Шифровальщик :( *.doc.vault

[foto-s]

Все документы стали такими Reklama.doc.vault
Загрузился с лайвCD образ uVS

[safety]

vault после перезагрузки прекращает свою работу, так что можно грузиться с рабочего стола.

поскольку систему древняя

Цитата:

uVS v3.85.3 [http://dsrt.dyndns.org]: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [G:\WINDOWS]

то восстановление документов з теневой копии не поможет. нет хранятся доки в теневой копии для XP
только в Vista и выше.

расшифровки по vault нет ни у кого. Пробуйте искать в удаленных файлах secring.gpg, размер примерно 1кб.
если найдете, то сможете расшифровать, если найдете ключ в 0байт, то не поможет.

по шифраторам можно прочесть здесь. типа, что делать.
http://chklst.ru/forum/discussion/14...umnoy-tolpoyu-

[foto-s]

с шифровальщиком всё грустно.
посмотрите пожалуйста лог uVS на предмет ещё каких нибудь гадостей.

[safety]

в эту папку все закачивалось после запуска js

Цитата:

C:\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\Q9ZSGQL8\403[2].VLT
403[2].VLT
Тек. статус [Запускался неявно или вручную]

Сохраненная информация на момент создания образа

File_Id 4F120A8D2D000
Linker 9.0




TimeStamp
EntryPoint +
OS Version 5.0
Subsystem Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +



sdelete.exe
1.61
sdelete
Sysinternals


SHA1 14976DC75272D1F7238EFBD7F3CECBF27B5B60D2
MD5 A33AAA1D57444085EF139906F982A899


Prefetcher C:\WINDOWS\Prefetch\Layout.ini

посмотрите, что в %temp% юзера осталось, обычно все лишнее энкодер за собой удаляет, в автозапуске ничего не остается.
-----------------------------

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\Q9ZSGQL8\403[2].VLT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\Q9ZSGQL8\403[2].VLT
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMP\AUDIODG.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMP\AUDIODG.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMP\CRYPTLIST.CMD
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMP\CRYPTLIST.CMD
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMP\ICONV.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMP\ICONV.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\EHM2FT9P\ICONV[1].VLT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\EHM2FT9P\ICONV[1].VLT
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\3QICE1DN\INDEX[1].VLT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\3QICE1DN\INDEX[1].VLT
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMP\SDWRASE.CMD
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMP\SDWRASE.CMD
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMP\SVCHOST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMP\SVCHOST.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMP\UPQ.BAT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ULIA\LOCAL SETTINGS\TEMP\UPQ.BAT
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту safety@chklst.ru
----------

[foto-s]

я привильно понимаю pubring.gpg это публичный ключь?
есть ещё VAULT.KEY, revault.js, cryptlist.cmd, ... всего там 18 файлов от момента заражения

Пароль к архиву 1234

[safety]

VAULT.KEY, здесь зашифрован секретный ключ secring.gpg, он нужен для расшифровки документов
CONFIRMATION.KEY здесь зашифрован список ваших документов, которые были зашифрованы.
---------
эти файлы необходимы на тот случай, если кто-то решится выкупить ключ у злодеев.
pubring.gpg - это публичный ключ, которым было выполнено шифрование, но для расшифровки нужен secring.gpg,

[safety]

вот это ваш ключ

Цитата:

gpg: ключ B25A6927: открытый ключ "Cellar (Cellar) <v@u.lt>" импортирован
gpg: Всего обработано: 1
gpg: импортировано: 1

- Public keyring updated. -

File: Z:\virus!\shifratory\bat.encoder.vault\ОСТОРОЖНО\О СТОРОЖНО\pubring.gpg
Time: 03.03.2015 16:52:20 (03.03.2015 10:52:20 UTC)

для расшифровки документов нужен secring.gpg с таким же ID, другой не подойдет.

[safety]

а это ключ злоумышленников, которым зашифрован VAULT.KEY
естественно, этого ключа (sec key) у меня нет, он только у злоумышленников.

Цитата:

gpg: зашифровано 1024-битным ключом RSA, с ID 996E88A8, созданным 25.01.2015
"VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифрования: секретный ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\ОСТОРОЖНО\О СТОРОЖНО\VAULT.KEY
Time: 03.03.2015 16:53:57 (03.03.2015 10:53:57 UTC)

[safety]

CONFIRMATION.KEY так же зашифрован ключом злоумышленников.

Цитата:

gpg: зашифровано 1024-битным ключом RSA, с ID 996E88A8, созданным 25.01.2015
"VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифрования: секретный ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\ОСТОРОЖНО\О СТОРОЖНО\CONFIRMATION.KEY
Time: 03.03.2015 17:00:23 (03.03.2015 11:00:23 UTC)

[safety]

upq.bat - Здесь как раз основное тело бат.энкодера, который управляет всем процессом, от создания ключей, до шифрования документов, и удаления следов шифрования, которые были бы полезны при расшифровке.
смотреть в UTF-8

[foto-s]

Исходя из написанного, расшифровать пока не получится...
жаль.
но что поделать...

спасибо.

[safety]

в таких случаях помогут или теневые копии, или если сразу выключить комп после начала шифрования, тогда есть вероятность, что шифратор еще многое не успел сделать.

[safety]

ABU1986, если я вам вышлю зашифрованные файлы (несколько файлов), вы решите проблему с расшифровкой?
-----
вирлабы уже год думают над расшифровкой, и не могут расшифровать.