Объявление

Свернуть
Пока нет объявлений.

шифровальщик vault

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

    шифровальщик vault

    Привет! Помогите с диагностикой ПК, есть комп с windows 7 и в нем появились подозрительные файлы vault.key и confirmation.key. Есть подозрения на инфицирование шифровальщиком vault. В системе установлен kaspersky endpoint security 10. Запустил полную проверку но пока ничего не найдено..

    #2
    1. Максимально изолируйте PC от остальной сети, выдерните провод LAN
    2. Скачайте CureIT или DrWeb Live DVD
    https://free.drweb.ru/aid_admin/

    Можно прогнать касперским Kaspersky Rescue DVD
    Загрузитесь с этих Live DVD проверьте систему.

    Посмотрите вот эти утилиты для борьбы с вирусами http://support.kaspersky.ru/viruses/utility
    Возможно что то удастся расшифровать

    Комментарий


      #3
      Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия:

      1. проверьте наличие теневых копий на дисках, если есть чистые теневые копии, восстановить документы можно без расшифровки.
      Используйте для работы с теневыми копиями ShadowExplorer

      если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование
      пространства в 5-10% под теневые копии.

      2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
      для этого необходимо найти файл secring.gpg.
      secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP%
      юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает
      данный ключ с помощью утилиты sdelete.exe.
      Код:
      "%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
      "%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt"
      "%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"
      Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов
      не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.
      что делает шифратор с исходными файлами:
      Код:
      dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
      echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
      echo %%i>> "%temp%\conf.list"
      )
      после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc,
      и только затем переименовывается в 1.doc.vault.
      т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
      Добавим, что злоумышленники после завершения шифрования оставляют на диске файлы VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg,
      но зашифрованный с помощью pub key злоумышленников, поэтому расшифровать его на нашей стороне невозможно.
      В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли
      с целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
      --------
      если sec key найден, вы можете установить GnuPG и GPGShell и проверить возможность расшифровки.

      скачайте отсюда и установите GnuPG
      +
      отсюда можно скачать GPGShell

      В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
      +
      После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
      -----------

      В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
      +
      После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
      -----------

      как можно избежать встречи с VAULT?
      1. будьте предельно внимательны при работе с почтой.
      если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом.
      Значит вас вводят в заблуждение, выдавая черное за белое.
      2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
      например:
      Код:
      %userprofile%\Local Settings\Temp\_tc\*.js
      %userprofile%\Appdata\Local\Temp\_tc\*.js
      3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg.
      в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую
      пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

      4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае
      шифрование состоится, но известным ключом. Или не состоится. отсюда

      Комментарий


        #4
        Спасибо! Но тут вопрос в другом, вроде бы симптомы есть (*.key файлы) но еще ничего не зашифровано, как удалить этот вредонос???

        - -Подумал и добавил - -

        Фуххх. Пронесло, короче разобрались что произошло. Никакой заразы не было. А те файлики которые были - липа. Вредонос пытался попасть в нашу сетку через email рассылки (благо у нас пара - тройка cisco iron port c100v с sophos антивирусным движком). Вот как раз они то и уберегли от шифровальщика - вредоносный код был вырезан из тела письма. А ошметки от вируса пропустил. В итоге у пользователя был
        только hta файлик с картинкой от вымогателей и все.
        Исходный код ниже
        Код:
        <html><head><hta:application BORDER = "none" CAPTION = "No" CONTEXTMENU = "Yes" INNERBORDER = "No" MAXIMIZEBUTTON = "No" MINIMIZEBUTTON = "No" NAVIGABLE = "No" SCROLL = "No" SCROLLFLAT = "No" SELECTION = "Yes" SHOWINTASKBAR = "No" SINGLEINSTANCE = "Yes" SYSMENU = "No"/><style>body{cursor:default;background-color:#E7E7E7;margin:0;font-family:"HelveticaNeue-Light","Helvetica Neue Light","Helvetica Neue",Helvetica,Arial,sans-serif;text-align:center}.vstyle{margin:10px;height:520px;width:1100px}.sc{margin:10px 150px;font-size:30px;width:900px;color:#3CEE3C;padding:20px;background-color:#7a7a7a;}.briefly{position:absolute;left:50px;width:480px}.detailed{display:inline-block;margin-left:530px;width:660px}.bti{background-color:#DFDFDF;color:#555;font-size:28px;padding:10px}hr{width:90%}.sced{margin-top:15px;text-align:center;font-size:27px;height:220px;padding:20px;background-color:#6a6a6a;line-height:1.5;color:#EAEAEA;background-image:url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAYAAACNbyblAAAAJ0lEQVR42mXMsQkAAAzDMH+S/69M6VAoeAgGDQFIW/4QQARbwaF+B3+SPGAo8blgAAAAAElFTkSuQmCC)}form{display:inline}.dbutt{margin-left:2px;font-size:16px;font-weight:500;border:none;background-color:#9f9f9f;color:#EEE;cursor:pointer}.footer{text-align:left;position:relative;width:600px;margin:2px 2px 2px 40px;height:16px;font-size:15px;background-color:#CFCFCF;color:#444;padding:6px}.fnl{font-size:0.6em}</style><meta http-equiv="Content-Type" content="text/html;charset=utf-8"/><title>Block Notification</title><script language="vbscript">
        sub Window_Onload
        window.resizeTo 1280,725
        screenWidth = Document.ParentWindow.Screen.AvailWidth
        screenHeight = Document.ParentWindow.Screen.AvailHeight
        posLeft = (screenWidth - 1280) / 2
        posTop = (screenHeight - 725) / 2
        window.moveTo posLeft, posTop
        end sub
        </script></head><body scroll="no"><div class="vstyle"><div class="sc"><font color="#FF6666">ВНИМАНИЕ!<br>Ваш компьютер был заблокирован<br>Все Ваши документы и медиафайлы были <b>зашифрованы</b></font></div><div class="sc" style="font-size:20px;width:800px;margin-left:200px;color:#EAEAEA;">Для их восстановления необходимо <b>купить</b> Ваш уникальный дешифратор</div><br><div class="briefly"><div class="bti"><b>Кратко:</b></div><div class="sced">Необходимо произвести 5 шагов:<hr>1. Найдите VАULТ.KЕY<br>2. Перейдите в Ваш кабинет<br>3. Получите <b>ГАРАНТИИ</b><br>4. Приобретите ключ<br>5. Восстановите файлы</div></div><div class="detailed"><div class="bti"><b>Детально:</b></div><div class="sced">Перейдите в клиент-панель по <b>ссылке</b>:<div class="bti" style="margin:5px 8%;padding:0px;cursor:text;"><a href="http://torscreen.org" style="color:#555;text-decoration:none">http://torscreen.org</a></div><center><b style="font-weight:400;font-size:0.6em">Авторизируйтесь > Получите гарантии > Оплатите > Восстановитесь</b></center><hr style="margin:10px 0 10px 0"><form action="http://bit.ly/29dKy1h?vlt"><input class="dbutt" type="submit" value="Что произошло?" style="font-weight:600;height:2em"></form>&nbsp;&nbsp;<form action="http://bit.ly/29dKui4?vlt"><input class="dbutt" type="submit" value="Дополнительные ссылки" style="font-weight:400;height:2em"></form></div>
        <div class="footer">Инфо 1: Никто, кроме нас не сможет восстановить Ваш компьютер.</div><div class="footer">Инфо 2: Для восстановления необходим <u>только</u> <b>VАULТ.KЕY</b>. Сделайте копию!</div>
        <div class="footer">Инфо 3: Полиция/Антивирусы не восстановят Ваши файлы</div>
        <div class="footer" style="border:2px dashed #8e8e8e;"><u>Есть сложности</u>? Пишите на почту <b>vault.decrypt@gmail.com</b></div></div>
        </body></html>
        image_64.jpg
        Короче мораль - используйте продвинутые антиспам фильтры!
        Все.

        Комментарий

        Обработка...
        X