Решена Вирус-шифровальщик Vault

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Freddy, 10 ноя 2015.

Статус темы:
Закрыта.
  1. Freddy
    Оффлайн

    Freddy Новый пользователь

    Сообщения:
    4
    Симпатии:
    4
    Добрый день.
    Сегодня запустили js-файл пришедший на электронную почту.
    Им оказался шифровальщик Vault, который зашифровал файлы doc, docx, pdf и т.д.
    Лечение было произведено. ОС не переустанавливалась.

    Можно ли расшифровать файлы обратно?

    Файлы зашифрованы видимо не GPG утилитой, т.к. не находятся сигнатуры ключа для расшифровки.
    По адресу %ALLUSERS%/Aplication Data/Microsoft/Crypto/RSA/MachineKeys был создан контейнер 370972ca6e206f8291e4988efbb3eec6_9a294048-36aa-4536-a40e-874ed28c0ebc, который содержит закрытый ключ.
    Это точно создал вирус, т.к. было проверено на виртуальной машине.
    Возможно это как то поможет для расшифровки.
    Могу приложить примеры файлов, а так же контейнер 370972ca6e206f8291e4988efbb3eec6_9a294048-36aa-4536-a40e-874ed28c0ebc и то, что из него удалось извлечь.
     
  2. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    251
    Симпатии:
    90
  3. Freddy
    Оффлайн

    Freddy Новый пользователь

    Сообщения:
    4
    Симпатии:
    4
    Спасибо за подсказку, коммерческой лицензии DrWeb нет. Зато есть ESET NOD32, обратился в их техподдержку.
    Если не будет результата, то попробую приобрести DrWeb и написать им.
     
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
  5. Freddy
    Оффлайн

    Freddy Новый пользователь

    Сообщения:
    4
    Симпатии:
    4
    Компьютер проверял не однократно, никаких следов самого вируса не осталось, кроме VAULT.HTA, который автоматически удалил антивирус.
    Поэтому помощь в лечении не требуется.

    Файлы расшифровал при помощи службы поддержки DrWeb.
    Так же важно, чтобы ОС не была переустановлена (в ней хранится ключевой контейнер с RSA-ключом).
     
    Последнее редактирование модератором: 2 дек 2015
Статус темы:
Закрыта.

Поделиться этой страницей