Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик vault

Altamir
 Поделиться

Рекомендуемые сообщения

Altamir

Altamir

Опубликовано
Опубликовано

Добрый день! На компьютере зашифровались все документы word и excel, вероятно, после открытия письма, точно установить сложно, на рабочем столе - табличка с сообщением "Ваш компьютер был заражен вирусом" и предложением обратиться на почту vault.decrypt@gmail.com.

 

Прикладываю логи. Заранее спасибо!

CollectionLog-2016.12.08-12.57.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/?ffverfix=1&fr=ffverfix_sg
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/search?fr=ntg&q=
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\o_galickaya\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2015-12-28]
FF Extension: (Поиск@Mail.Ru) - C:\Users\o_galickaya\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2015-12-28] [not signed]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\o_galickaya\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2015-12-28]
2016-12-07 08:59 - 2016-12-07 08:59 - 01398494 _____ C:\Users\o_galickaya\AppData\Roaming\CONFIRMATION.KEY
2016-12-07 08:59 - 2016-12-07 08:59 - 00005006 ____N C:\Users\o_galickaya\Desktop\VAULT.hta
2016-12-07 08:59 - 2016-12-07 08:59 - 00005006 _____ C:\VAULT.hta
2016-12-07 08:59 - 2016-12-07 08:59 - 00005006 _____ C:\Users\o_galickaya\AppData\Roaming\VAULT.hta
2016-12-07 08:59 - 2016-12-07 08:59 - 00001611 _____ C:\VAULT.KEY
2016-12-07 08:59 - 2016-12-07 08:59 - 00001611 _____ C:\Users\o_galickaya\Desktop\VAULT.KEY
2016-12-07 08:59 - 2016-12-07 08:59 - 00001611 _____ C:\Users\o_galickaya\AppData\Roaming\VAULT.KEY
C:\Users\o_galickaya\AppData\Local\Temp\b18c074865a.exe
Task: {13E1457B-655E-4FBC-B872-EE2B071C9755} - System32\Tasks\Soft installer => C:\Users\o_galickaya\AppData\Local\Host installer\1077387233_installcube.exe
Task: {EA29CBC1-C260-48B6-9229-73DE0D132169} - System32\Tasks\Uninstaller_SkipUac_o_galickaya => C:\Program Files\IObit\IObit Uninstaller\IObitUninstaler.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

За расшифровкой обращайтесь к производителю Вашего антивируса.

До окончания не удаляйте папку C:\FRST, в ней находятся в карантине удаленные скриптом объекты.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Юлия Соловьёва
      Vault зашифровал файлы
      Автор Юлия Соловьёва
      Здравствуйте! Вечером 15 апреля на компьютере появился вирус Vault. Никаких "левых" писем не открывала. Предположительно, мог попасть через флешку.  Vault зашифровал важные файлы. Помогите, пожалуйста. Логи прикладываю..
      CollectionLog-2015.04.28-22.45.zip
    • antonio18-88
      Зашифрованы файлы вирусом Vault
      Автор antonio18-88
      Пришло письмо на электронку от знакомого человека с вложенным  архивированным файлом в формате ZIP, после его открытия все рабочие документы и картинки, фото на компьютаре  перестали открываться, у всех у них стало разрешение VAULT. После перезагрузки компа вылез текстовый файл с просьбой установить браузер, зайти на их сайт, и за деньги скачать ключ. Нужна ваша помощь!Что в моем случае можно сделать?
      vault.txt
    • Deef89
      шифровальщик vault
      Автор Deef89
      Добрый день,
      Шифровальщик vault зашифровал все файлы, помогите пожалуйста решить проблему, заранее благодарен.
      Буду благодарен за вашу оперативность.
      CollectionLog-2015.04.27-13.39.zip
    • Steel Rain
      Заражение Trojan-Ransom.BAT.Scatter.ay
      Автор Steel Rain
      Доброго всем времени суток.
       
      Вчера по почте мне переслали файлик с якобы исправленным договором, который не открывается. В письме оказалось вложение zip, в котором был файл с двойным расширением *.docx.js. Что, мягко говоря, показалось мне странным. Тем не менее, установленный Kaspersky Endpoint Security 10 (10.1.0.867) на архив не ругнулся. Стал я его проверять на Virustotal и прочих интернет сервисах проверки. Virustotal архив признал не зараженным. А вот распакованный файл из него детектировал как Trojan-Ransom.BAT.Scatter.ay (по версии Касперского). Описания именно этой модификации я не нашел, в связи с этим у меня несколько вопросов: Заразил ли я свой комп? Что эта дрянь делает? и как её лечить? Полная проверка KES ничего не находит пока.
      Заранее признателен.
       
      P.S. должны мне привезти ноут на котором пытались этот файл открыть. Т.е. там точно его запустили и 100% машинка зараженная. Дайте пожалуйста рекомендации, как с наименьшим ущербом для данных пролечить? Я сразу порекомендовал выключить питание и пока ничего не трогать. Предполагаю, что загружаться в зараженную систему не стоит. Как предотвратить распространение вируса, если загрузиться "снаружи"?
      CollectionLog-2015.04.24-09.36.zip
    • mikril
      шифратор .vault
      Автор mikril
      День добрый! Помогите, пожалуйста. Ситуация, как я понял, прочитав несколько тем, стандартная- схватили на компьютер шифратор .VAULT. Сделал всё по инструкции - http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]
       
      заранее спасибо
       
      пс. компьютер в данный момент не имеет подключения к интернету, если это необходимо для создания полноценных логов, можно исправить
      CollectionLog-2015.04.17-12.09.zip
×
×
  • Создать...