Перейти к содержанию

Шифровальщик Vault

Алексей Наговицын

Автор Алексей Наговицын
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Алексей Наговицын

Алексей Наговицын

Опубликовано
Опубликовано (изменено)

Добрый день. Как у всех пришло письмо от известного мне отправителя, сомнение только вызвало не точное название организации. Скачал архив, в письме был указан пароль к архиву. Ну, а дальше как у всех открыл и запустил. Пишет не совместимая версия офиса. Вышла какая то тарабарщина. Потом я через некоторое время заметил что появились файлы с расширением vault. У одного из файлов удалил и попробовал открыть, не помогло((( А потом уже полез в инет. На машине стоит avast. Он что то выводил о вредоносной программе, но я это проигнорировал. А жаль. Теперь куча файлов которые он испортил. В процессах нашел странный процесс, его остановил. После этого смог удалить папку куда разархивировал вирус. Проверил машину DrWeb, который бесплатный. Он нашел вредоносную программу и вылечил. На рабочем столе обнаружил два файла vault.key и vault с расширением html. 

CollectionLog-2016.07.08-12.37.zip

Изменено пользователем Алексей Наговицын
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities 2014

Дополнительно:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

(Если не помещаются, упакуйте).

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Алексей Наговицын

Алексей Наговицын

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities 2014

Дополнительно:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

(Если не помещаются, упакуйте).

Подробнее читайте в этом руководстве.

Вообще странно работает комп. Скачал экселевский файл с письма, не открывается, а те что были на флешке открывает. Часть архивов не повреждены. Зато папка с картинками для рабочего стола вся зашифрована, но они в автоматическом режиме открываются.

Shortcut.txt

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
IFEO\dw20.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\excel.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\finder.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\infopath.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\msaccess.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspscan.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspub.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspview.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mstore.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\ois.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\osa.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\outlook.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\powerpnt.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\proflwiz.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\schdpl32.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\selfcert.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\setlang.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\snapview.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\unbind.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\winword.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
GroupPolicyScripts: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-135405148-2659208869-1554199341-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP5E876EA5-A2B4-44F8-B834-74C3A6CB38C8&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-135405148-2659208869-1554199341-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP5E876EA5-A2B4-44F8-B834-74C3A6CB38C8&q={searchTerms}&SSPV=
2016-07-08 23:07 - 2014-02-08 18:47 - 00000000 ____D C:\Users\zxc\AppData\Roaming\TuneUp Software
2016-07-08 23:07 - 2014-02-08 18:45 - 00000000 ____D C:\Users\Все пользователи\TuneUp Software
2016-07-08 23:07 - 2014-02-08 18:45 - 00000000 ____D C:\ProgramData\TuneUp Software
2016-07-07 23:10 - 2016-07-07 23:10 - 14920968 _____ C:\Users\zxc\AppData\Roaming\CONFIRMATION.KEY
2016-07-07 23:10 - 2016-07-07 23:10 - 00004097 ____H C:\Users\zxc\Desktop\VAULT.hta
2016-07-07 23:10 - 2016-07-07 23:10 - 00004097 _____ C:\Users\zxc\AppData\Roaming\VAULT.hta
2016-07-07 23:10 - 2016-07-07 23:10 - 00001597 _____ C:\Users\zxc\Desktop\VAULT.KEY
2016-07-07 23:10 - 2016-07-07 23:10 - 00001597 _____ C:\Users\zxc\AppData\Roaming\VAULT.KEY
C:\Users\zxc\AppData\Local\Temp\downloader.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Алексей Наговицын

Алексей Наговицын

Опубликовано
  • Автор
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
IFEO\dw20.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\excel.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\finder.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\infopath.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\msaccess.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspscan.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspub.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspview.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mstore.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\ois.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\osa.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\outlook.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\powerpnt.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\proflwiz.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\schdpl32.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\selfcert.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\setlang.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\snapview.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\unbind.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\winword.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
GroupPolicyScripts: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-135405148-2659208869-1554199341-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP5E876EA5-A2B4-44F8-B834-74C3A6CB38C8&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-135405148-2659208869-1554199341-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP5E876EA5-A2B4-44F8-B834-74C3A6CB38C8&q={searchTerms}&SSPV=
2016-07-08 23:07 - 2014-02-08 18:47 - 00000000 ____D C:\Users\zxc\AppData\Roaming\TuneUp Software
2016-07-08 23:07 - 2014-02-08 18:45 - 00000000 ____D C:\Users\Все пользователи\TuneUp Software
2016-07-08 23:07 - 2014-02-08 18:45 - 00000000 ____D C:\ProgramData\TuneUp Software
2016-07-07 23:10 - 2016-07-07 23:10 - 14920968 _____ C:\Users\zxc\AppData\Roaming\CONFIRMATION.KEY
2016-07-07 23:10 - 2016-07-07 23:10 - 00004097 ____H C:\Users\zxc\Desktop\VAULT.hta
2016-07-07 23:10 - 2016-07-07 23:10 - 00004097 _____ C:\Users\zxc\AppData\Roaming\VAULT.hta
2016-07-07 23:10 - 2016-07-07 23:10 - 00001597 _____ C:\Users\zxc\Desktop\VAULT.KEY
2016-07-07 23:10 - 2016-07-07 23:10 - 00001597 _____ C:\Users\zxc\AppData\Roaming\VAULT.KEY
C:\Users\zxc\AppData\Local\Temp\downloader.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

FRST зависает и провести проверку не получается.

Ссылка на комментарий
Поделиться на другие сайты
Алексей Наговицын

Алексей Наговицын

Опубликовано
  • Автор
Опубликовано (изменено)

С расшифровкой помочь не сможем.

Совсем нет ни каких возможностей?

Но как то же картинки открываются виджетом. И почему офис перестал работать?

И еще возможно ли получить ключ путем сравнения зашифрованного файла и оригинального не поврежденного имя открытый ключ?

Изменено пользователем Алексей Наговицын
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

почему офис перестал работать?

Уточните, пожалуйста. Не работает сама программа или не открываются зашифрованные файлы?

 

оригинального не поврежденного имя открытый ключ?

Увы, нет.

 

Пожалуйста, для улучшения лечащей утилиты проделайте следующее:

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantine;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Delete Emualtor.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Install Emulator.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Start Emulator.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Stop Emulator.lnk', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuDel.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuInst.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuStart.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuStop.bat', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Ссылка на комментарий
Поделиться на другие сайты
Алексей Наговицын

Алексей Наговицын

Опубликовано
  • Автор
Опубликовано (изменено)

 

почему офис перестал работать?

Уточните, пожалуйста. Не работает сама программа или не открываются зашифрованные файлы?

 

оригинального не поврежденного имя открытый ключ?

Увы, нет.

 

Пожалуйста, для улучшения лечащей утилиты проделайте следующее:

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantine;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Delete Emualtor.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Install Emulator.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Start Emulator.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Stop Emulator.lnk', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuDel.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuInst.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuStart.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuStop.bat', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Стоит два офиса 2007 и 2003. 2003 перестал работать, пишет что не правильно указан путь. А сегодня запустился((((

Изменено пользователем Алексей Наговицын
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • fastheel
      Шифровальщик
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
    • KOHb39
      Шифровальщик blackFL
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
    • Влад1810
      Шифровальщик blackFL
      Автор Влад1810
      Аналогично зашифровало, нужна помощьНовая папка.7z
      BlackField_ReadMe.txt
    • Restinn
      Шифровальщик blackFL
      Автор Restinn
      Добрый день. Помогите в расшифровке. Ночью 06.08 все зашифровал и все. В инете никакой инфы нет
      Касперский не был установлен
      Прикрепил файлы и текстовый док 
      Новая папка.rar BlackField_ReadMe.txt
    • Алексей Новиков
      Шифровальщик @gotchadec
      Автор Алексей Новиков
      Добрый день. Помогите в расшифровке  Прикрепил файлы и текстовый док 
      Fixlog.txt
      8.3.19.1522.rar
×
×
  • Создать...