• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Вирус-шифровальщик Vault

Статус
В этой теме нельзя размещать новые ответы.

Freddy

Активный пользователь
Сообщения
4
Реакции
4
Баллы
173
Добрый день.
Сегодня запустили js-файл пришедший на электронную почту.
Им оказался шифровальщик Vault, который зашифровал файлы doc, docx, pdf и т.д.
Лечение было произведено. ОС не переустанавливалась.

Можно ли расшифровать файлы обратно?

Файлы зашифрованы видимо не GPG утилитой, т.к. не находятся сигнатуры ключа для расшифровки.
По адресу %ALLUSERS%/Aplication Data/Microsoft/Crypto/RSA/MachineKeys был создан контейнер 370972ca6e206f8291e4988efbb3eec6_9a294048-36aa-4536-a40e-874ed28c0ebc, который содержит закрытый ключ.
Это точно создал вирус, т.к. было проверено на виртуальной машине.
Возможно это как то поможет для расшифровки.
Могу приложить примеры файлов, а так же контейнер 370972ca6e206f8291e4988efbb3eec6_9a294048-36aa-4536-a40e-874ed28c0ebc и то, что из него удалось извлечь.
 

Freddy

Активный пользователь
Сообщения
4
Реакции
4
Баллы
173
Спасибо за подсказку, коммерческой лицензии DrWeb нет. Зато есть ESET NOD32, обратился в их техподдержку.
Если не будет результата, то попробую приобрести DrWeb и написать им.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,065
Реакции
6,238
Баллы
1,008

Freddy

Активный пользователь
Сообщения
4
Реакции
4
Баллы
173
Компьютер проверял не однократно, никаких следов самого вируса не осталось, кроме VAULT.HTA, который автоматически удалил антивирус.
Поэтому помощь в лечении не требуется.

Файлы расшифровал при помощи службы поддержки DrWeb.
Так же важно, чтобы ОС не была переустановлена (в ней хранится ключевой контейнер с RSA-ключом).
 
Последнее редактирование модератором:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу