Перейти к содержанию

Мошенничество после оплаты. Вирус Vault


Juliaugb

Рекомендуемые сообщения

Добрый день! Поймала Vault. Обращалась в NOD (на момент заражения стоял NOD), в Касперский (купила лицензию), к Dr.WEB, везде сказали что расшифровка невозможна, т. к. используется стойкий алгоритм шифрования. Делать нечего, пришлось платить. Зашла в личный кабинет. Расшифровала для пробы файл, чтобы убедится что расшифровка возможна. Договорилась о скидке, компьютер домашний, никаких баз 1C нет, самое ценное фотографии новорожденной дочки. Оплатила биткоинами, все как просили, сказали: с нас скидка с вас время ожидания 3 месяца. Прошло 3 месяца я им пишу, мол высылайте ключ, они: пришлите пожалуйста Ваш vault.key, я высылаю vault.key, в итоге прошло 6 дней, а КЛЮЧ НЕ ПРИСЛАЛИ! Не выходят на связь. Тишина. В личный кабинет зайти не могу. Я конечно надежды не теряю. Уж очень сильно не хочется верить что фотографии так и останутся не расшифрованными. Может у кого такая же ситуация, напишите мне . Переписка прилагается (читать с низу вверх).

 

ожидайте, я запросил ключ 


15 ноября 2016 г., 12:34 пользователь Юлия Дмитриевна <> написал:

 

Какие-то проблемы? Почему не высылаете ключ?

 

С уважением, Юлия Дмитриевна

 

 

15.11.2016, 11:48:18 пользователь Info Support (vault.decrypt@gmail.com) написал:


Здравствуйте, пришлите пожалуйста Ваш vault.key

15 ноября 2016 г., 8:41 пользователь Юлия Дмитриевна <> написал:

 

Добрый день! Прошло 3 месяца. Жду ключ.

 

С уважением, Юлия Дмитриевна

 

06.10.2016, 18:05:31 пользователь Юлия Дмитриевна  написал:


 

Добрый день! Все ли у нас в силе. Вышлите ключ 15 ноября 2016 года?

 

С уважением, Юлия Дмитриевна

 

16.08.2016, 9:57:33 пользователь Info Support (vault.decrypt@gmail.com) написал:


Оплату получили, я сообщил о вашем случае и получил ответ
Ключ вам выдадут через три месяца, с нас скидка с вас время за ожидание восстановление информации.

15 августа 2016 г., 19:25 пользователь Юлия Дмитриевна <> написал:

Я оплатила. Деньги в личном кабинете. Жду ключ.

 

С уважением, Юлия Дмитриевна

 

15.08.2016, 21:44:40 пользователь Info Support (vault.decrypt@gmail.com) написал:


Ключ вышлем в ручном режиме, по почте с минимальной отсрочкой

 

post-42354-0-01877000-1479840775_thumb.jpg

Изменено пользователем Juliaugb
Ссылка на комментарий
Поделиться на другие сайты

Что-то вы не разобрались в ситуации.

1. Мошенничество произошло до оплаты.

2. Вы заплатили деньги мошенникам из-за факта мошенничества, согласившись на отсрочку в 3 месяца(как это они не успели ящик удалить, наверное не все деньги еще получили с тех кому оставляли этот адрес.) и дисконт(это они часть денег Вам вернут? Уверены?) и надеятесь на их порядочность?

3. Отредактируйте Ваше первое сообщение удалив свой адрес электронной почты, а то его сейчас быстренько найдут поисковые роботы, и Вы получите кучу спама, и не исключено что там будут новые шифровальщики.

Ссылка на комментарий
Поделиться на другие сайты

Печалька. Но надеяться на честное слово преступников, что они вам всё расшифруют, опрометчиво.

 

Файлы  сохраняйте. Лет через двадцать-пятьдесят разработают квантовый компьютер, там хватит производительности для расшифровки ваших файлов.

Ссылка на комментарий
Поделиться на другие сайты

Что-то вы не разобрались в ситуации.

1. Мошенничество произошло до оплаты.

2. Вы заплатили деньги мошенникам из-за факта мошенничества, согласившись на отсрочку в 3 месяца(как это они не успели ящик удалить, наверное не все деньги еще получили с тех кому оставляли этот адрес.) и дисконт(это они часть денег Вам вернут? Уверены?) и надеятесь на их порядочность?

3. Отредактируйте Ваше первое сообщение удалив свой адрес электронной почты, а то его сейчас быстренько найдут поисковые роботы, и Вы получите кучу спама, и не исключено что там будут новые шифровальщики.

Безусловно,  мошенничество с самого начала. Конечно на возврат денег я не надеюсь. А вот, что ключ все таки вышлют надежда есть. Ведь схема проста: Открыли вложение - файлы зашифрованы- заплатили - выслали ключ - файлы расшифрованы. Если бы люди платили а ключи им не высылали, такая схема просуществовала бы крайне не долго. 

Изменено пользователем Juliaugb
  • Нет слов 1
Ссылка на комментарий
Поделиться на другие сайты

@Juliaugb, я буду искренне рад если Вам пришлют ключ и Вы расшифруете файлы.

 

 


Если бы люди платили а ключи им не высылали, такая схема просуществовала бы крайне не долго.

Если бы люди не платили вообще, то такая схема просуществовала бы крайне недолго.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

  • 1 месяц спустя...

Уважаемые пользователи и гости форума! Если вы словили VAULT - оплачивать ключ бесполезно. Имеется множество сообщений на форумах о невозможности расшифровать файлы. Люди оплачивают дешифровщик, получают его, но расшифровка не происходит. Я сам лично столкнулся с подобной ситуацией, и уважаемый Консультант подтвердил, что это не моя ошибка - злоумышленники присылают неправильный дешифровщик. Смотрите подробное описание моей ситуации в этой теме: https://forum.kasperskyclub.ru/index.php?showtopic=53201 . Заплатив за дешифровщик вы просто подарите деньги за то, что ваши файлы зашифровали и не смогут расшифровать. Вам будут отвечать по электронной почте или на сайте, уверять, что проблема будет решена. Либо будут предлагать скидку в обмен на подождать 1-2-3 месяца. В результате вы потратите деньги и время в бесполезном ожидании. Восстанавливайте файлы из копий, какие бы они ни были старые, и вбивайте данные в базы 1С повторно.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Дарья_Р
      Автор Дарья_Р
      Добрый вечер!
      У меня следующий вопрос о степени защите персональных данных в антивирусе.
      Дело в том, что вчера я оплачивала страховку в "Ренессанс Страхование" через Сбер ID. 
      Страховой агент прислала мне ссылку для оплаты через сайт payecom.ru    
      Я открыла эту ссылку через безопасные платежи в Microsoft Edge и оплатила.
      Платеж прошел успешно, но меня смутил тот факт, что Сбербанк мне прислал предупреждение, что я открываю Сбер ID через не через их сайт, а сторонний.
      Я как-то решила, что Ренессанс уже 30 лет на рынке и не будет воровать мои деньги, поэтому оплатила, не раздумывая. Плюс была уставшая после работы.
      Но сейчас я понимаю, что, видимо, совершила глупость.
      Т.к. Ренессанс к сайту payecom.ru прямого отношения не имеет.
      Данные карт остались внутри этой платежной системы.
      Но я оплатила через Касперского - единственная надежда, что не обчистят как липку)
      Не знаю, что теперь делать...
      Поменять Сбер  ID невозможно -  только все счета закрыть и открыть заново.
      Насколько защита в антивирусе Касперский в таких ситуациях действительно серьезно защищает?
      И имеете ли вы какую-то информацию по этому платежному сайту payecom.ru?
      Ведь Касперский собирает подобную информацию.
      Если это сомнительный сайт по вашим данным, то дайте, пожалуйста, мне знать.
      Но известная страховая компания им пользуется вовсю...
      Или мне все-таки идти в Сбербанк и там с ними разбираться?
       
       
    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ferri
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • composer1995
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
×
×
  • Создать...