Зашифрованы файлы расширение vault

[sergey_2201]

Добрый день! [/size]

На днях пришло письмо на электронную почту письмо c якобы[/size] [/size]каким-то актом сверки, соответственно не глянул и запустил его. Через некоторое время появилась заставка с требованием заплатить за расшифровку файлов. Посмотрите насколько возможна расшифровка файлов данным вирусом шифровальщиком. [/size]

Заранее спасибо[/size]

CollectionLog-2016.12.19-15.28.zip

Изменено 19 декабря, 2016 пользователем Sandor
Убрал подозрительный файл

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Ask Toolbar

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(10);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[sergey_2201]

Выполнил всё по инструкции прикрепил файлы к сообщению. 

 

 

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Toolbar: HKU\S-1-5-21-943858745-2068519650-408276090-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-943858745-2068519650-408276090-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2016-12-13 08:52 - 2016-12-13 08:52 - 02110434 _____ C:\Users\ГУРА\AppData\Roaming\CONFIRMATION.KEY
2016-12-13 08:52 - 2016-12-13 08:52 - 00001611 _____ C:\Users\ГУРА\Desktop\VAULT.KEY
2016-12-13 08:52 - 2016-12-13 08:52 - 00001611 _____ C:\Users\ГУРА\AppData\Roaming\VAULT.KEY
Task: {136B07B4-3F79-4703-B85D-5A88D80563E0} - \{5B5C716F-6D6B-4525-9472-B80D4A4D6B26} -> No File <==== ATTENTION
Task: {2A33A58E-4D7C-4156-9E5C-5ACA6B7FB6D4} - \{3A82717E-FD27-4D1D-805D-EC7566969A2B} -> No File <==== ATTENTION
Task: {B6291653-0E55-4CAA-9FF9-88F03D0C2096} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2013-04-01] () <==== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[sergey_2201]

Выполнил всё по инструкции прикрепил файлы к сообщению

Fixlog.txt

[Sandor]

Следы вымогателя очищены. С расшифровкой помочь не сможем.