Перейти к содержанию

словил вирус-шифровальщик VAUL


Рекомендуемые сообщения

Пришло на почту письмо следующего содержания:

 

"Приветствуем Вас.
Обратите внимание, что предоставленные наши услуги все еще не проплачены. Кстати, наш счет в банке заблокирован. Отправляю новые реквизиты для перевода суммы - см. вложение. Ждем до конца этой недели проплату, пока пеню не начисляем. Свяжитесь с нами.

Список приложенных файлов (1):
1. Счет для оплаты .pdf

С Уважением к Вам,
Игорь Павлов,
СРО НП ОПКД"

 

 

 

пришло в 1:43 по московскому времени, ткнул без задней мысли на ссылку на приложенный файл "1. Счет для оплаты .pdf" - произошло что-то не понятное, потом уже увидел, что все документы doc, xls, даже файлы автокада dwg, переименовались в doc.vault, xls.vault, dwg.vault и не открываются. ручное переименование не помогает.

 

Выскочил банер, где мошенники дают подробную инструкцию, как им заплатить, чтоб они прислали ПО и ключ для восстановления файлов. Ради спортивного интереса иду на контакт, предлагают пробно 4 файла бесплатно восстановить и то не все, а лиш те, которые на их усмотрение не представляют особой важности. После долгой дискуссии предоставили скриншот очень важного мне xls файла. Кстати стоимость полного восстановления 235 у.е.

CollectionLog-2016.06.17-18.31.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Восстановление системы: Отключено - хоть и поздно, но рекомендую включить.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ammemb.dll', '');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\VAULT.hta', '');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ammemb.dll', '32');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\VAULT.hta', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты

сделал всё по инструкции, с адреса newvirus@kaspersky.com было получено автоматическое письмо (KLAN-4478532805) :

Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.
ammemb.dll,
VAULT.hta
Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.
С уважением, Лаборатория Касперского
"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

 

 

Подскажите, есть шанс на восстановление моих зашифрованных файлов?

Изменено пользователем Vladimir Borischuk
Ссылка на комментарий
Поделиться на другие сайты

, пожалуйста, дополнительно:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

, пожалуйста, дополнительно:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

ругается, что делать?

post-38967-0-48139200-1466504322_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Сообщил разработчику.

 

Утилита FRST обновлена. Скачайте заново и соберите логи.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Прокси в Мозилле настраивали самостоятельно?

 

 

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-1801674531-1960408961-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2016-06-15 09:32 - 2016-06-15 09:32 - 03458168 _____ C:\Documents and Settings\Admin\Application Data\CONFIRMATION.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\Documents and Settings\Admin\Рабочий стол\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\Documents and Settings\Admin\Application Data\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\VAULT.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\Documents and Settings\Admin\Рабочий стол\VAULT.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\Documents and Settings\Admin\Application Data\VAULT.KEY
Task: C:\WINDOWS\Tasks\MailRuUpdateTask.job => C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe/scheduler C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru
HKU\S-1-5-21-1801674531-1960408961-682003330-500\Software\Classes\.scr: scrfile =>  <===== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Прокси в Мозилле настраивали самостоятельно?

 

 

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-1801674531-1960408961-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2016-06-15 09:32 - 2016-06-15 09:32 - 03458168 _____ C:\Documents and Settings\Admin\Application Data\CONFIRMATION.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\Documents and Settings\Admin\Рабочий стол\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\Documents and Settings\Admin\Application Data\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\VAULT.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\Documents and Settings\Admin\Рабочий стол\VAULT.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\Documents and Settings\Admin\Application Data\VAULT.KEY
Task: C:\WINDOWS\Tasks\MailRuUpdateTask.job => C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe/scheduler C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru
HKU\S-1-5-21-1801674531-1960408961-682003330-500\Software\Classes\.scr: scrfile =>  <===== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Я не силен в компьютерах и в ПО. Возможно что-то когда-то настроил в мозиле, чтобы не мешали картинки с рекламой на разных сайтах (в частности на "Фишках.нет") и то строго по инструкции из интернета ))

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

 

Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского) Версия устарела и не поддерживается.

Обновляйтесь до KES10.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Tsushima52
      От Tsushima52
      Заметил, что температура процессора и его нагрузка очень сильно увеличивается, когда не включен диспетчер задач
      Помогите удалить майнер
    • SDDdo
      От SDDdo
      Здравствуйте. 20.09.2024 был скачал microsoft office, но вместо установки, я получил вирус. Уже использовал и Malwarebytes, и kaspersky virus removal tool, и rkill, но проблема все еще присутствует. Замечаю я это по наличию то появляющегося, то исчезающего процесса в диспетчере задач под названием "autoit v3 script". Также не могу сделать скриншот диспетчера задач и редактора реестра. Редактор реестра закрывается практически сразу после открытия.
      Помимо логов прикрепляю файлы полученные с помощью Farbar Recovery Scan Tool 
      CollectionLog-2024.09.21-14.47.zip Addition.txt FRST.txt
    • scopsa
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      От Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
    • Big_Jamal
×
×
  • Создать...