Шифровальшик

[Elochii]

Здравствуйте. Прощу помощи в бухгалтерии один их бухгалтеров открыл файл с "долгом" по оплате. Теперь часть файлов заблокировалось. Если возможно прощу помочь с расшифровкой.

CollectionLog-2016.09.26-15.55.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 QuarantineFile('C:\WINDOWS\system32\IE4Data\IE4Data.lnk','');

 QuarantineFileF('C:\WINDOWS\system32\IE4Data', '*', true, ' ', 0, 0);

 DeleteFile('C:\WINDOWS\system32\IE4Data\IE4Data.lnk','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','IE4Data');

 DeleteFile('C:\Documents and Settings\buh13\Главное меню\Программы\Автозагрузка\VAULT.hta','32');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

[Elochii]

Новые логи

CollectionLog-2016.09.27-15.58.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Elochii]

Логи.Скажите пожалуйста можно ли рассчитывать на Вашу помочь в расшифровке ?

Addition.txt

FRST.txt

[mike 1]

2015-11-09 10:13 - 2015-11-09 10:13 - 0004292 _____ () C:\Documents and Settings\buh13\Application Data\VAULT.hta

2015-11-09 10:13 - 2015-11-09 10:13 - 0001589 _____ () C:\Documents and Settings\buh13\Application Data\VAULT.KEY

 

Ну что тут сказать? Я пониманию один раз поймать, но два раза одно и то же поймать - это нужно постараться. Если люди не способны сделать соответствующие выводы, то это уже видимо диагноз. Когда думать будете?

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
2016-09-22 13:39 - 2016-09-22 13:39 - 00005004 ____N C:\Documents and Settings\buh13\Рабочий стол\VAULT.hta
2016-09-22 13:39 - 2016-09-22 13:39 - 00005004 _____ C:\VAULT.hta
2016-09-22 13:39 - 2016-09-22 13:39 - 00001603 _____ C:\VAULT.KEY
2016-09-22 13:39 - 2015-11-09 10:13 - 00662930 _____ C:\Documents and Settings\buh13\Application Data\CONFIRMATION.KEY
2015-11-09 10:13 - 2015-11-09 10:13 - 0004292 _____ () C:\Documents and Settings\buh13\Application Data\VAULT.hta
2015-11-09 10:13 - 2015-11-09 10:13 - 0001589 _____ () C:\Documents and Settings\buh13\Application Data\VAULT.KEY

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

С расшифровкой не поможем. Расшифровка vault есть только у авторов шифровальщика.

[Elochii]

Спасибо за помощь.

Бухгалтеру уже сделано повторное внушение и снова написана инструкция для непонятливых

Fixlog.txt

[mike 1]

 

buh13 (S-1-5-21-606747145-1482476501-682003330-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\buh13

Не подскажите, почему бухгалтер сидит с правами админа? Обычные пользователи не должны ими обладать. 

[Elochii]

Подскажу т.к нам из министерства дали софт для бухгалтером и он по рекомендации должен работать на компах где даны права администратора пользователям для своей корректной работы. 

[mike 1]

А настроить софт соответствующим образом не можете?

[Elochii]

Я общался с разработчиками. Официально получил отказ в самостоятельной доработке,до настройки программы.
На практике когда я давал права как обычному пользователю.Происходил обычно неожиданный сбои программы или ее завершение (обычно все ошибки на чтение-запись файла, обращение к файлам)

Когда я дал уровень прав админа. программа стала стабильней. 

[mike 1]

А если программу запускать из под ограниченного пользователя, но через контекстное меню проводника от имени Администратора?

[Elochii]

Хороший вариант попробую. Я правильно я понял что Вы не возьметесь за расшифровку т.к у нас действующей лицензии Касперского  на данном компьютере?(1 лицензия каспер. на сервере есть)