Шифровальщик Vault

[Алексей Наговицын]

Добрый день. Как у всех пришло письмо от известного мне отправителя, сомнение только вызвало не точное название организации. Скачал архив, в письме был указан пароль к архиву. Ну, а дальше как у всех открыл и запустил. Пишет не совместимая версия офиса. Вышла какая то тарабарщина. Потом я через некоторое время заметил что появились файлы с расширением vault. У одного из файлов удалил и попробовал открыть, не помогло((( А потом уже полез в инет. На машине стоит avast. Он что то выводил о вредоносной программе, но я это проигнорировал. А жаль. Теперь куча файлов которые он испортил. В процессах нашел странный процесс, его остановил. После этого смог удалить папку куда разархивировал вирус. Проверил машину DrWeb, который бесплатный. Он нашел вредоносную программу и вылечил. На рабочем столе обнаружил два файла vault.key и vault с расширением html. 

CollectionLog-2016.07.08-12.37.zip

Изменено 8 июля, 2016 пользователем Алексей Наговицын

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities 2014

Дополнительно:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

(Если не помещаются, упакуйте).

Подробнее читайте в этом руководстве.

[Алексей Наговицын]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

TuneUp Utilities 2014

Дополнительно:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

(Если не помещаются, упакуйте).

Подробнее читайте в этом руководстве.

Вообще странно работает комп. Скачал экселевский файл с письма, не открывается, а те что были на флешке открывает. Часть архивов не повреждены. Зато папка с картинками для рабочего стола вся зашифрована, но они в автоматическом режиме открываются.

Shortcut.txt

Addition.txt

FRST.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
IFEO\dw20.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\excel.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\finder.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\infopath.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\msaccess.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspscan.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspub.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspview.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mstore.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\ois.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\osa.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\outlook.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\powerpnt.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\proflwiz.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\schdpl32.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\selfcert.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\setlang.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\snapview.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\unbind.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\winword.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
GroupPolicyScripts: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-135405148-2659208869-1554199341-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP5E876EA5-A2B4-44F8-B834-74C3A6CB38C8&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-135405148-2659208869-1554199341-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP5E876EA5-A2B4-44F8-B834-74C3A6CB38C8&q={searchTerms}&SSPV=
2016-07-08 23:07 - 2014-02-08 18:47 - 00000000 ____D C:\Users\zxc\AppData\Roaming\TuneUp Software
2016-07-08 23:07 - 2014-02-08 18:45 - 00000000 ____D C:\Users\Все пользователи\TuneUp Software
2016-07-08 23:07 - 2014-02-08 18:45 - 00000000 ____D C:\ProgramData\TuneUp Software
2016-07-07 23:10 - 2016-07-07 23:10 - 14920968 _____ C:\Users\zxc\AppData\Roaming\CONFIRMATION.KEY
2016-07-07 23:10 - 2016-07-07 23:10 - 00004097 ____H C:\Users\zxc\Desktop\VAULT.hta
2016-07-07 23:10 - 2016-07-07 23:10 - 00004097 _____ C:\Users\zxc\AppData\Roaming\VAULT.hta
2016-07-07 23:10 - 2016-07-07 23:10 - 00001597 _____ C:\Users\zxc\Desktop\VAULT.KEY
2016-07-07 23:10 - 2016-07-07 23:10 - 00001597 _____ C:\Users\zxc\AppData\Roaming\VAULT.KEY
C:\Users\zxc\AppData\Local\Temp\downloader.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 9 июля, 2016 пользователем Sandor

[Алексей Наговицын]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
IFEO\dw20.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\excel.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\finder.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\infopath.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\msaccess.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspscan.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspub.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mspview.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\mstore.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\ois.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\osa.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\outlook.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\powerpnt.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\proflwiz.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\schdpl32.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\selfcert.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\setlang.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\snapview.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\unbind.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\winword.exe: [Debugger] "C:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
GroupPolicyScripts: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-135405148-2659208869-1554199341-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP5E876EA5-A2B4-44F8-B834-74C3A6CB38C8&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-135405148-2659208869-1554199341-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP5E876EA5-A2B4-44F8-B834-74C3A6CB38C8&q={searchTerms}&SSPV=
2016-07-08 23:07 - 2014-02-08 18:47 - 00000000 ____D C:\Users\zxc\AppData\Roaming\TuneUp Software
2016-07-08 23:07 - 2014-02-08 18:45 - 00000000 ____D C:\Users\Все пользователи\TuneUp Software
2016-07-08 23:07 - 2014-02-08 18:45 - 00000000 ____D C:\ProgramData\TuneUp Software
2016-07-07 23:10 - 2016-07-07 23:10 - 14920968 _____ C:\Users\zxc\AppData\Roaming\CONFIRMATION.KEY
2016-07-07 23:10 - 2016-07-07 23:10 - 00004097 ____H C:\Users\zxc\Desktop\VAULT.hta
2016-07-07 23:10 - 2016-07-07 23:10 - 00004097 _____ C:\Users\zxc\AppData\Roaming\VAULT.hta
2016-07-07 23:10 - 2016-07-07 23:10 - 00001597 _____ C:\Users\zxc\Desktop\VAULT.KEY
2016-07-07 23:10 - 2016-07-07 23:10 - 00001597 _____ C:\Users\zxc\AppData\Roaming\VAULT.KEY
C:\Users\zxc\AppData\Local\Temp\downloader.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

FRST зависает и провести проверку не получается.

[Sandor]

Выполните в безопасном режиме.

[Алексей Наговицын]

Выполните в безопасном режиме.

Спасибо, помогло. Вот результат.

Fixlog.txt

[Sandor]

С расшифровкой помочь не сможем.

[Алексей Наговицын]

С расшифровкой помочь не сможем.

Совсем нет ни каких возможностей?

Но как то же картинки открываются виджетом. И почему офис перестал работать?

И еще возможно ли получить ключ путем сравнения зашифрованного файла и оригинального не поврежденного имя открытый ключ?

Изменено 10 июля, 2016 пользователем Алексей Наговицын

[Sandor]

почему офис перестал работать?

Уточните, пожалуйста. Не работает сама программа или не открываются зашифрованные файлы?

 

оригинального не поврежденного имя открытый ключ?

Увы, нет.

 

Пожалуйста, для улучшения лечащей утилиты проделайте следующее:

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantine;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Delete Emualtor.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Install Emulator.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Start Emulator.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Stop Emulator.lnk', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuDel.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuInst.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuStart.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuStop.bat', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

[Алексей Наговицын]

 

почему офис перестал работать?

Уточните, пожалуйста. Не работает сама программа или не открываются зашифрованные файлы?

 

оригинального не поврежденного имя открытый ключ?

Увы, нет.

 

Пожалуйста, для улучшения лечащей утилиты проделайте следующее:

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantine;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Delete Emualtor.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Install Emulator.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Start Emulator.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sentinel Emulator\Stop Emulator.lnk', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuDel.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuInst.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuStart.bat', '');
 QuarantineFile('C:\Program Files (x86)\SentEmul\EmuStop.bat', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Стоит два офиса 2007 и 2003. 2003 перестал работать, пишет что не правильно указан путь. А сегодня запустился((((

Изменено 11 июля, 2016 пользователем Алексей Наговицын

[Sandor]

Спасибо за карантин.