Зашифрованы Файлы .vault

[Xv1mT 0]

Замхоз кажется почтой словил вирус + банер со ссылкой на источник lock.bz, инструкциями и рекомендациями к расшифровке файлов (платно естественно).
Все файлы зашифрованы и получили расширение .vault 
Я так понял мошенники, вирусом шифруют файлы уникальным ключем, который содержится в появившемся после заражения файле VAULT.KEY 
Прилагаю файлики:
VAULT.KEY, VAULT.hta, и логи, сделанные с помощью утилиты AutoLogger...
Как дешифровать файлики, много важных отчетов и информации? 

VAULT.KEY and VAULT.hta.rar

CollectionLog-2016.09.22-11.37.zip

[Sandor 1 282]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\VAULT.hta', '');
 DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\VAULT.hta', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Xv1mT 0]

Итак, вот какой ответ пришел... KLAN-5055227930
 

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

quarantine.zip

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

И вот файлики, сгенерированные FRST

Addition.txt

FRST.txt

Shortcut.txt

[Sandor 1 282]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
2016-09-21 17:53 - 2016-09-21 17:53 - 00964110 _____ C:\Documents and Settings\User\Application Data\CONFIRMATION.KEY
2016-09-21 17:53 - 2016-09-21 17:53 - 00005004 _____ C:\VAULT.hta
2016-09-21 17:53 - 2016-09-21 17:53 - 00005004 _____ C:\Documents and Settings\User\Application Data\VAULT.hta
2016-09-21 17:53 - 2016-09-21 17:53 - 00001603 _____ C:\VAULT.KEY
2016-09-21 17:53 - 2016-09-21 17:53 - 00001603 _____ C:\Documents and Settings\User\Application Data\VAULT.KEY
C:\Documents and Settings\Пользователь\Local Settings\Temp\3B.exe
AlternateDataStreams: C:\Documents and Settings\Пользователь\Local Settings\Application Data:wa [146]
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Xv1mT 0]

Проделал всё перечисленное... 

Fixlog.txt

[Sandor 1 282]

Следы вредоноса очищены. С расшифровкой, увы, помочь не сможем.

 

Обновите Internet Explorer: 6.0.2900.5512 до 8 версии.

[Xv1mT 0]

Спасибо большое за труд и потраченное время!