Перейти к содержанию

словил вирус-шифровальщик VAUL

Vladimir Borischuk
 Поделиться

Рекомендуемые сообщения

Vladimir Borischuk

Vladimir Borischuk

Опубликовано
Опубликовано

Пришло на почту письмо следующего содержания:

 

"Приветствуем Вас.
Обратите внимание, что предоставленные наши услуги все еще не проплачены. Кстати, наш счет в банке заблокирован. Отправляю новые реквизиты для перевода суммы - см. вложение. Ждем до конца этой недели проплату, пока пеню не начисляем. Свяжитесь с нами.

Список приложенных файлов (1):
1. Счет для оплаты .pdf

С Уважением к Вам,
Игорь Павлов,
СРО НП ОПКД"

 

 

 

пришло в 1:43 по московскому времени, ткнул без задней мысли на ссылку на приложенный файл "1. Счет для оплаты .pdf" - произошло что-то не понятное, потом уже увидел, что все документы doc, xls, даже файлы автокада dwg, переименовались в doc.vault, xls.vault, dwg.vault и не открываются. ручное переименование не помогает.

 

Выскочил банер, где мошенники дают подробную инструкцию, как им заплатить, чтоб они прислали ПО и ключ для восстановления файлов. Ради спортивного интереса иду на контакт, предлагают пробно 4 файла бесплатно восстановить и то не все, а лиш те, которые на их усмотрение не представляют особой важности. После долгой дискуссии предоставили скриншот очень важного мне xls файла. Кстати стоимость полного восстановления 235 у.е.

CollectionLog-2016.06.17-18.31.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Восстановление системы: Отключено - хоть и поздно, но рекомендую включить.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ammemb.dll', '');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\VAULT.hta', '');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\ammemb.dll', '32');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\VAULT.hta', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
Vladimir Borischuk

Vladimir Borischuk

Опубликовано
  • Автор
Опубликовано (изменено)

сделал всё по инструкции, с адреса newvirus@kaspersky.com было получено автоматическое письмо (KLAN-4478532805) :

Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.
ammemb.dll,
VAULT.hta
Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.
С уважением, Лаборатория Касперского
"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

 

 

 

Подскажите, есть шанс на восстановление моих зашифрованных файлов?

Изменено пользователем Vladimir Borischuk
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

, пожалуйста, дополнительно:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Vladimir Borischuk

Vladimir Borischuk

Опубликовано
  • Автор
Опубликовано

, пожалуйста, дополнительно:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

ругается, что делать?

post-38967-0-48139200-1466504322_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Сообщил разработчику.

 

Утилита FRST обновлена. Скачайте заново и соберите логи.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Прокси в Мозилле настраивали самостоятельно?

 

 

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-1801674531-1960408961-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2016-06-15 09:32 - 2016-06-15 09:32 - 03458168 _____ C:\Documents and Settings\Admin\Application Data\CONFIRMATION.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\Documents and Settings\Admin\Рабочий стол\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\Documents and Settings\Admin\Application Data\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\VAULT.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\Documents and Settings\Admin\Рабочий стол\VAULT.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\Documents and Settings\Admin\Application Data\VAULT.KEY
Task: C:\WINDOWS\Tasks\MailRuUpdateTask.job => C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe/scheduler C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru
HKU\S-1-5-21-1801674531-1960408961-682003330-500\Software\Classes\.scr: scrfile =>  <===== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
  • 2 недели спустя...
Vladimir Borischuk

Vladimir Borischuk

Опубликовано
  • Автор
Опубликовано

Прокси в Мозилле настраивали самостоятельно?

 

 

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-1801674531-1960408961-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2016-06-15 09:32 - 2016-06-15 09:32 - 03458168 _____ C:\Documents and Settings\Admin\Application Data\CONFIRMATION.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\Documents and Settings\Admin\Рабочий стол\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00004289 _____ C:\Documents and Settings\Admin\Application Data\VAULT.hta
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\VAULT.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\Documents and Settings\Admin\Рабочий стол\VAULT.KEY
2016-06-15 09:32 - 2016-06-15 09:32 - 00001615 _____ C:\Documents and Settings\Admin\Application Data\VAULT.KEY
Task: C:\WINDOWS\Tasks\MailRuUpdateTask.job => C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe/scheduler C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru
HKU\S-1-5-21-1801674531-1960408961-682003330-500\Software\Classes\.scr: scrfile =>  <===== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Я не силен в компьютерах и в ПО. Возможно что-то когда-то настроил в мозиле, чтобы не мешали картинки с рекламой на разных сайтах (в частности на "Фишках.нет") и то строго по инструкции из интернета ))

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

 

Антивирус Касперского 6.0 для Windows Workstations (Version: 6.0.4.1424 - Лаборатория Касперского) Версия устарела и не поддерживается.

Обновляйтесь до KES10.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • k.mishnev87
      Словил шифровальщик Loki Locker
      Автор k.mishnev87
      Все доброго времени суток. Для начала туп как пробка, и совсем не разбираюсь в вопросе.
      Не смотря на то что у меня стоить Касперский Премиум, я каким то чудом словил шифровальщик Loki Locker.
      В ПК у меня стояло 5 дисков + сетевой диск к которому с ПК был безконтрольный доступ. Эта зараза зашифровала абсолютно все. Мен спасло только то что был свежий бэкап важно по работе информации.
      Но как итог, отключил 4 диска, системный снес и поставил чистую винду, подключил несистемный ССД, снес полностью заново проинициализировал, создал том. 
      Восстановил.
      Осталось еще 3 HDD, два по 4ТБ и один на 2 ТБ. Вот их надо спасти и дешифровать, там слишком много полезной информации.
      Прикрепляю три зашифрованных файла и текст требование. На сайте касперского и крипто шериф искал - нету.
       
      Помогите пожалуйста.
      Loki.rar
    • Smorodina
      Словил вирус - URLLINK:MALWARE.URL - помогите избавиться
      Автор Smorodina
      сканировал drweb cureit- обнаружил - вылечить не смог.
      помогите пож-та решить проблему: комп жестко тормозит - вентиллятор охлаждения крутится постоянно
       

    • LexaSLX
      Вирус-шифровальщик, вымогатель
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Antonyy
      [РЕШЕНО] Здравствуйте, словил вирус, майнер Tool.BtcMine.2794
      Автор Antonyy
      Здравствуйте, словил майнер Tool.BtcMine.2794. Пытался почистить с помощь Cure It, удаляется ровно до следующей перезагрузки ПК. логи с FRST в архиве
      111.7z
×
×
  • Создать...