Перейти к содержанию

Шифровальщик Vault


Рекомендуемые сообщения

Добрый день. Как у всех пришло письмо от известного мне отправителя, сомнение только вызвало не точное название организации. Скачал архив, в письме был указан пароль к архиву. Ну, а дальше как у всех открыл и запустил. Пишет не совместимая версия офиса. Вышла какая то тарабарщина. Потом я через некоторое время заметил что появились файлы с расширением vault. У одного из файлов удалил и попробовал открыть, не помогло((( А потом уже полез в инет. На машине стоит avast. Он что то выводил о вредоносной программе, но я это проигнорировал. А жаль. Теперь куча файлов которые он испортил. В процессах нашел странный процесс, его остановил. После этого смог удалить папку куда разархивировал вирус. Проверил машину DrWeb, который бесплатный. Он нашел вредоносную программу и вылечил. На рабочем столе обнаружил два файла vault.key и vault с расширением html. 

CollectionLog-2016.07.08-12.37.zip

Изменено пользователем Алексей Наговицын
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities 2014

Дополнительно:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

(Если не помещаются, упакуйте).

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities 2014

Дополнительно:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

(Если не помещаются, упакуйте).

Подробнее читайте в этом руководстве.

Вообще странно работает комп. Скачал экселевский файл с письма, не открывается, а те что были на флешке открывает. Часть архивов не повреждены. Зато папка с картинками для рабочего стола вся зашифрована, но они в автоматическом режиме открываются.

Shortcut.txt

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
IFEO\dw20.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\excel.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\finder.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\infopath.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\msaccess.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspscan.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspub.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspview.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mstore.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\ois.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\osa.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\outlook.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\powerpnt.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\proflwiz.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\schdpl32.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\selfcert.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\setlang.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\snapview.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\unbind.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\winword.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
GroupPolicyScripts: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-135405148-2659208869-1554199341-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP5E876EA5-A2B4-44F8-B834-74C3A6CB38C8&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-135405148-2659208869-1554199341-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP5E876EA5-A2B4-44F8-B834-74C3A6CB38C8&q={searchTerms}&SSPV=
2016-07-08 23:07 - 2014-02-08 18:47 - 00000000 ____D C:\Users\zxc\AppData\Roaming\TuneUp Software
2016-07-08 23:07 - 2014-02-08 18:45 - 00000000 ____D C:\Users\Все пользователи\TuneUp Software
2016-07-08 23:07 - 2014-02-08 18:45 - 00000000 ____D C:\ProgramData\TuneUp Software
2016-07-07 23:10 - 2016-07-07 23:10 - 14920968 _____ C:\Users\zxc\AppData\Roaming\CONFIRMATION.KEY
2016-07-07 23:10 - 2016-07-07 23:10 - 00004097 ____H C:\Users\zxc\Desktop\VAULT.hta
2016-07-07 23:10 - 2016-07-07 23:10 - 00004097 _____ C:\Users\zxc\AppData\Roaming\VAULT.hta
2016-07-07 23:10 - 2016-07-07 23:10 - 00001597 _____ C:\Users\zxc\Desktop\VAULT.KEY
2016-07-07 23:10 - 2016-07-07 23:10 - 00001597 _____ C:\Users\zxc\AppData\Roaming\VAULT.KEY
C:\Users\zxc\AppData\Local\Temp\downloader.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
IFEO\dw20.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\excel.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\finder.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\infopath.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\msaccess.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspscan.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspub.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspview.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mstore.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\ois.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\osa.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\outlook.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\powerpnt.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\proflwiz.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\schdpl32.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\selfcert.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\setlang.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\snapview.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\unbind.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\winword.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
GroupPolicyScripts: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-135405148-2659208869-1554199341-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP5E876EA5-A2B4-44F8-B834-74C3A6CB38C8&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-135405148-2659208869-1554199341-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP5E876EA5-A2B4-44F8-B834-74C3A6CB38C8&q={searchTerms}&SSPV=
2016-07-08 23:07 - 2014-02-08 18:47 - 00000000 ____D C:\Users\zxc\AppData\Roaming\TuneUp Software
2016-07-08 23:07 - 2014-02-08 18:45 - 00000000 ____D C:\Users\Все пользователи\TuneUp Software
2016-07-08 23:07 - 2014-02-08 18:45 - 00000000 ____D C:\ProgramData\TuneUp Software
2016-07-07 23:10 - 2016-07-07 23:10 - 14920968 _____ C:\Users\zxc\AppData\Roaming\CONFIRMATION.KEY
2016-07-07 23:10 - 2016-07-07 23:10 - 00004097 ____H C:\Users\zxc\Desktop\VAULT.hta
2016-07-07 23:10 - 2016-07-07 23:10 - 00004097 _____ C:\Users\zxc\AppData\Roaming\VAULT.hta
2016-07-07 23:10 - 2016-07-07 23:10 - 00001597 _____ C:\Users\zxc\Desktop\VAULT.KEY
2016-07-07 23:10 - 2016-07-07 23:10 - 00001597 _____ C:\Users\zxc\AppData\Roaming\VAULT.KEY
C:\Users\zxc\AppData\Local\Temp\downloader.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

FRST зависает и провести проверку не получается.

Ссылка на комментарий
Поделиться на другие сайты

С расшифровкой помочь не сможем.

Совсем нет ни каких возможностей?

Но как то же картинки открываются виджетом. И почему офис перестал работать?

И еще возможно ли получить ключ путем сравнения зашифрованного файла и оригинального не поврежденного имя открытый ключ?

Изменено пользователем Алексей Наговицын
Ссылка на комментарий
Поделиться на другие сайты

почему офис перестал работать?

Уточните, пожалуйста. Не работает сама программа или не открываются зашифрованные файлы?

 

оригинального не поврежденного имя открытый ключ?

Увы, нет.

 

Пожалуйста, для улучшения лечащей утилиты проделайте следующее:

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantine;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Delete Emualtor.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Install Emulator.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Start Emulator.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Stop Emulator.lnk', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuDel.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuInst.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuStart.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuStop.bat', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Ссылка на комментарий
Поделиться на другие сайты

 

почему офис перестал работать?

Уточните, пожалуйста. Не работает сама программа или не открываются зашифрованные файлы?

 

оригинального не поврежденного имя открытый ключ?

Увы, нет.

 

Пожалуйста, для улучшения лечащей утилиты проделайте следующее:

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantine;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Delete Emualtor.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Install Emulator.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Start Emulator.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Stop Emulator.lnk', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuDel.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuInst.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuStart.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuStop.bat', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Стоит два офиса 2007 и 2003. 2003 перестал работать, пишет что не правильно указан путь. А сегодня запустился((((

Изменено пользователем Алексей Наговицын
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
×
×
  • Создать...