Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Помогите расшифровать файлы vault

Kirill_SPb
 Поделиться

Рекомендуемые сообщения

Kirill_SPb Новичок

Kirill_SPb

Опубликовано
Опубликовано
Добрый день!

Система Windows 7 64bit, антивирус Microsoft Endpoint Protection.

Пользователь получил по почте ссылку на вирус и запустил ее (Счет-фактура от 13 июля (№ 852a3).docx.lnk).

Вирус зашифровал все файлы с расширениями .doc, .docx, .xls, .xlsx, .jpg, и изменил на .vault

На экране сообщение с требованием оплаты.

На рабочем столе обнаружены файлы (видимо сам вирус): VAULT.hta и VAULT.KEY

В папке C:\Users\user\AppData\Roaming файлы: VAULT.hta, VAULT.KEY, CONFIRMATION.KEY

Во вложении архив с выше указанными файлами и примером зашифрованных документов (пароль на архив virus).

Очень надеюсь на вашу помощь в расшифровке!

files.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Ran by pavl (ATTENTION: The user is not administrator)

Все утилиты лечения следует запускать правой кнопкой от имени администратора.

Переделайте логи FRST (старые удалите).

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

Пользователь получил по почте ссылку на вирус и запустил ее (Счет-фактура от 13 июля (№ 852a3).docx.lnk).

 

А вложение сохранилось из письма?

Ссылка на комментарий
Поделиться на другие сайты
Kirill_SPb Новичок

Kirill_SPb

Опубликовано
  • Автор
Опубликовано (изменено)

 

 

Пользователь получил по почте ссылку на вирус и запустил ее (Счет-фактура от 13 июля (№ 852a3).docx.lnk).

 

А вложение сохранилось из письма?

 

да

 

скачал

Изменено пользователем mike 1
Карантин в теме
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"

CreateRestorePoint:

CloseProcesses:

C:\Users\pavl\AppData\Local\Temp\b9f1e7853bc.exe

zip:C:\FRST\Quarantine



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • Nik10
      Возможно ли расшифровать зашифрованные файлы
      Автор Nik10
      Возможно ли расшифровать зашифрованые файлы. Предположительно mimic

      В архивы 2 экзэмпляра зашифрованных файла, результаты утилиты FRST и записка о выкупе. Оригинал ВПО не найден.
      ransomware_1c.zip
    • Dmdozors1982
      [РЕШЕНО] Помогите удалить tool.btcmine.2794
      Автор Dmdozors1982
      Добрый день, помогите удалить майнер tool.btcmine.2794. Обезвредил его с помощью Curelt, сделал лог, прикрепил
      CollectionLog-2025.07.09-21.11.zip
    • w0r9en
      помогите с майнером Tool.BtcMine.2714
      Автор w0r9en
      Добрый день! Нашел и обезвредил с помощь cureit, потом сделал лог CollectionLog-2025.07.13-15.39.zip
    • Gardens
      Помогите расшифровать файлы [darkmask@mailfence.com][auto].[D480B2A9-D7B702E4]
      Автор Gardens
      Добрый день.
      Несколько лет назад на один из пользовательских ПК попал шифровальщик,  а так как с него был выход на сетевое хранилище, в котором некоторые папки не были защищены паролем, шифратор проник и туда.
      Обращались по этому вопросу ранее, но не было дешифратора.
      Может быть теперь уже имеется возможность расшифровать? 
      GE_key-card_maket.ai[ darkmask@mailfence.com].rar
×
×
  • Создать...