Перейти к содержанию

Возможна ли расшифровка? (.vault)

Evil_Mao
 Share

Рекомендуемые сообщения

Evil_Mao Новичок

Evil_Mao

Опубликовано
Опубликовано

Здравствуйте!
Прилетел шифровальщик на почту, открыли, как следствие зашифрованы все фаилы .vault.

Возможно ли восстановить зашифрованные фаилы?

CollectionLog-2016.09.08-11.42.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Файл

C:\Windows\Change_time\ChangeTimeZone.cmd

Вам знаком?

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Evil_Mao Новичок

Evil_Mao

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Файл

C:\Windows\Change_time\ChangeTimeZone.cmd

Вам знаком?

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Да, конечно мне знаком: "C:\Windows\Change_time\ChangeTimeZone.cmd"  в нем нет ничего опасного - скрипт который меняет часовые пояса.

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Утилиту следует запускать правой кнопкой от имени администратора

Ran by da.bova (ATTENTION: The user is not administrator) on TD-YUR-01 (08-09-2016 15:48:45)

Удалите созданные логи и переделайте.
Ссылка на комментарий
Поделиться на другие сайты
Evil_Mao Новичок

Evil_Mao

Опубликовано
  • Автор
Опубликовано

Утилиту следует запускать правой кнопкой от имени администратора

Ran by da.bova (ATTENTION: The user is not administrator) on TD-YUR-01 (08-09-2016 15:48:45)

Удалите созданные логи и переделайте.

 

Прошу прощения - поспешил.

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKU\S-1-5-21-886221014-72585133-4207565141-2152\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-886221014-72585133-4207565141-2490\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
C:\Users\da.bova\AppData\Local\Temp\4a645b58697.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Evil_Mao Новичок

Evil_Mao

Опубликовано
  • Автор
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKU\S-1-5-21-886221014-72585133-4207565141-2152\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-886221014-72585133-4207565141-2490\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
C:\Users\da.bova\AppData\Local\Temp\4a645b58697.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

готово

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Aleksandr_111
      шифрование .vault
      От Aleksandr_111
      Добрый день,
       
      На ПК были зашифрованы файлы, имеют окончание .vault. Логи автоматического сборщика во вложении, прошу оказать содействие по дешифровке.
      CollectionLog-2016.11.14-11.23.7z
    • fu000
      Восстановление после дешифратора .vault
      От fu000
      Добрый день,
      Обратились за помощью - на стареньком компе зашифрованы офисные документы и зип-архивы. На почту пришло не подозрительное в общем-то письмо с финансовой претензией от некой фирмы. Файл вложения запустили, документы зашифрованы, злоумышленники требуют денег.
      вложение и файлы vault.key и прочее отослал в созданном личном кабинете организации
      Полную проверку после обновления до последней версии баз ещё не сделал, протокол прилагаю.
      Дешифратор вообще возможен?
      CollectionLog-2016.06.06-11.44.zip
    • danser
      Шифровальщик vault
      От danser
      Добрый день! по почте получил письмо c ссылкой, при открытии который загружал джава скрипт, который шифрует файлы. Прикрепил сам кодер и скрипт  архивы filecoder.rar и loader.rar пароль на архивы infected, а также ключи и примеры файлов. Прошу помощи!


      Строгое предупреждение от модератора Elly Не размещайте вредоносное ПО на форуме!
    • rdv
      Расшифровка файлов .Vault шифратора
      От rdv
      Здравствуйте!
       
      По почте пришел Акт сверки.zip. Открыли, запустили.
      В результате все файлы на локальных и съемных дисках компьютера
      зашифрованы и сменили расширение на .vault
       
      Помогите, пожалуйста.
      CollectionLog-2015.03.25-15.56.zip
×
×
  • Создать...