VAULT вирус шифровальщик(заражение всех файлов).

[SanokAMD]

После открытия файла на почте, произошло полное заражение всех файлов на компьютере ( xls,docx,doc,jpg, это не все форматы). Файлы очень важны. Есть ли возможность их расшифровать? Заражение произошло более 2 недель назад. Прикрепил 2 файла вируса. На 1 видны файлы, который создал вирус, на 2 виден сам вирус, который появился после открытия файла с почты.

CollectionLog-2016.11.12-20.29.zip

[SQ]

Здравствуйте,

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta', '');
 QuarantineFile('C:\Users\Алексей\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 DeleteFile('C:\Users\Алексей\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 



• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log из каталога AutoLogger на ClearLNK как показано на рисунке

   

  

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

[SanokAMD]

Все сделано. Жду сообщения от касперского. Пока что прикрепляю файл из программы clearLNK

ClearLNK-16.11.2016_18-30.log

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[SanokAMD]

1. Ответ от лаборатории Касперского:  Запрос на исследование вредоносного файла [KLAN-5347319570]

      Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

VAULT.hta,
bcqr00001.dat,
bcqr00002.dat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700   http://www.kaspersky.ruhttp://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.    

VAULT.hta,
bcqr00001.dat,
bcqr00002.dat

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700   http://www.kaspersky.comhttp://www.viruslist.com"


--------------------------------------------------------------------------------
From: 
Sent: 11/16/2016 2:28:38 PM
To: newvirus@kaspersky.com
Subject: Запрос на исследование вредоносного файла

Выполняется запрос хэлпера.

_______________________________________________________________________________________________

2.

Программа  FRST была запущена и вот 2 файла, полученные после ее работы.

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  Startup: C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta [2016-10-20] ()
  HKU\S-1-5-21-1684377004-2237035738-239786680-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search-nik.ru
  FF Homepage: Mozilla\Firefox\Profiles\vr2482y1.default -> user_pref("browser.startup.homepage","hxxp://search-nik.ru");
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  2016-10-20 13:40 - 2016-10-20 13:40 - 03400820 _____ C:\Users\Алексей\AppData\Roaming\CONFIRMATION.KEY
  2016-10-20 13:40 - 2016-10-20 13:40 - 00005016 ____N C:\Users\Алексей\Desktop\VAULT.hta
  2016-10-20 13:40 - 2016-10-20 13:40 - 00005016 _____ C:\Users\Алексей\AppData\Roaming\VAULT.hta
  2016-10-20 13:40 - 2016-10-20 13:40 - 00001611 _____ C:\Users\Алексей\AppData\Roaming\VAULT.KEY
  2016-10-20 13:40 - 2016-10-20 13:40 - 3400820 _____ () C:\Users\Алексей\AppData\Roaming\CONFIRMATION.KEY
  2016-10-20 13:40 - 2016-10-20 13:40 - 0005016 _____ () C:\Users\Алексей\AppData\Roaming\VAULT.hta
  2016-10-20 13:40 - 2016-10-20 13:40 - 0001611 _____ () C:\Users\Алексей\AppData\Roaming\VAULT.KEY
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[SanokAMD]

Вот файлы. тут их 2. Какой из них верный, я не знаю.

Fixlog_25-11-2016 19.45.29.txt

Fixlog.txt

Изменено 25 ноября, 2016 пользователем SanokAMD

[SQ]

С расшифровкой не поможем.