Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик .vault

pyr12
 Поделиться

Рекомендуемые сообщения

pyr12

pyr12

Опубликовано
Опубликовано

Пользователь получил письмо с архивом. Разархивировал и запустил скрипт. Почти все офисные файлы и картинки зашифровались -  к именам файлов добавилось расширение .vault


Письмо пользователь удалил. Проверял Kaspersky Virus Removal Tool 2015 вирусов нет.


CollectionLog-2016.12.12-10.01.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Сделал и сохранил логи с HijackThis.

Я его не просил.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta [2016-12-12] ()
FF NewTab: Mozilla\Firefox\Profiles\7xoc7cer.default -> yafd:tabs
2016-12-12 08:32 - 2016-12-12 08:32 - 01380836 _____ C:\Users\User\AppData\Roaming\CONFIRMATION.KEY
2016-12-12 08:32 - 2016-12-12 08:32 - 00005006 ____H C:\Users\User\Desktop\VAULT.hta
2016-12-12 08:32 - 2016-12-12 08:32 - 00005006 _____ C:\Users\User\AppData\Roaming\VAULT.hta
2016-12-12 08:32 - 2016-12-12 08:32 - 00001605 _____ C:\Users\User\Desktop\VAULT.KEY
2016-12-12 08:32 - 2016-12-12 08:32 - 00001605 _____ C:\Users\User\AppData\Roaming\VAULT.KEY
C:\Users\User\AppData\Local\Temp\13718eaec64.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

С расшифровкой помочь не сможем, к сожалению.

Sandor

Sandor

Опубликовано
Опубликовано

Обратитесь в тех-поддержку Вашего антивируса. Либо, при наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

Но шансов почти нет.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kvv
      Открыл архив из эл. почты, теперь все документы и медиа файлы зашифрованы Vault
      Автор kvv
      Здравствуйте!
      Открыл архив из электронной почты ( этой файлик вложил во вложение с именем "Заявка1...."),
      После чего подозрительно заработал винт, и теперь все документы и медиа файлы зашифрованы
      VAUL вирусом
      Просканировал утилитой AutoLogger ( Отчет во вложении)
      Помогите пожалуйста расшифровать файлы.
      Константин
       
      ВНИМАНИЕ в ФАЙЛЕ Заявка(1)_Информ. по доставке.zip   ВИРУС!!!! Не Качайте его без дела!
       
      пример зашифрованного файла во вложении. Засунул его в архив, так как не всталялся.."Вы не можете загружать файлы подобного типа"[/size]
      CollectionLog-2016.12.13-12.11.zip


      СЕТКА.jpg.rar
    • Altamir
      Шифровальщик vault
      Автор Altamir
      Добрый день! На компьютере зашифровались все документы word и excel, вероятно, после открытия письма, точно установить сложно, на рабочем столе - табличка с сообщением "Ваш компьютер был заражен вирусом" и предложением обратиться на почту vault.decrypt@gmail.com.
       
      Прикладываю логи. Заранее спасибо!
      CollectionLog-2016.12.08-12.57.zip
    • depresnak
      Зашифровало файлы в формате VAULT
      Автор depresnak
      Здравствуйте. Зашифровало  файлы в формате VAULT, Помогите расшифровать
       
      CollectionLog-2016.12.06-16.38.zip
    • Николай Шавлов
      Зашифровало файлы VAULT
      Автор Николай Шавлов
      Здравствуйте помогите пожалуйста расшифровать файлы. XoristDecryptor и RectorDecryptor не помогают.
      VAULT.rar
    • Любомир
      Зашифровало файлы VAULT
      Автор Любомир
      Доброе утро! Зашифровало  файлы в формате VAULT, Помогите розшыфровать. скачал  Farbar Recovery Scan Tool, прикрепляю файлы...
      Прикрепленные файлы Addition.txt
      FRST.txt
×
×
  • Создать...