Vault. Ваши документы и базы данных были зашифрованы

@polina22222 · Регистрация: 24.03.2015

Author24 — интернет-сервис помощи студентам

Здравствуйте! Помогите, пожалуйста.

Сегодня на рабочем столе ПК в открытом блокноте обнаружили следующее сообщение:

"Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vаult
Для их восстановления необходимо получить уникальный ключ

ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:

КРАТКО
1. Зайдите на наш веб-ресурс
2. Гарантированно получите Ваш ключ
3. Восстановите файлы в прежний вид

ДЕТАЛЬНО
Шаг 1:
Скачайте Tor браузер с официального сайта: https://www.torproject.org
Шаг 2:
Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion
Шаг 3:
Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели. Не потеряйте его
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё

ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке
c) Ваша стоимость восстановления не окончательная

Дата блокировки: 24.03.2015 ( 9:42)"
________________________________________

В ходе создания логов "AutoLogger"`ом "IE" запустился только через "Programm Files", а "Opera" (в нашем случае это Opera AC, основной браузер) на чёрном окне выдала ошибку:

"Необходим перезапуск Opera: к примеру, нажатие ссылки, перетаскивание изображения и т.д. Предпочтителен английский язык."

и допокно ошибки "Opera":
"Another user is running this copy of Opera/ You should install Opera with individual profiles to allow multiple users to run the same copy independently."

При перезагрузки мелькнуло ещё одно окно с ошибкой:
"...сбой инициализации приложения из-за неработающей станции"

CollectionLog-2015.03.24-17.35.zip

@thyrex · 24.03.2015, 23:53

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\docume~1\vizit\locals~1\temp\svchost.exe');
QuarantineFile('C:\DOCUME~1\Vizit\LOCALS~1\Temp\revlt.js','');
 QuarantineFile('c:\docume~1\vizit\locals~1\temp\svchost.exe','');
 DeleteFile('c:\docume~1\vizit\locals~1\temp\svchost.exe','32');
 DeleteFile('C:\DOCUME~1\Vizit\LOCALS~1\Temp\revlt.js','32');
 DeleteFile('C:\DOCUME~1\Vizit\LOCALS~1\Temp\VAULT.txt','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tnotify');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GnuPG');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи по правилам

@polina22222 · 25.03.2015, 08:55 **[ТС]**

CollectionLog-2015.03.25-08.52.zip

@polina22222 · 25.03.2015, 13:12 **[ТС]**

Нашла в почте файл zip архив с js вируса, его наш админ запустил ожидая увидеть "Акт сверки", могу вам залить.

HotBeer · 25.03.2015, 13:35

Сообщение от polina22222

могу вам залить.

Запрещено размещать инфицированные объекты...

@Sandor · 25.03.2015, 13:39

polina22222, упакуйте с паролем virus и отправьте по выше указанной форме или на почту
quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

@polina22222 · 25.03.2015, 14:25 **[ТС]**

"Запрещено размещать инфицированные объекты..." - HotBeer, я не предлагала размещать их на форуме, я предлагала залить для анализа.

Sandor, вирус отправила.

Нам письмо с вирусом досталось от местной компании СТС, они сообщили что их почту вскрыли, извинились. Написали что их IT-шник сможет расшифровать файлы, дали его номер, он сообщил что восстановил документы компании СТС, обещал с инструкцией перезвонить нам, ждём.

Ради интереса связалась с даньюсобирателями, цена вопроса расшифровки 359$, поторгуюсь - любопытно.

@severnyj · 25.03.2015, 14:34

Ждите thyrex'а он вам точнее все расскажет...

Скорее шансов ~0

@thyrex · 25.03.2015, 16:13

Без шансов

@polina22222 · 25.03.2015, 17:07 **[ТС]**

Что делать в целом с ПК теперь, им безопасно пользоватся можно в будущем?
Скопировать уцелевшие файлы на другой носитель, hdd форматнуть и систему заново установить?
Что порекомендуете?

@thyrex · 25.03.2015, 21:48

Вирусы Вам удалили. Новые файлы шифроваться не будут (только если сами повторно не запустите шифровальщик по глупости).

Смысла в переустановке нет.

@polina22222 · 25.03.2015, 22:33 **[ТС]**

А я подумала что "Без шансов" имелось в виду про лечение ПК.
Спасибо большое!

@shestale · 27.03.2015, 06:41

Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и выложите, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	25.03.2015, 21:48	11
	Вирусы Вам удалили. Новые файлы шифроваться не будут (только если сами повторно не запустите шифровальщик по глупости). Смысла в переустановке нет. 1

@polina22222 0 / 0 / 0 Регистрация: 24.03.2015 Сообщений: 6
		1
	Vault. Ваши документы и базы данных были зашифрованы 24.03.2015, 17:59. Показов 11160. Ответов 12 Метки нет (Все метки) Здравствуйте! Помогите, пожалуйста. Сегодня на рабочем столе ПК в открытом блокноте обнаружили следующее сообщение: "Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vаult Для их восстановления необходимо получить уникальный ключ ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА: КРАТКО 1. Зайдите на наш веб-ресурс 2. Гарантированно получите Ваш ключ 3. Восстановите файлы в прежний вид ДЕТАЛЬНО Шаг 1: Скачайте Tor браузер с официального сайта: https://www.torproject.org Шаг 2: Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion Шаг 3: Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели. Не потеряйте его Авторизируйтесь на сайте используя ключ VAULT.KEY Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой STEP 4: После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё ДОПОЛНИТЕЛЬНО a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере) b) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке c) Ваша стоимость восстановления не окончательная Дата блокировки: 24.03.2015 ( 9:42)" ________________________________________ В ходе создания логов "AutoLogger"`ом "IE" запустился только через "Programm Files", а "Opera" (в нашем случае это Opera AC, основной браузер) на чёрном окне выдала ошибку: "Необходим перезапуск Opera: к примеру, нажатие ссылки, перетаскивание изображения и т.д. Предпочтителен английский язык." и допокно ошибки "Opera": "Another user is running this copy of Opera/ You should install Opera with individual profiles to allow multiple users to run the same copy independently." При перезагрузки мелькнуло ещё одно окно с ошибкой: "...сбой инициализации приложения из-за неработающей станции" CollectionLog-2015.03.24-17.35.zip 0

@polina22222 0 / 0 / 0 Регистрация: 24.03.2015 Сообщений: 6
	25.03.2015, 08:55 [ТС]	3
	CollectionLog-2015.03.25-08.52.zip 0

@polina22222 0 / 0 / 0 Регистрация: 24.03.2015 Сообщений: 6
	25.03.2015, 13:12 [ТС]	4
	Нашла в почте файл zip архив с js вируса, его наш админ запустил ожидая увидеть "Акт сверки", могу вам залить. 0

HotBeer Модератор 5418 / 2426 / 161 Регистрация: 27.06.2011 Сообщений: 9,713
	25.03.2015, 13:35	5
	Сообщение от polina22222 могу вам залить. Запрещено размещать инфицированные объекты... 1

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,068
	25.03.2015, 13:39	6
	polina22222, упакуйте с паролем virus и отправьте по выше указанной форме или на почту quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 1

@polina22222 0 / 0 / 0 Регистрация: 24.03.2015 Сообщений: 6
	25.03.2015, 14:25 [ТС]	7
	"Запрещено размещать инфицированные объекты..." - HotBeer, я не предлагала размещать их на форуме, я предлагала залить для анализа. Sandor, вирус отправила. Нам письмо с вирусом досталось от местной компании СТС, они сообщили что их почту вскрыли, извинились. Написали что их IT-шник сможет расшифровать файлы, дали его номер, он сообщил что восстановил документы компании СТС, обещал с инструкцией перезвонить нам, ждём. Ради интереса связалась с даньюсобирателями, цена вопроса расшифровки 359$, поторгуюсь - любопытно. 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	25.03.2015, 14:34	8
	Ждите thyrex'а он вам точнее все расскажет... Скорее шансов ~0 1

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	25.03.2015, 16:13	9
	Без шансов 0

@polina22222 0 / 0 / 0 Регистрация: 24.03.2015 Сообщений: 6
	25.03.2015, 17:07 [ТС]	10
	Что делать в целом с ПК теперь, им безопасно пользоватся можно в будущем? Скопировать уцелевшие файлы на другой носитель, hdd форматнуть и систему заново установить? Что порекомендуете? 0

@polina22222 0 / 0 / 0 Регистрация: 24.03.2015 Сообщений: 6
	25.03.2015, 22:33 [ТС]	12
	А я подумала что "Без шансов" имелось в виду про лечение ПК. Спасибо большое! 0

	27.03.2015, 06:41

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	27.03.2015, 06:41	13
	Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и выложите, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам. 0