Шифровальщик .vault

[pyr12]

Пользователь получил письмо с архивом. Разархивировал и запустил скрипт. Почти все офисные файлы и картинки зашифровались -  к именам файлов добавилось расширение .vault

Письмо пользователь удалил. Проверял Kaspersky Virus Removal Tool 2015 вирусов нет.

CollectionLog-2016.12.12-10.01.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[pyr12]

Сделал и сохранил логи с HijackThis.

Addition.txt

FRST.txt

Shortcut.txt

HiJackThis.log

[Sandor]

Сделал и сохранил логи с HijackThis.

Я его не просил.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta [2016-12-12] ()
FF NewTab: Mozilla\Firefox\Profiles\7xoc7cer.default -> yafd:tabs
2016-12-12 08:32 - 2016-12-12 08:32 - 01380836 _____ C:\Users\User\AppData\Roaming\CONFIRMATION.KEY
2016-12-12 08:32 - 2016-12-12 08:32 - 00005006 ____H C:\Users\User\Desktop\VAULT.hta
2016-12-12 08:32 - 2016-12-12 08:32 - 00005006 _____ C:\Users\User\AppData\Roaming\VAULT.hta
2016-12-12 08:32 - 2016-12-12 08:32 - 00001605 _____ C:\Users\User\Desktop\VAULT.KEY
2016-12-12 08:32 - 2016-12-12 08:32 - 00001605 _____ C:\Users\User\AppData\Roaming\VAULT.KEY
C:\Users\User\AppData\Local\Temp\13718eaec64.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[pyr12]

Сделал

Fixlog.txt

[Sandor]

С расшифровкой помочь не сможем, к сожалению.

[pyr12]

Подскажите что делать, чтоб расшифровать.

[Sandor]

Обратитесь в тех-поддержку Вашего антивируса. Либо, при наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

Но шансов почти нет.