Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик .vault

pyr12
 Поделиться

Рекомендуемые сообщения

pyr12

pyr12

Опубликовано
Опубликовано

Пользователь получил письмо с архивом. Разархивировал и запустил скрипт. Почти все офисные файлы и картинки зашифровались -  к именам файлов добавилось расширение .vault


Письмо пользователь удалил. Проверял Kaspersky Virus Removal Tool 2015 вирусов нет.


CollectionLog-2016.12.12-10.01.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Сделал и сохранил логи с HijackThis.

Я его не просил.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta [2016-12-12] ()
FF NewTab: Mozilla\Firefox\Profiles\7xoc7cer.default -> yafd:tabs
2016-12-12 08:32 - 2016-12-12 08:32 - 01380836 _____ C:\Users\User\AppData\Roaming\CONFIRMATION.KEY
2016-12-12 08:32 - 2016-12-12 08:32 - 00005006 ____H C:\Users\User\Desktop\VAULT.hta
2016-12-12 08:32 - 2016-12-12 08:32 - 00005006 _____ C:\Users\User\AppData\Roaming\VAULT.hta
2016-12-12 08:32 - 2016-12-12 08:32 - 00001605 _____ C:\Users\User\Desktop\VAULT.KEY
2016-12-12 08:32 - 2016-12-12 08:32 - 00001605 _____ C:\Users\User\AppData\Roaming\VAULT.KEY
C:\Users\User\AppData\Local\Temp\13718eaec64.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

С расшифровкой помочь не сможем, к сожалению.

Sandor

Sandor

Опубликовано
Опубликовано

Обратитесь в тех-поддержку Вашего антивируса. Либо, при наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

Но шансов почти нет.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • krokokot
      VAULT ключ куплен но расшифровка не происходит [Scatter Ransomware]
      Автор krokokot
      Приветствую.
       
      Знакомый словил VAULT - на lock.bz ключ оценили в 101 доллар. Бекапов нет, поэтому ключ пришлось купить. Но: при запуске файлы не расшифровываются. Пакетный файл пишет ERROR <имя файла>. 
       
      Попытки запихнуть расшифровщик помимо оригинального компьютера еще в три разных с ОС WinXP, Win 7, Win 8.1 результата не дали. Русские буквы и пробелы из путей и имен файлов исключены.
       
      При попытке ковырнуть работу VAULT-RESTORE.exe procmon.exe показывает, что дешифровщик считывает ключ, считывает последние 128 байт зашифрованного файла, после чего происходит thread terminate. Владеть отладчиком, к сожалению, не обучен... (
       
      На форуме есть упоминание об аналогичной ситуации, в которой уважаемый модератор таки-смог расшифровать файлы: 
      https://forum.kasperskyclub.ru/index.php?showtopic=48260
       
      Но как это получилось сделать - не описано.
       
      Очень прошу помочь с расшифровкой.
       
      В прикрепленном архиве: пакетный файл, ключ, VAULT-RESTORE.exe и один зашифрованный pdf
       
      helpmeplease.rar
    • sergey_2201
      Зашифрованы файлы расширение vault
      Автор sergey_2201
      Добрый день! [/size]
      На днях пришло письмо на электронную почту письмо c якобы[/size] [/size]каким-то актом сверки, соответственно не глянул и запустил его. Через некоторое время появилась заставка с требованием заплатить за расшифровку файлов. Посмотрите насколько возможна расшифровка файлов данным вирусом шифровальщиком. [/size]
      Заранее спасибо[/size]
      CollectionLog-2016.12.19-15.28.zip
    • kvv
      Открыл архив из эл. почты, теперь все документы и медиа файлы зашифрованы Vault
      Автор kvv
      Здравствуйте!
      Открыл архив из электронной почты ( этой файлик вложил во вложение с именем "Заявка1...."),
      После чего подозрительно заработал винт, и теперь все документы и медиа файлы зашифрованы
      VAUL вирусом
      Просканировал утилитой AutoLogger ( Отчет во вложении)
      Помогите пожалуйста расшифровать файлы.
      Константин
       
      ВНИМАНИЕ в ФАЙЛЕ Заявка(1)_Информ. по доставке.zip   ВИРУС!!!! Не Качайте его без дела!
       
      пример зашифрованного файла во вложении. Засунул его в архив, так как не всталялся.."Вы не можете загружать файлы подобного типа"[/size]
      CollectionLog-2016.12.13-12.11.zip


      СЕТКА.jpg.rar
    • Altamir
      Шифровальщик vault
      Автор Altamir
      Добрый день! На компьютере зашифровались все документы word и excel, вероятно, после открытия письма, точно установить сложно, на рабочем столе - табличка с сообщением "Ваш компьютер был заражен вирусом" и предложением обратиться на почту vault.decrypt@gmail.com.
       
      Прикладываю логи. Заранее спасибо!
      CollectionLog-2016.12.08-12.57.zip
    • depresnak
      Зашифровало файлы в формате VAULT
      Автор depresnak
      Здравствуйте. Зашифровало  файлы в формате VAULT, Помогите расшифровать
       
      CollectionLog-2016.12.06-16.38.zip
×
×
  • Создать...