Помогите расшифровать файлы vault

14 июля, 2016

Добрый день!

Система Windows 7 64bit, антивирус Microsoft Endpoint Protection.

Пользователь получил по почте ссылку на вирус и запустил ее (Счет-фактура от 13 июля (№ 852a3).docx.lnk).

Вирус зашифровал все файлы с расширениями .doc, .docx, .xls, .xlsx, .jpg, и изменил на .vault

На экране сообщение с требованием оплаты.

На рабочем столе обнаружены файлы (видимо сам вирус): VAULT.hta и VAULT.KEY

В папке C:\Users\user\AppData\Roaming файлы: VAULT.hta, VAULT.KEY, CONFIRMATION.KEY

Во вложении архив с выше указанными файлами и примером зашифрованных документов (пароль на архив virus).

Очень надеюсь на вашу помощь в расшифровке!

files.zip

14 июля, 2016

Здравствуйте!

Прочтите и выполните Порядок оформления запроса о помощи

14 июля, 2016

логи собрал

CollectionLog-2016.07.14-14.55.zip

14 июля, 2016

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

14 июля, 2016

выполнил

Addition.txt

ClearLNK-14.07.2016_16-19.log

FRST.txt

Shortcut.txt

14 июля, 2016

Ran by pavl (ATTENTION: The user is not administrator)

Все утилиты лечения следует запускать правой кнопкой от имени администратора.

Переделайте логи FRST (старые удалите).

14 июля, 2016

переделал

Addition.txt

FRST.txt

Shortcut.txt

14 июля, 2016

Пользователь получил по почте ссылку на вирус и запустил ее (Счет-фактура от 13 июля (№ 852a3).docx.lnk).

А вложение сохранилось из письма?

14 июля, 2016

Пользователь получил по почте ссылку на вирус и запустил ее (Счет-фактура от 13 июля (№ 852a3).docx.lnk).

А вложение сохранилось из письма?

да

скачал

Изменено 14 июля, 2016 пользователем mike 1
Карантин в теме

14 июля, 2016

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"

CreateRestorePoint:

CloseProcesses:

C:\Users\pavl\AppData\Local\Temp\b9f1e7853bc.exe

zip:C:\FRST\Quarantine

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

14 июля, 2016

готово

Fixlog.txt

Изменено 14 июля, 2016 пользователем mike 1
Карантин в теме

14 июля, 2016

Смените все пароли. С расшифровкой не поможем. Архив я не просил выкладывать в теме.

18 июля, 2016

помогитн я ничайно запустил docx файл через блокнот и вирус теперь не работает

18 июля, 2016

@TheHacker, создайте свою тему и внимательно прочтите Порядок оформления запроса о помощи.

Помогите расшифровать файлы vault

Рекомендуемые сообщения

Kirill_SPb

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Kirill_SPb

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Kirill_SPb

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Kirill_SPb

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Kirill_SPb

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Kirill_SPb

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

TheHacker

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum