помимо прочего "В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected." Так должно быть или файл правда вырезан?

Прикладываю новый протокол

CollectionLog-2016.06.06-15.05.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[fu000]

логи FRST

frst logs.zip

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKU\S-1-5-21-1417001333-1214440339-2146877963-1003\...\Winlogon: [Shell] C:\Documents and Settings\user.K202_1\Application Data\vdolew.exe,explorer.exe,C:\Documents and Settings\user.K202_1\Application Data\uzso.exe <==== ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
HKU\S-1-5-21-1417001333-1214440339-2146877963-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.megapage.com/?aid=1&sid=2
2016-06-06 08:06 - 2016-06-06 08:06 - 02607430 _____ C:\Documents and Settings\user.K202_1\Application Data\CONFIRMATION.KEY
2016-06-06 08:06 - 2016-06-06 08:06 - 00004540 ____N C:\Documents and Settings\print\Рабочий стол\VAULT.hta
2016-06-06 08:06 - 2016-06-06 08:06 - 00004540 _____ C:\VAULT.hta
2016-06-06 08:06 - 2016-06-06 08:06 - 00004540 _____ C:\Documents and Settings\user.K202_1\Application Data\VAULT.hta
2016-06-06 08:06 - 2016-06-06 08:06 - 00001609 _____ C:\VAULT.KEY
2016-06-06 08:06 - 2016-06-06 08:06 - 00001609 _____ C:\Documents and Settings\user.K202_1\Application Data\VAULT.KEY
2016-06-06 08:06 - 2016-06-06 08:06 - 00001609 _____ C:\Documents and Settings\print\Рабочий стол\VAULT.KEY
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[fu000]

FRST отработал:

Fixlog.txt

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

 

Дешифратор вообще возможен?

Не исключено.

[nashon]

Дешифратор вообще возможен?

Нет.

 

 

https://forum.kaspersky.com/index.php?showtopic=318637

"расшифровать не можем:"

Trojan-Ransom.BAT.Scatter

• .vault

 

Там в конечном счете gpg утилитой, в общем-то легальной и предназначенной для надежной-стойкой шифрации данных, вирус проходится по данным.

Эта утилита и алгоритмы шифрации специально разрабатывалась, чтобы надежно шифровать, с исключением взлома - расшифровки уровня спецур государств с их возможностями.

Алгоритмы отработки данного типа вируса были разобраны множественно.

 

Иногда возможно восстановить из теневых копий данные для диска С: (по умолчанию только для системного диска включено теневое копирование) , если вирусу их не удалось грохнуть (если работали не под админом в системе, или при условиях: ОС выше XP и не серверная, был оставлен включенным контроль учетных записей, при запуске вируса не разрешили ему вносить изменения в системе при всплывающем окне контроля учетных записей.).

Оценить возможно, выполнив в комм.строке: vssadmin list shadows

и посмотрев на наличие теневых до заражения.

При наличии, пару утилит позволят подключить теневые как отдельные папки, чтобы оттуда вытаскивать списками - директориями, "System Restore Explorer" или "ShadowExplorer"

 

Важно.

Смените все пароли, которые были сохранены в браузерах, в особенности от внешних почтовых сервисов - аккаунтов, (mail, yandex и т.п.) иначе потом от вашего имени, с вашей почты и вашим контактам из списка могут пойти рассылки.

И для ваших контактов это будет выглядеть как письмо от вас, с вашего почтового адреса, со смысловой нагрузкой и ваултом внутри.

 

Разборы системы здесь запрашивают, как понимаю, для анализа возможных модификаций, что-то новое-изменения какие или нет.

 

p.s.

Для себя интересно, какая версия Касперского была установлена? В версии 2016+ заявлено о механизме предотвращения шифрации (мол при изменениях файлов по списку копируют во временную, при обнаружении шифрации - возвращают назад оригинал), но лично мной не проверялось и непонятно, можно ли уверенно рекомендовать Касперский 2016+ обратившимся клиентам или нет.

Среди аналогов, бесплатный 360TS, где заявлено, что исполняемый файл без явно выданной положительной репутации, при попытке полазить в документах, просто отправляется в карантин, а там сами решайте, вытаскивать его оттуда (если это ваш доверенный) или нет.

 

В общем-то это всё из антивирусов, где явно заявлены механизмы предотвращения шифрации. Что как-то грустно, потому что механизмы в общем-то очевидны, просто реализуемы (при наличии облака с данными доверенных, которые могут лазить в документах), а заявленное в 360TS мне даже больше нравится.

Изменено 6 июня, 2016 пользователем nashon