шифровальщик vault

[Trunk]

Привет! Помогите с диагностикой ПК, есть комп с windows 7 и в нем появились подозрительные файлы vault.key и confirmation.key. Есть подозрения на инфицирование шифровальщиком vault. В системе установлен kaspersky endpoint security 10. Запустил полную проверку но пока ничего не найдено..

 

[Razer]

1. Максимально изолируйте PC от остальной сети, выдерните провод LAN
2. Скачайте CureIT или DrWeb Live DVD
https://free.drweb.ru/aid_admin/

Можно прогнать касперским Kaspersky Rescue DVD
Загрузитесь с этих Live DVD проверьте систему.

Посмотрите вот эти утилиты для борьбы с вирусами http://support.kaspersky.ru/viruses/utility
Возможно что то удастся расшифровать

 

[Xeno]

Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия:

1. проверьте наличие теневых копий на дисках, если есть чистые теневые копии, восстановить документы можно без расшифровки.
Используйте для работы с теневыми копиями ShadowExplorer

если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование
пространства в 5-10% под теневые копии.

2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
для этого необходимо найти файл secring.gpg.
secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP%
юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает
данный ключ с помощью утилиты sdelete.exe.

"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"

Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов
не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.
что делает шифратор с исходными файлами:

dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
echo %%i>> "%temp%\conf.list"
)

после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc,
и только затем переименовывается в 1.doc.vault.
т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
Добавим, что злоумышленники после завершения шифрования оставляют на диске файлы VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg,
но зашифрованный с помощью pub key злоумышленников, поэтому расшифровать его на нашей стороне невозможно.
В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли
с целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
--------
если sec key найден, вы можете установить GnuPG и GPGShell и проверить возможность расшифровки.

скачайте отсюда и установите GnuPG
+
отсюда можно скачать GPGShell

В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------

В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------

как можно избежать встречи с VAULT?
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом.
Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:

%userprofile%\Local Settings\Temp\_tc\*.js
%userprofile%\Appdata\Local\Temp\_tc\*.js

3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg.
в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую
пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае
шифрование состоится, но известным ключом. Или не состоится. отсюда

 

[Trunk]

Спасибо! Но тут вопрос в другом, вроде бы симптомы есть (*.key файлы) но еще ничего не зашифровано, как удалить этот вредонос???

- -Подумал и добавил - -

Фуххх. Пронесло, короче разобрались что произошло. Никакой заразы не было. А те файлики которые были - липа. Вредонос пытался попасть в нашу сетку через email рассылки (благо у нас пара - тройка cisco iron port c100v с sophos антивирусным движком). Вот как раз они то и уберегли от шифровальщика - вредоносный код был вырезан из тела письма. А ошметки от вируса пропустил. В итоге у пользователя был
только hta файлик с картинкой от вымогателей и все.
Исходный код ниже

<html><head><hta:application BORDER = "none" CAPTION = "No" CONTEXTMENU = "Yes" INNERBORDER = "No" MAXIMIZEBUTTON = "No" MINIMIZEBUTTON = "No" NAVIGABLE = "No" SCROLL = "No" SCROLLFLAT = "No" SELECTION = "Yes" SHOWINTASKBAR = "No" SINGLEINSTANCE = "Yes" SYSMENU = "No"/><style>body{cursor:default;background-color:#E7E7E7;margin:0;font-family:"HelveticaNeue-Light","Helvetica Neue Light","Helvetica Neue",Helvetica,Arial,sans-serif;text-align:center}.vstyle{margin:10px;height:520px;width:1100px}.sc{margin:10px 150px;font-size:30px;width:900px;color:#3CEE3C;padding:20px;background-color:#7a7a7a;}.briefly{position:absolute;left:50px;width:480px}.detailed{display:inline-block;margin-left:530px;width:660px}.bti{background-color:#DFDFDF;color:#555;font-size:28px;padding:10px}hr{width:90%}.sced{margin-top:15px;text-align:center;font-size:27px;height:220px;padding:20px;background-color:#6a6a6a;line-height:1.5;color:#EAEAEA;background-image:url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAYAAACNbyblAAAAJ0lEQVR42mXMsQkAAAzDMH+S/69M6VAoeAgGDQFIW/4QQARbwaF+B3+SPGAo8blgAAAAAElFTkSuQmCC)}form{display:inline}.dbutt{margin-left:2px;font-size:16px;font-weight:500;border:none;background-color:#9f9f9f;color:#EEE;cursor:pointer}.footer{text-align:left;position:relative;width:600px;margin:2px 2px 2px 40px;height:16px;font-size:15px;background-color:#CFCFCF;color:#444;padding:6px}.fnl{font-size:0.6em}</style><meta http-equiv="Content-Type" content="text/html;charset=utf-8"/><title>Block Notification</title><script language="vbscript">
sub Window_Onload
window.resizeTo 1280,725
screenWidth = Document.ParentWindow.Screen.AvailWidth
screenHeight = Document.ParentWindow.Screen.AvailHeight
posLeft = (screenWidth - 1280) / 2
posTop = (screenHeight - 725) / 2
window.moveTo posLeft, posTop
end sub
</script></head><body scroll="no"><div class="vstyle"><div class="sc"><font color="#FF6666">ВНИМАНИЕ!<br>Ваш компьютер был заблокирован<br>Все Ваши документы и медиафайлы были <b>зашифрованы</b></font></div><div class="sc" style="font-size:20px;width:800px;margin-left:200px;color:#EAEAEA;">Для их восстановления необходимо <b>купить</b> Ваш уникальный дешифратор</div><br><div class="briefly"><div class="bti"><b>Кратко:</b></div><div class="sced">Необходимо произвести 5 шагов:<hr>1. Найдите VАULТ.KЕY<br>2. Перейдите в Ваш кабинет<br>3. Получите <b>ГАРАНТИИ</b><br>4. Приобретите ключ<br>5. Восстановите файлы</div></div><div class="detailed"><div class="bti"><b>Детально:</b></div><div class="sced">Перейдите в клиент-панель по <b>ссылке</b>:<div class="bti" style="margin:5px 8%;padding:0px;cursor:text;"><a href="http://torscreen.org" style="color:#555;text-decoration:none">http://torscreen.org</a></div><center><b style="font-weight:400;font-size:0.6em">Авторизируйтесь > Получите гарантии > Оплатите > Восстановитесь</b></center><hr style="margin:10px 0 10px 0"><form action="http://bit.ly/29dKy1h?vlt"><input class="dbutt" type="submit" value="Что произошло?" style="font-weight:600;height:2em"></form>  <form action="http://bit.ly/29dKui4?vlt"><input class="dbutt" type="submit" value="Дополнительные ссылки" style="font-weight:400;height:2em"></form></div>
<div class="footer">Инфо 1: Никто, кроме нас не сможет восстановить Ваш компьютер.</div><div class="footer">Инфо 2: Для восстановления необходим <u>только</u> <b>VАULТ.KЕY</b>. Сделайте копию!</div>
<div class="footer">Инфо 3: Полиция/Антивирусы не восстановят Ваши файлы</div>
<div class="footer" style="border:2px dashed #8e8e8e;"><u>Есть сложности</u>? Пишите на почту <b>vault.decrypt@gmail.com</b></div></div>
</body></html>

Короче мораль - используйте продвинутые антиспам фильтры!
Все.