Задать вопрос

Кто-нибудь сможет помочь разобраться с вирусом-криптовалкой?

Добрый день! В одну фирмочку пришло письмо, в аттаче был js, его, по классике жанра, запустили. Тот и закриптовал все файлы от Офиса, до которых дотянулся. Моих скудных познаний хватает на то, чтобы понять, как оно примерно работает - но вот понять, можно-ли это вообще восстановить, не могу. Сайт злоумышленников лежит, понять, сколько они хотят за разблокировку, не могу.

Всё, что нарыл по зловреду (js+то, что он скачал для работы+логи работы) - в zip по ссылке.

******

ОК, как мне его выложить, чтобы могли помочь? Удалил с шары.

Запустил js в песочнице - тот отработал очень бысто, закрыл много файлов за довольно небольшое время. Вот кусок лога его работы:
"%temp%\svchost.exe" -r Cellar --trust-model always --yes -z 3 -q --homedir "%temp%" -o "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_Germany.svg.jpg.vault" -e "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_Germany.svg.jpg" && move /y "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_Germany.svg.jpg.vault" "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_Germany.svg.jpg" & rename "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_Germany.svg.jpg" "150px-Flag_of_Germany.svg.jpg.vault"
"%temp%\svchost.exe" -r Cellar --trust-model always --yes -z 3 -q --homedir "%temp%" -o "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_the_United_States.svg.jpg.vault" -e "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_the_United_States.svg.jpg" && move /y "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_the_United_States.svg.jpg.vault" "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_the_United_States.svg.jpg" & rename "E:\xampp-win32-1.8.1-VC9\xampp\src\xampp-control-panel\gfx\150px-Flag_of_the_United_States.svg.jpg" "150px-Flag_of_the_United_States.svg.jpg.vault"
"%temp%\svchost.exe" -r Cellar --trust-model always --yes -z 3 -q --homedir "%temp%" -o "E:\xampp-win32-1.8.1-VC9\xampp\tomcat\webapps\examples\jsp\jsp2\jspx\textRotate.jpg.vault" -e "E:\xampp-win32-1.8.1-VC9\xampp\tomcat\webapps\examples\jsp\jsp2\jspx\textRotate.jpg" && move /y "E:\xampp-win32-1.8.1-VC9\xampp\tomcat\webapps\examples\jsp\jsp2\jspx\textRotate.jpg.vault" "E:\xampp-win32-1.8.1-VC9\xampp\tomcat\webapps\examples\jsp\jsp2\jspx\textRotate.jpg" & rename "E:\xampp-win32-1.8.1-VC9\xampp\tomcat\webapps\examples\jsp\jsp2\jspx\textRotate.jpg" "textRotate.jpg.vault"
"%temp%\tick.exe" -s"05FNSH-!hash5!" -r"05FNSH-OK" -o "%temp%\VAULT.KEY"
"%temp%\tick.exe" -s"05FNSH-!hash5!" -r"05FNSH-OK" -o "%appdata%\VAULT.KEY"
"%temp%\tick.exe" -s"05FNSH-!hash5!" -r"05FNSH-OK" -o "%userprofile%\Desktop\VAULT.KEY"


Портит файлы: doc, xml, jpg, docx. Другие пока не проверял.

Вот что лежит на поражённом компе:

All your important data have been encrypted into LOCAL DIGITAL VAULT
You need to get your UNIQUE KEY to restore files with extension .vault

  THE PROCEDURE FOR OBTAINING YOUR PERSONAL KEY:

BRIEFLY
1. Access our secure website
2. Get your personal key
3. Unlock files

DETAILED
  STEP 1:
Download Tor browser from official site: https://www.torproject.org
Instructions for launching Tor browser: https://www.torproject.org/projects/torbrowser.html.en#windows
  STEP 2:
Visit our web resource using Tor browser: http://restoredz4xpmuqr.onion
If you CAN NOT access this website, read this: http://pastebin.com/raw.php?i=rs7jZ0TW
  STEP 3:
Find your personal VAULT.KEY on computer, it's your key for accessing Client Panel
Log into your personal fully automated Client Panel via VAULT.KEY
Read FAQ carefully in the relevant section.
  STEP 4:
After receiving key, you can decode your files using our open source software.

ADDITIONAL
a) You can't restore encrypted files without your personal key (which is securely stored on our server)
b) Do not forget about TIME. Usually it plays against you.

  ENCRYPT TIME: 12.02.2015 (17:40)
  • Вопрос задан
  • 10804 просмотра
Подписаться 6 Оценить 1 комментарий
Пригласить эксперта
Ответы на вопрос 7
@vilgeforce
Раздолбай и программист
Во первых, с подобными симптомами существуют тысячи вариантов энкодеров, если вам нужна помощь - нужны более специфичные признаки: расширение зашифрованных файлов, контакты авторов и т.д.
Во вторых, публикация в открытом доступе трояна (или ссылки) - ст. 273 УК РФ ибо распространение. Так делать не надо.
Ответ написан
Комментировать
mak-oleg
@mak-oleg
I believe in god, for the rest i pay in cash!
Попробуйте сюда обратиться https://xakep.ru/malware/ на сайте есть форум, или отправьте вашу инфу в любую Российскую антивирусную лабораторию www.kaspersky.ru www.drweb.ru/?lng=ru
Ответ написан
SagePtr
@SagePtr
Еда - это святое
Если приватного ключа нет, то не расшифровать никак, так как ассиметричное шифрование. А для зашифровки приватный ключ не нужен, только для расшифровки.
"%temp%\svchost.exe" - это обычно переименованный экзешник gpg (сталкивался с подобными криптовальщиками)
Ответ написан
Комментировать
@var01
+1 пострадавший, даже в сетке файлы зашифровал, но не все, а только в тех папках которые пользователь открывал, и только офисные файлы. Если из drweb помогут отпишись пожалуйста.
Ответ написан
Комментировать
@shyrikoff
Привет! Та же беда... Разобрался кто с этим трояном? Что посоветуете делать?
Ответ написан
Комментировать
@JustSoul
Лучшая защита - это превентивные меры. Предупреждение пользователей и backup-ы.
В моем случае бОльшую часть данных спасло второе.
Источник: письмо с темой "акт сверки", во вложении zip-архив с .js скриптом.
Антивирусы: virustotal.com , в пт (20.02.2015) было 3/57.
В %temp% создает следующие файлы:
random_seed, take.bat, cryptlist.cmd, svchost.exe, tick.exe, pubring.gpg, CONFIRMATION.KEY, VAULT.KEY, VAULT.txt
и пустые secring.gpg, secring.gpg.lock
Шифрует файлы, переименовывает в *.vault
Вероятно работа криптера была прервана выключением ПК.
Кто поможет расшифровать? :)
Ответ написан
@SysBlack
Сегодня у меня в офисе, тоже два менеджера открыли, такое письмо, щас сидят без рабочих файла, пробую восстановить их с помощью Recuva
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы