Шифровальщик VAULT

nik0el · 21.01.2016, 15:19

Добрый день! Прошу помочь проверить систему win 7 на остатки вируса.

uVS

avz

Пользователь работал без прав, поэтому вирус похоже не смог прописаться, только на рабочем столе попортил файлы. Nod32 сразу удалил файлы вируса. Malwarebytes ничего не нашел.

safety · 21.01.2016, 17:00

чистый образ, нет следов шифратора в автозапуске

добавьте лог журнала обнаружения антивируса,
глянуть что ESET обнаружил
http://forum.esetnod32.ru/forum9/topic1408/

nik0el · 21.01.2016, 17:14

это хорошо, спасибо!

esetnod32

safety · 21.01.2016, 17:35

а часть файлов все равно шифрануло?

судя по логу то что было удалено (VAULT.hta), это не самое важное в данном шифраторе, в основном окна предупреждения.

21.01.2016 8:53:39 Защита в режиме реального времени файл C:\Users\mosyakina\Desktop\VAULT.hta Win32/Filecoder.FH троянская программа удален FEST-K\mosyakina Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe.
21.01.2016 8:53:39 Защита в режиме реального времени файл C:\Users\mosyakina\AppData\Roaming\Microsoft\Windo ws\Start Menu\Programs\Startup\VAULT.hta Win32/Filecoder.FH троянская программа удален FEST-K\mosyakina Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe.
21.01.2016 8:53:39 Защита в режиме реального времени файл D:\VAULT.hta Win32/Filecoder.FH троянская программа удален FEST-K\mosyakina Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe.
21.01.2016 8:53:38 Защита в режиме реального времени файл C:\Users\mosyakina\AppData\Roaming\Microsoft\Windo ws\Templates\VAULT.hta Win32/Filecoder.FH троянская программа удален FEST-K\mosyakina Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe.
21.01.2016 8:53:38 Защита в режиме реального времени файл C:\Users\mosyakina\AppData\Roaming\VAULT.hta Win32/Filecoder.FH троянская программа удален FEST-K\mosyakina Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe.
21.01.2016 8:17:50 Защита в режиме реального времени файл C:\Users\MOSYAK~1\AppData\Local\Temp\1_ff4N2U.js.p art JS/TrojanDownloader.Agent.OEQ троянская программа очищен удалением FEST-K\mosyakina Событие произошло в файле модифицированном приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

nik0el · 21.01.2016, 22:02

На рабочем столе было несколько файлов doc и xls, они стали doc.vault и xls.vault. В темпе пользователя тоже были какие-то документы, они частично закодировались.
Не знаю что там скачалось по ссылке, может что-то пользователь удалил. Пришло сразу несколько писем с просьбой найти потерянные документы, а то им грозят штрафами и ссылка на файл "Поиск документов", если перейти по ней то кидает на фейковый яндекс диск с ссылкой на файл js. По коду вроде как генерирует какие-то файлы, не понимаю js.

RP55.RP55 · 21.01.2016, 22:19

nik0el

Если нужна помощь - то, по правилам форума нужно создать свою тему.
( Чтобы избежать путаницы )

С расшифровкой вряд ли поможем - но, если в системе есть вирус поможем с его удалением.
Для этого нужно выполнить:
http://pchelpforum.ru/f26/t6442/
Нужен образ автозапуска в программе uVS
*Если вы раньше работали с uVS и у вас старая версия программы то _обязательно обновите программу до актуальной версии.

* Проблемами шифрования у нас занимается: safety
Он будет завтра.
--------
По расшифровке нужно обращаться в ту антивирусную компанию чей продукт у вас установлен.
( разуется речь идёт о платных антивирусных продуктах )

safety · 22.01.2016, 06:56

Цитата:

Сообщение от nik0el

На рабочем столе было несколько файлов doc и xls, они стали doc.vault и xls.vault. В темпе пользователя тоже были какие-то документы, они частично закодировались.
Не знаю что там скачалось по ссылке, может что-то пользователь удалил. Пришло сразу несколько писем с просьбой найти потерянные документы, а то им грозят штрафами и ссылка на файл "Поиск документов", если перейти по ней то кидает на фейковый яндекс диск с ссылкой на файл js. По коду вроде как генерирует какие-то файлы, не понимаю js.

обычно, файл шифратора VAULT самоудаляется после завершения шифрования, если же шифрование прервано (перезагрузкой или выключением системы), то в этом случае шифратор может запуститься повторно, поскольку он приписывается в реестр, в автозапуск. В вашем случае, если права были ограничены у пользователя, то шифратор не смог прописаться в автозапуск, поэтому повторно не запустился.

Можно проверить папку system32 (с датой создания соответственно шифрованию) , в ней должен быть каталог с атрибутом системный, скрытый, в этом каталоге может быть десятка два файлов. Файл шифратора может иметь расширение scr, pif, cmd и т.п.

+
если сохранилось вредоносное письмо, перешлите его в архиве с паролем infected в почту safety@chklst.ru

nik0el · 22.01.2016, 10:17

папку system32 проверял, там было два новых файла с длинными названиями из букв-цифр, удалял их. Только потом активация слетела, не знаю из-за чего, может из-за них. Запрашивал повторную активацию, прошла успешно.

еще раз глянул ссылку в письме, яндекс диск настоящий.

safety · 22.01.2016, 11:04

да, по этой ссылке видимо еще много кто заходил, но файл то с расширением js, обращайте на это внимание пользователей

Цитата:

Владелец: heytinur

21.01.2016, 15:19	#1 (ссылка)
nik0el Новичок Регистрация: 14.01.2014 Сообщений: 12 Репутация: 0	Шифровальщик VAULT Добрый день! Прошу помочь проверить систему win 7 на остатки вируса. uVS avz Пользователь работал без прав, поэтому вирус похоже не смог прописаться, только на рабочем столе попортил файлы. Nod32 сразу удалил файлы вируса. Malwarebytes ничего не нашел.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Шифрователь VAULT	Stolyar	Безопасность	4	28.10.2015 14:04
Вирус шифровальщик	Ruto4ka	Безопасность	2	26.05.2015 06:53
Шифровальщик :( *.doc.vault	foto-s	Безопасность	12	17.05.2015 14:58
Help me (Скачал шифровальщик)	Swansons	Безопасность	15	16.02.2015 22:17
вирус шифровальщик	volkoff.	Безопасность	1	13.10.2014 22:23

21.01.2016, 17:00	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	чистый образ, нет следов шифратора в автозапуске добавьте лог журнала обнаружения антивируса, глянуть что ESET обнаружил http://forum.esetnod32.ru/forum9/topic1408/

21.01.2016, 17:14	#3 (ссылка)
nik0el Новичок Регистрация: 14.01.2014 Сообщений: 12 Репутация: 0	это хорошо, спасибо! esetnod32

21.01.2016, 17:35	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	а часть файлов все равно шифрануло? судя по логу то что было удалено (VAULT.hta), это не самое важное в данном шифраторе, в основном окна предупреждения. 21.01.2016 8:53:39 Защита в режиме реального времени файл C:\Users\mosyakina\Desktop\VAULT.hta Win32/Filecoder.FH троянская программа удален FEST-K\mosyakina Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe. 21.01.2016 8:53:39 Защита в режиме реального времени файл C:\Users\mosyakina\AppData\Roaming\Microsoft\Windo ws\Start Menu\Programs\Startup\VAULT.hta Win32/Filecoder.FH троянская программа удален FEST-K\mosyakina Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe. 21.01.2016 8:53:39 Защита в режиме реального времени файл D:\VAULT.hta Win32/Filecoder.FH троянская программа удален FEST-K\mosyakina Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe. 21.01.2016 8:53:38 Защита в режиме реального времени файл C:\Users\mosyakina\AppData\Roaming\Microsoft\Windo ws\Templates\VAULT.hta Win32/Filecoder.FH троянская программа удален FEST-K\mosyakina Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe. 21.01.2016 8:53:38 Защита в режиме реального времени файл C:\Users\mosyakina\AppData\Roaming\VAULT.hta Win32/Filecoder.FH троянская программа удален FEST-K\mosyakina Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe. 21.01.2016 8:17:50 Защита в режиме реального времени файл C:\Users\MOSYAK~1\AppData\Local\Temp\1_ff4N2U.js.p art JS/TrojanDownloader.Agent.OEQ троянская программа очищен удалением FEST-K\mosyakina Событие произошло в файле модифицированном приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

21.01.2016, 22:02	#5 (ссылка)
nik0el Новичок Регистрация: 14.01.2014 Сообщений: 12 Репутация: 0	На рабочем столе было несколько файлов doc и xls, они стали doc.vault и xls.vault. В темпе пользователя тоже были какие-то документы, они частично закодировались. Не знаю что там скачалось по ссылке, может что-то пользователь удалил. Пришло сразу несколько писем с просьбой найти потерянные документы, а то им грозят штрафами и ссылка на файл "Поиск документов", если перейти по ней то кидает на фейковый яндекс диск с ссылкой на файл js. По коду вроде как генерирует какие-то файлы, не понимаю js.

21.01.2016, 22:19	#6 (ссылка)
RP55.RP55 Специалист Регистрация: 29.10.2011 Сообщений: 5,579 Репутация: 334	nik0el Если нужна помощь - то, по правилам форума нужно создать свою тему. ( Чтобы избежать путаницы ) С расшифровкой вряд ли поможем - но, если в системе есть вирус поможем с его удалением. Для этого нужно выполнить: http://pchelpforum.ru/f26/t6442/ Нужен образ автозапуска в программе uVS Если вы раньше работали с uVS и у вас старая версия программы то _обязательно обновите программу до актуальной версии. Проблемами шифрования у нас занимается: safety Он будет завтра. -------- По расшифровке нужно обращаться в ту антивирусную компанию чей продукт у вас установлен. ( разуется речь идёт о платных антивирусных продуктах )

22.01.2016, 10:17	#8 (ссылка)
nik0el Новичок Регистрация: 14.01.2014 Сообщений: 12 Репутация: 0	папку system32 проверял, там было два новых файла с длинными названиями из букв-цифр, удалял их. Только потом активация слетела, не знаю из-за чего, может из-за них. Запрашивал повторную активацию, прошла успешно. еще раз глянул ссылку в письме, яндекс диск настоящий.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads