0
p4an7om

Троян-шифровальщик VAULT! Кто слышал?)

Рекомендуемые сообщения

Сегодня в 10:01 произошло ЧП)

 

Все файлы doc\xls\txt находящиеся в сетевой папке были зашифрованы. Пока почему-то только одна папка (включая все подпапки, кроме одной) пострадала.

 

Файлы имеются приписку с расширению - .vault

Принцип работы этого шифровальщика сложный, 

 

Погуглил, но инфы мало, буду пробовать искать удалённый файл ключа, который можно будет использовать для расшифровки, но надежды мало...

 

пишу в поддержку др.вэба

 

пока как-то так

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ловили на работе пару раз сотрудники. Шансов очень мало восстановить. Если найдешь ключ, считай повезло. Мы не восстановили, хотя особо и не пытались.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пришла эта гадость по почте, нашёл девочку, которая открыла файл .js замаскированный под .doc

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас главное найти файл ключа или понадеяться на dr.web, что они смогут подобрать ключ...

 

сам вредоносный файл нашёл, могу поделиться, вдруг кому нужен))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот такой ответ пришёл от dr/web)

 

 

 

Здравствуйте. 

К сожалению, в данном случае расшифровка не в наших силах. 

Собственно шифрование файлов выполнено общедоступным легитимным криптографическим ПО GPG (GnuPG) 
Криптосхема на базе RSA-1024. 
Подбор ключа расшифровки, к сожалению, невозможен. 

Восстановление данных - из резервных копий, если велось резервное копирование. 

Поскольку это RSA-1024, без содействия со стороны автора/хозяина троянца - вольного или невольного (арест соотв. людей правоохранительными органами) - 
расшифровка не представляется практически возможной. 

>подсказать как первым делом остановить распространение трояна этого. 

Заражен один из ПК, который имеет доступ к этой шаре. Первым делом выяснить какой именно (по наличию таких же зашифрованных файлов в локальных каталогах) и отключить от сети. Ну и закрыть сетевую шару на время, если там еще чего осталось незашифрованным. 

С уважением, Евгений Титов 
служба технической поддержки компании "Доктор Веб".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас главное найти файл ключа или понадеяться на dr.web, что они смогут подобрать ключ...

 

сам вредоносный файл нашёл, могу поделиться, вдруг кому нужен))

переименовать в "чит для копатель онлайн" и можно в сеть выкидывать)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Последний ответ dr.web после того как я отправил им файл-шифровальщика)

 

 

 

Да, это он - JS.DownLoader.526 

С уважением, Евгений Титов 
служба технической поддержки компании "Доктор Веб".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Локализовал 2 компьютера, на которых запускались исходники шифровальщика...

Пока сижу курю, думаю что с ними делать) Вроде чуть расслабон, т.к. по сети сам шифровальщик вроде не умеет путешествовать!

 

Так что можно теперь никуда не спешить, собраться с мыслями и поискать хорошо файл ключа на этих 2х компьютерах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я так понимаю он переписывает файлы в свой формат, а нормальные затирает. Восстанавливал удаленные файлы rstudio: doc, xls, картинки помогла, по 1с базе не помогло (благо был её недавний бекап)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да многие словили этот вирус за последний год в городе. Но ни одного положительного отзыва о успешном восстановлении файлов так и не услышал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я так понимаю он переписывает файлы в свой формат, а нормальные затирает. Восстанавливал удаленные файлы rstudio: doc, xls, картинки помогла, по 1с базе не помогло (благо был её недавний бекап)

Да, он создаёт копию файла, уже зашифрованную. А старый файл затирает, а не удаляет. Так что методом восстановления удалённых файлов здесь не пробиться...

 

Всё что нашёл в сети - это найти созданный и удалённый шифровальщиком файл ключа, по которому он зашифровал и через 2 программы попытаться восстановить файлы. Но это 1 процент из миллиона)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

... А старый файл затирает, а не удаляет...

А в чем разница между ЗАТИРАНИЕМ и УДАЛЕНИЕМ файла?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Удаление - запись в FAT. Затирание - перезаписывание секторов, в которых размещался файл.

Причем, в случае с FAT (как там в NTFS, не знаю) просто затирался первый символ имени файла.

т е затирая, теряешь файлик навсегда? Значит я с другой разновидностью сталкивался.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В сентябре пользователь ловил похожий вирус-вымогатель: зашифрованы были все локальные документы пользователя по всему жесткому диску, расширение шифрованных файлов = .xtbl

 

Сообщение у пользователя (файл README.txt лежал в корне всех жестких дисков):

 

---------------------------------------

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
76E011519F88F882213C|239|2|10
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
76E011519F88F882213C|239|2|10
to e-mail address [email protected] or [email protected] .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

---------------------------------------

 

Через головную организацию обратился в ЛК, получил дешифровщик ShadeDecryptor, практически все восстановил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Фантом, а в чем я не прав с грамотной настройкой безопасности? Если во время позаботится о ней, то вероятность возникновения таких случаев можно снизить к нулю. 

Или банально, "правда глаза режет"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сегодня в 10:01 произошло ЧП)

 

Все файлы doc\xls\txt находящиеся в сетевой папке были зашифрованы. Пока почему-то только одна папка (включая все подпапки, кроме одной) пострадала.

 

Файлы имеются приписку с расширению - .vault

Принцип работы этого шифровальщика сложный, 

 

Погуглил, но инфы мало, буду пробовать искать удалённый файл ключа, который можно будет использовать для расшифровки, но надежды мало...

 

пишу в поддержку др.вэба

 

пока как-то так

 

На компьютере было какое-либо антивирусное ПО?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IMHO, правильно настроить безопасность не так уж и просто. Намного сложнее, чем КЭПить в теме, в которой спрашивается совет "что делать, когда уже", а не "что бы такого сделать, чтобы не случилось".

Хотя бы поставить всем пользователям NoScript в браузер и объяснить его значение и работу с ним.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
0