Перейти к содержанию

Восстановление после дешифратора .vault


Рекомендуемые сообщения

Добрый день,

Обратились за помощью - на стареньком компе зашифрованы офисные документы и зип-архивы. На почту пришло не подозрительное в общем-то письмо с финансовой претензией от некой фирмы. Файл вложения запустили, документы зашифрованы, злоумышленники требуют денег.

вложение и файлы vault.key и прочее отослал в созданном личном кабинете организации

Полную проверку после обновления до последней версии баз ещё не сделал, протокол прилагаю.

Дешифратор вообще возможен?

CollectionLog-2016.06.06-11.44.zip

Изменено пользователем fu000
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\System32\mswindows\explorer.exe', '');
 DeleteFile('C:\Windows\System32\mswindows\explorer.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunServices','uTorrent');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TorrentExpress','command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

Установлен KES, но видны следы Norton Internet Security

 

Чистка системы после некорректного удаления антивируса.

Ссылка на комментарий
Поделиться на другие сайты

 

 

Norton Internet Security скорей всего установился в своё время вместе с драйверами, была у производителей мат.плат такая мода втулять всё вместе.. До чего живучий оказался. Прошелся Norton Removal Tool.

Выполнил скрипты в avz

На отправку карантина пришел автоответ [KLAN-4399549581] с текстом помимо прочего "В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected." Так должно быть или файл правда вырезан?

Прикладываю новый протокол

CollectionLog-2016.06.06-15.05.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKU\S-1-5-21-1417001333-1214440339-2146877963-1003\...\Winlogon: [Shell] C:\Documents and Settings\user.K202_1\Application Data\vdolew.exe,explorer.exe,C:\Documents and Settings\user.K202_1\Application Data\uzso.exe <==== ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
HKU\S-1-5-21-1417001333-1214440339-2146877963-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.megapage.com/?aid=1&sid=2
2016-06-06 08:06 - 2016-06-06 08:06 - 02607430 _____ C:\Documents and Settings\user.K202_1\Application Data\CONFIRMATION.KEY
2016-06-06 08:06 - 2016-06-06 08:06 - 00004540 ____N C:\Documents and Settings\print\Рабочий стол\VAULT.hta
2016-06-06 08:06 - 2016-06-06 08:06 - 00004540 _____ C:\VAULT.hta
2016-06-06 08:06 - 2016-06-06 08:06 - 00004540 _____ C:\Documents and Settings\user.K202_1\Application Data\VAULT.hta
2016-06-06 08:06 - 2016-06-06 08:06 - 00001609 _____ C:\VAULT.KEY
2016-06-06 08:06 - 2016-06-06 08:06 - 00001609 _____ C:\Documents and Settings\user.K202_1\Application Data\VAULT.KEY
2016-06-06 08:06 - 2016-06-06 08:06 - 00001609 _____ C:\Documents and Settings\print\Рабочий стол\VAULT.KEY
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Дешифратор вообще возможен?

Нет.

 

 

https://forum.kaspersky.com/index.php?showtopic=318637

"расшифровать не можем:"

Trojan-Ransom.BAT.Scatter

• .vault

 

Там в конечном счете gpg утилитой, в общем-то легальной и предназначенной для надежной-стойкой шифрации данных, вирус проходится по данным.

Эта утилита и алгоритмы шифрации специально разрабатывалась, чтобы надежно шифровать, с исключением взлома - расшифровки уровня спецур государств с их возможностями.

Алгоритмы отработки данного типа вируса были разобраны множественно.

 

Иногда возможно восстановить из теневых копий данные для диска С: (по умолчанию только для системного диска включено теневое копирование) , если вирусу их не удалось грохнуть (если работали не под админом в системе, или при условиях: ОС выше XP и не серверная, был оставлен включенным контроль учетных записей, при запуске вируса не разрешили ему вносить изменения в системе при всплывающем окне контроля учетных записей.).

Оценить возможно, выполнив в комм.строке: vssadmin list shadows

и посмотрев на наличие теневых до заражения.

При наличии, пару утилит позволят подключить теневые как отдельные папки, чтобы оттуда вытаскивать списками - директориями, "System Restore Explorer" или "ShadowExplorer"

 

Важно.

Смените все пароли, которые были сохранены в браузерах, в особенности от внешних почтовых сервисов - аккаунтов, (mail, yandex и т.п.) иначе потом от вашего имени, с вашей почты и вашим контактам из списка могут пойти рассылки.

И для ваших контактов это будет выглядеть как письмо от вас, с вашего почтового адреса, со смысловой нагрузкой и ваултом внутри.

 

Разборы системы здесь запрашивают, как понимаю, для анализа возможных модификаций, что-то новое-изменения какие или нет.

 

p.s.

Для себя интересно, какая версия Касперского была установлена? В версии 2016+ заявлено о механизме предотвращения шифрации (мол при изменениях файлов по списку копируют во временную, при обнаружении шифрации - возвращают назад оригинал), но лично мной не проверялось и непонятно, можно ли уверенно рекомендовать Касперский 2016+ обратившимся клиентам или нет.

Среди аналогов, бесплатный 360TS, где заявлено, что исполняемый файл без явно выданной положительной репутации, при попытке полазить в документах, просто отправляется в карантин, а там сами решайте, вытаскивать его оттуда (если это ваш доверенный) или нет.

 

В общем-то это всё из антивирусов, где явно заявлены механизмы предотвращения шифрации. Что как-то грустно, потому что механизмы в общем-то очевидны, просто реализуемы (при наличии облака с данными доверенных, которые могут лазить в документах), а заявленное в 360TS мне даже больше нравится.

Изменено пользователем nashon
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Евгений885
      От Евгений885
      Нужна помощь в дешифрации данных
      virus.rar Addition.txt
      FRST.txt файлы.rar
    • SDDdo
      От SDDdo
      Здравствуйте! Есть внешний HDD диск. Во время загрузки файлов на этот диск произошло непреднамеренное отключение диска из USB разъема. При повторном подключении диска, система не видит диск в проводнике, в диспетчере устройств диск отображается, но с другим именем. В управлении дисками при попытке инициализировать диск выдает ошибку CRC. Возможно ли решить данную проблему своими силами?


    • VadimA
      От VadimA
      Приветствую всех.
      Возникла необходимость создания плана аварийного восстановления на случай выхода из строя основного сервера KSC.
      Кто нибудь делал? Поделитесь соображения, а лучше сразу планом 😃
    • tr01
      От tr01
      Добрый день
      Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами). 
      Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
    • in-digp
      От in-digp
      Здравствуйте!
       
      Прошу помочь с восстановлением запуска службы BFE
       
      https://support.kaspersky.ru/common/error/installation/11099#error5
       
      Данная инструкция не помогает, есть ли другие способы восстановления ?
       
       

×
×
  • Создать...