Wirusy mogą tworzyć irytujące reklamy i wykorzystywać ruch do własnych celów. Ale podwójnie frustrujące jest to, że hakerzy zaczynają szantażować, ograniczając dostęp do Twoich plików i żądając pieniędzy. Jeśli straciłeś dostęp do swoich dokumentów i musisz płacić za normalną pracę, to zostałeś ofiarą niebezpieczny wirus Vault, który jest aktywnie dystrybuowany w sieci.

Co to jest wirus Vault?

Ten wirus należy do ransomware. Pobiera się na twój komputer prosty program, który szyfruje Pliki Word, Excel, pliki mp3, obrazy graficzne, nadając im rozszerzenie *.Vault.

Po zaszyfrowaniu użytkownik całkowicie traci dostęp do danych. Aby wznowić dostęp, program tworzy specjalny klucz. Pozostaje w rękach hakerów. Za dostarczenie klucza szantażyści żądają pieniędzy.

Trasy dystrybucji

Wirus rozprzestrzenia się w przebraniu za pośrednictwem poczty e-mail, Skype lub portale społecznościowe. Jest to wykonywalny skrypt z rozszerzeniem .js. W niektórych przypadkach osoby atakujące pakują wirusa do archiwum, aby utrudnić jego śledzenie.

Po uruchomieniu skryptu przez użytkownika wirus jest pobierany z serwerów hakerów, a następnie osiada w folderze TEMP i szyfruje pliki. Antywirusy nie blokują Vault, ponieważ postrzegaj to jako bezpieczny szyfr, - przydatne narzędzie, który służy do ochrony danych przed hakerami.

Usuwanie

Zanim odkryjesz wirusa, już wykonał swoją brudną robotę. Dlatego hakerzy nie zadają sobie trudu, aby stworzyć jakąkolwiek ochronę dla swojego potomstwa. Pliki trojana znajdują się w folderze TEMP.

W żadnym wypadku nie należy usuwać wszystkiego. Zanim usuniesz wirusa Vault z komputera, zapisz następujące pliki:

1. KLUCZ POTWIERDZENIA- wyświetla liczbę zaszyfrowanych plików. To rodzaj „szacunku” dla atakujących. Dzięki niej określają wysokość środków, których są skłonni zażądać na odnowienie dostępu.
2. Vault.KEY jest kluczem do danych. Zawiera identyfikator, którego hakerzy używają do pobrania klucza dostępu do Twoich plików.
3. przechowalnia.txt— informacje ogólne o procedurze odnawiania i miejscu hakerów.

Nie fakt, że będziesz potrzebować tych plików. Ale najlepiej zachować je na wszelki wypadek.

Po wyczyszczeniu folderu przeskanuj system za pomocą bezpłatnego programu DrWeb CureIT i programu antywirusowego. Następnie musisz ponownie uruchomić komputer i uruchomić menedżera zadań. Jeśli wśród procesów nie ma podejrzanych procesów, wszystko poszło dobrze i najłatwiejsza część ścieżki pozostaje w tyle.

Odszyfrowywanie plików po infekcji

W wiadomościach do ofiar hakerzy piszą: „Pospiesz się, nie masz dużo czasu” lub „Czas jest przeciwko tobie”. Atakujący chcą, abyś wpadł w panikę, podjął spontaniczną decyzję, nie myśląc o rozstaniu się z pieniędzmi na dostęp do ważnych plików. Musisz zrobić dokładnie odwrotnie. Masz zaszyfrowane pliki i sposoby odzyskania do nich dostępu:

1. Kup klucz od szantażystek.
2. Spróbuj znaleźć ślady klucza na swoim komputerze.
3. Przywróć kopie zapasowe akta.
4. Skorzystaj z rozwiązań od laboratoria antywirusowe.

Kupowanie klucza od hakerów

Kupowanie klucza od hakerów jest jak spełnienie żądań terrorystów. Z moralnego punktu widzenia - oczywiście najgorszy pomysł. Pieniądze, które zasponsorujesz, zostaną później wydane na zaawansowane oszustwa. Ale ta opcja ma miejsce, ponieważ są potwierdzone przypadki zwrotu dostępu po dokonaniu płatności.

Wyszukaj dekoder w systemie

Znacznie lepiej jest spróbować samodzielnie odzyskać pliki. Istnieje prosty sposób na odzyskanie plików po wirusie Vault. Ponieważ złośliwe oprogramowanie opiera się na bezpiecznym programie szyfrującym, klucz odszyfrowywania jest początkowo generowany na dysku twardym komputera. Następnie jest wysyłany na serwer crackera. A potem jest usuwany. Dlatego przede wszystkim szukaj klucza. Być może nie został jeszcze usunięty. Nazwa klucza to secring.gpg. Jeśli uda Ci się go znaleźć w systemie, masz szczęście.

Przywracanie zapisanych kopii

Możesz także przywrócić kopie plików. Jeśli masz włączoną ochronę systemu, system Windows zastosuje procedurę tworzenia kopii zapasowej plików. Kliknij plik kliknij prawym przyciskiem myszy, otwórz zakładkę „Właściwości”. W oknie, które się otworzy, kliknij „ Poprzednie wersje”. Odnawiamy je i wykorzystujemy.

Rada! Staraj się nie zapominać o tworzeniu punktów przywracania systemu. Mogą Ci pomóc, gdy zwykłe metody rozwiązywania problemów nie działają.

Rozwiązania z laboratoriów antywirusowych

Zarówno Kaspersky Lab, jak i DrWeb przyznają, że z wirusami szyfrującymi trudno walczyć. Trudno je również zidentyfikować w systemie. Ale laboratoria antywirusowe mają dekodery, które w niektórych przypadkach pomagają w sytuacji. Dla Kaspersky jest to RectorDecryptor. Samo narzędzie wyszukuje i naprawia pliki, których dotyczy problem.

Jeśli ta opcja nie pomoże, wyślij plik do analizy do DrWeb, a tam dobiorą dekoder do konkretnego przypadku. Napisz zgłoszenie wraz z opisem problemu w obsłudze na oficjalnej stronie laboratorium. Po przeanalizowaniu problemu eksperci zaproponują przesłanie 3 plików:

• KLUCZ POTWIERDZENIA;
• Vault.KEY;
• Przykład zaszyfrowanego pliku.

W rezultacie otrzymasz albo dostosowane narzędzie do odblokowywania wszystkich plików, albo istniejący plik.

Usługi stron trzecich

Ze względu na rozprzestrzenianie się wirusa wzrosła liczba serwisów internetowych oferujących odblokowywanie za pieniądze. W żadnym wypadku nie należy korzystać z tych usług. Jak ostrzega Kaspersky Lab, w przypadku, gdy progresywne think tanki nie są w stanie rozwiązać problemu, nie należy liczyć na zbawienie od wątpliwej organizacji.

Nie należy korzystać z programów, które oferują instalację takich organizacji. Vault często używa otwartego szyfrowania RSA-1024 i technicznie niemożliwe jest odblokowanie go maszynowo.

Jak chronić się przed wirusem w przyszłości

Wirus Vault jest niezwykle rzadko wykrywany przez programy antywirusowe. Dlatego istnieje szereg zasad, według których możesz chronić się przed oprogramowaniem ransomware w przyszłości:

1. Sprawdź pliki. Dokumenty z rozszerzeniem .js, które trafiają do Twojej poczty lub sieci społecznościowych, są a priori niebezpieczne. Nie powinieneś ich otwierać, a jeśli chcesz wziąć udział w walce z hakerami, lepiej od razu wysłać je do laboratoriów antywirusowych do analizy.
2. Skopiuj dane. Przechowuj kopie zapasowe tam, gdzie wirus nie może ich uszkodzić. Posługiwać się nośniki wymienne. Synchronizuj z usługi w chmurze, takich jak OneCloud, DropBox, GoogleDrive lub Ya.Disk.
3. Zaufaj zaufanemu źródłu. Odrzuć programy, których źródeł nie jesteś pewien. Jeśli dla aplikacji dostępny jest oficjalny dostawca, lepiej z niego skorzystać, niż z rozwiązań nieznanych organizacji.
4. Unikaj pirackich produktów. Oszuści nie przychodzą sami. Po pobraniu zhakowanej gry lub oprogramowanie, ryzykujesz zarażenie się wirusem przewodowym. Licencja jest marnotrawstwem. Jednocześnie bezpieczeństwo.

Nasz artykuł poświęcony jest kolejnemu „arcydziełowi” hakerów - wirusowi szyfrującemu Vault. Powiemy Ci, czym jest wirus Vault i jak wpływa na system. Rozważ opcje, w których możesz odzyskać pliki.

Przechowalnia wirusów - co robić?!

Pewnego „pięknego” dnia otworzyłeś pulpit i zobaczyłeś działający notatnik z następującym tekstem:

Na tej podstawie staje się jasne, że zostałeś „niefortunnym właścicielem” wirusa Vault. Ten wirus infekuje twój komputer i zaczyna szyfrować twoje pliki. Tak więc pliki z rozszerzeniem .pdf, .doc, .docx, .xls, .xlsx, .jpeg, .zip itp. są szyfrowane.Po zadziałaniu wirusa do nazwy pliku dodawane jest rozszerzenie .vault. Ponadto wirus w niektórych przypadkach działa na lokalnych bazach danych 1C. Jak widać, Vault szyfruje wszystkie popularne dokumenty do pracy.

Być może zastanawiasz się: w jaki sposób skarbiec dostał się do mojego komputera? Wszystko jest tak proste, jak łuskanie gruszek, napastnicy wysłali list na Twój e-mail. Tytuł listu mówił o jego znaczeniu i pilnej potrzebie jego otwarcia i przeczytania. Może to być list z banku, partnerzy lub jakaś korzystna oferta. Do tego listu dołączony był dokument z rozszerzeniem .js (Skrypt Java).

Po uruchomieniu (i uruchomiłeś go!) ten wirus rozszerzenia pobiera program ransomware z serwerów hakerów. W twoim przypadku wirus ransomware Vault jest legalnym oprogramowaniem kryptograficznym GPG (GnuPG), który wykorzystuje popularny algorytm szyfrowania rsa-1024. Program nie jest wirusem, więc antywirusy go nie blokują i pozwalają mu działać. GPG generuje publiczne (na twoim komputerze) i prywatne (na serwerze atakującego) klucze szyfrowania.

Istnieje wiele modyfikacji wirusa Vault, na przykład dla systemów Windows 7/8, 32 lub 64-bitowych. I dostając się do każdego, wirus działa na swój własny sposób. Wirus może również szyfrować komputery w tej samej sieci, co Twoja.

Jak usunąć wirusa Vault z komputera?

Wirus działa w ten sposób, że w folderze z plikiem źródłowym tworzony jest podobny z rozszerzeniem .gpg. Następnie ten plik wstaje, zastępuje oryginalny plik i dodaje rozszerzenie skarbca. Prosta zmiana nazwy dokumentu tutaj nie wychodzi. Dlatego zastanówmy się, jak przywrócić pliki i usunąć wirusa skarbca.

Usuwanie samego wirusa

Jak tylko znajdziesz rozszerzenie skarbca w swoich dokumentach, natychmiast wyłącz sieć i przestań działać ze wszystkimi aplikacjami, nie otwieraj ponownie folderów na dyskach. Zaloguj się w trybie awaryjnym.

Pod względem usuwania wirus Vault nie jest trudny. Usunięcie go nie jest trudne, w tym celu użyj najpopularniejszych programów do usuwania wirusów, takich jak kodery, banery reklamowe i trojany. Ale problemy będą trwały :(.

Musisz wiedzieć, że sam wirus jest ukryty w folderze Temp. Wirus składa się z następujące pliki:

• 3c21b8d9.cmd;
• fabac41c.js
• SKARBIEC.txt;
• sdc0.bat;
• KLUCZ SCENY;
• POTWIERDZENIE.KLUCZ.

Wszystkie te pliki, z wyjątkiem dwóch ostatnich (!), należy usunąć. Następnie uruchom cleaner, wyczyść start, sprawdź rejestr pod kątem błędów (zasada jest taka sama dla Windows 7/8/10). Ostatnie 2 pliki należy pozostawić na komputerze, ponieważ:

1. VAULT.KEY — bezpośrednio sam klucz szyfrowania. W żadnym wypadku nie należy go usuwać! Jest przesyłany do atakujących, analizując go, podadzą ci drugą część klucza deszyfrującego.
2. CONFIRMATION.KEY to plik z pełną informacją o liczbie zaszyfrowanych plików na komputerze. jest to również konieczne dla hakerów.

Przywracanie plików .vault za darmo

W ten sposób doszliśmy do najgorszego - pliki pozostały zaszyfrowane. Nie ma darmowych deszyfratorów dla wirusa skarbca. Tylko sam program źródłowy może odszyfrować pliki za pomocą klucza rsa-1024.

Jakie są sposoby na odzyskanie plików:

Jeśli nie znalazłeś niczego w Koszu i nie ma punktów przywracania systemu, będziesz musiał zapłacić hakerom. Nic nie można zrobić. Analizując dialogi na forach, można dojść do wniosku, że osoby atakujące faktycznie odszyfrowują pliki, ale trzeba za to zapłacić. Gdyby to nie była prawda, internetowa plotka rozniosłaby ją dawno temu i ludzie by się na nią nie nabrali. Należy rozumieć, że to cały "system biznesowy" - zostałeś złapany, teraz zapłać i wszystko będzie dobrze.

Doszło do tego, że w Internecie są już superagenci! Oznacza to pośredników, którzy skontaktują się z napastnikami w Twoim imieniu i rozwiążą wszystkie Twoje problemy. To, czy się na to zdecydujesz, czy nie, zależy od Ciebie. Jeśli nie chcesz tego robić sam, zapłać więcej.

Postępując zgodnie z instrukcjami z pliku tekstowego, uruchomisz Przeglądarka Tor(szczególnie do wymazywania IP), zostaniesz przeniesiony na jedną z witryn atakujących. Jest instrukcja obsługi strony, a nawet system zniżek :(.

Ale co z programem antywirusowym?

Niestety, jak wspomniano powyżej, programy antywirusowe Dr Web, Kaspersky, Avast itp. nie mogą nic zrobić. W końcu program nie jest w rzeczywistości wirusem. Oficjalne prośby do pomocy technicznej Kaspersky Lab kończą się szczegółowymi historiami dotyczącymi skarbca i ofertami korzystania z ich deszyfratorów RannohDecryptor , ScatterDecryptor , Rector Decryptor , RakhniDecryptor lub Xorist Decryptor. Doctor Web ogólnie zaleca skontaktowanie się z policją w sprawie nieautoryzowanego dostępu do komputera. Cóż, dzięki doktorze.

Jak widać, nie ma zbyt wielu opcji, a jeśli pliki są dla Ciebie naprawdę ważne, będziesz musiał zapłacić. Tego też nie da się przeciągnąć, serwery z bazami danych i witrynami są w ciągłym ruchu - stare są usuwane i pojawiają się nowe.

A więc krótki film, gdzie możesz zobaczyć, jak wirus Vault wpływa na system. Ten film nie jest reklamą :).

Oprogramowanie ransomware VAULT po raz pierwszy pojawiło się w Rosji w lutym 2015 r., zyskując reputację jeden z najbardziej niebezpiecznych i nieuleczalne wirusy. W listopadzie rozpoczęła się druga fala infekcji, która jest bardziej rozpowszechniona. Trzecia fala przypada na połowę stycznia 2016 roku. i przewyższa poprzednie pod względem liczby zainfekowanych urządzeń.

W tym artykule omówimy:

co to jest wirus VAULT

jakie typy dokumentów szyfruje koder

jak chronić komputer przed atakami ransomware

jak odinstalować VAULT z komputera

jak odzyskać pliki z sejfu

Dekoder VAULT w serwisach komputerowych

Co to jest wirus ransomware VAULT?

Wirus VAULT jest odmianą trojana Encoder.

Przenikając do komputera za pomocą działań użytkownika, program szyfruje pewien rodzaj danych dziesiątkami algorytmów o unikalnym wzorze.

Oryginalne dane nie są usuwane, ale zastępowane uszkodzonymi, co sprawia, że ​​ich odzyskanie jest prawie niemożliwe.

Klucz umożliwiający odszyfrowanie informacji jest automatycznie usuwany z systemu po zakończeniu szyfrowania.

Celem atakujących jest wyłudzenie pieniędzy w zamian za odszyfrowanie danych. Prawdopodobieństwo odszyfrowania plików nawet w tym przypadku nie przekracza 50%.

Przykład komputera zainfekowanego wirusem VAULT: służbowy e-mail otrzymuje od kontrahenta prośbę o dokumentację podstawową lub powiadomienie o konieczności zainstalowania pakietu aktualizacji od ConsultantPlus. Do pisma dołączony jest plik wyjaśniający. Z chwilą uruchomienia plików wykonywalnych i pomocniczych rozpoczyna się proces szyfrowania danych.

Jakie pliki szyfruje VAULT?

Atakujących interesują informacje handlowe, a także materiały fotograficzne, audio i wideo. Tym samym atakowane są pliki następujących rozszerzeń: .rar, .zip, .jpg, .psd, .doc, .xls, .ppt, .pdf, .mp3, .ogg, .avi, .mpeg, .html, .txt, bazy danych 1C itp.

Kiedy komputer jest zainfekowany, każdy folder tworzy Dokument tekstowy z kontaktami oszustów. Koszt odszyfrowania danych waha się od 10 do 50 000 USD. Kosztorys dokonują oszuści po skontaktowaniu się użytkownika. Wysokość okupu zależy od ilości zaszyfrowanych informacji. Nie ma jednak gwarancji, że dane zostaną odzyskane nawet częściowo.

Jak chronić komputer przed szyfratorem VAULT?

W większości przypadków infekcja występuje, gdy na komputerze nie ma programu antywirusowego lub gdy Darmowa wersja NA. Najmniej niezawodny, naszym zdaniem, jest antywirus Avast.

Jednak często ofiarami padają właściciele licencjonowanego pakietu oprogramowania antywirusowego, w tym wersji korporacyjnych.

Eksperci ds. bezpieczeństwa IT z firm ESET i Dr.Web opracowali zestaw uniwersalnych rekomendacji, przyczyniając się do ochrony komputera lub laptopa przed wirusem VAULT i podobnymi trojanami szyfrującymi:

instaluj krytyczne aktualizacje systemu operacyjnego na czas

wybierz programy antywirusowe z wbudowaną zaporą sieciową

zabronić odbioru i przesyłania plików wykonywalnych (.exe) na serwer pocztowy

wyłącz makra w Microsoft Office lub podobne oprogramowanie

Ćwicz regularnie utworzyć kopię zapasową dane

duplikować ważna informacja do mediów zewnętrznych

Jak odinstalować VAULT z komputera?

Na ten moment infekcja wirusem VAULT i szyfrowanie danych jest jednorazowe i nie pociąga za sobą infekcji pliki systemowe. Dlatego, aby usunąć wirusa z systemu, wystarczy przeskanować narzędzie CureIt z Dr.Web. Należy jednak pamiętać, że próby wyleczenia lub usunięcia zainfekowanych plików, a także ponownej instalacji systemu Windows zmniejszą możliwość odzyskania zaszyfrowanych danych do zera.

Oznacza to, że nie ma nic trudnego w usunięciu wirusa, jeśli jesteś gotowy rozstać się z zaszyfrowanymi informacjami na zawsze lub jeśli masz kopie zapasowe na nośnikach zewnętrznych.

Jak odzyskać pliki VAULT?

Jak tylko znaleziono infekcję Widzieliśmy zmienione ikony plików i nowy typ rozszerzenia, na przykład .doc.vault, natychmiast wyłącz komputer lub laptop. Im dłużej działa, tym więcej plików stracisz.

Powtórzmy: skanowanie dysku programem antywirusowym, leczenie plików, ponowna instalacja systemu i inne standardowe środki tylko zmniejszyć prawdopodobieństwo odszyfrowania danych.

Żaden z programistów oprogramowanie antywirusowe nie było jeszcze w stanie stworzyć narzędzia do odszyfrowywania informacji narażonych na VAULT.

Punkty przywracania systemu są niszczone przez wirusa. Istnieje możliwość przywrócenia systemu Windows z kopii w tle za pomocą narzędzia Shadow Editor podczas pracy z Windows Vista/7/8/10. Ale w większości przypadków kopie w tle również znikają.

Jeśli posiadasz licencjonowany produkt NOD32 lub Dr.Web, możesz skontaktować się z ich pomocą techniczną z prośbą o odszyfrowanie danych.

Ponadto eksperci zalecają skontaktowanie się z policją z oświadczeniem, ponieważ działania napastników noszą znamiona przestępstw z art. Sztuka. 159,6, 163, 165, 272, 273 Kodeksu Karnego Federacji Rosyjskiej.

Ten artykuł skupi się na jednym wirusie i szczerze mówiąc, nigdy wcześniej nie widziałem czegoś takiego. Nie twierdzę, że istniały potężne wirusy, to samo Kido, które psuło nerwy zarówno zwykłym użytkownikom, jak i różnym organizacjom. Ale wirus Vault (jest to rodzina Trojan.Encoder) stosuje zupełnie inne podejście, to znaczy nic nie wydaje się tutaj zepsute, ale używane jest całkowicie normalne narzędzie do pracy z plikami - jest to szyfrowanie, ale tylko do złych celów ...

Szyfrowanie plików ma miejsce, gdy same pliki są przetwarzane przy użyciu specjalnego klucza (nie mylić z hasłem, ponieważ ten klucz jest tysiące razy bardziej niezawodny i po prostu nie można go odebrać), gdy stają się niedostępne, to znaczy , jeśli nie są odszyfrowane, to nic nie można z nimi zrobić - pozostaje tylko je usunąć. Sam plik, nawet w oczach osoby zajmującej się odszyfrowywaniem, wygląda jak bałagan w kodzie, gdzie wszystko jest pomieszane i nic nie jest jasne. Wirus Vault działa dokładnie w ten sposób, szyfruje pliki i możesz odzyskać wszystko tylko wtedy, gdy prześlesz pewną kwotę hakerom, ale to niesamowite, że jest to jedyny sposób na odzyskanie plików!

Jeśli otrzymasz propozycję odszyfrowania takich plików, a jednocześnie proszą o pieniądze, upewnij się, że są to oszuści. Tylko ci hakerzy, którzy stworzyli wirusa, mogą odszyfrować pliki i nic więcej. Nie da się odebrać klucza nawet z poziomu programu - jest to zbyt skomplikowane. Wprawdzie nie, można to odebrać i oni nad tym pracują, ale do tego nie potrzeba jednego czy stu komputerów, ale milion, a można go wybrać od kilku tygodni do kilku lat, a nawet więcej - czyli ponownie wrócimy do tego, co podnieść jego prostych użytkowników, jest nierealne.

Jak wirus Vault dostaje się do komputera?

Ale jak ten wirus pojawia się na komputerze? Cóż, przekonaj się sam - otrzymujesz list w mailu z załącznikiem w postaci dokumentu (jakie to banalne), ale tytuł listu jest taki, że naprawdę chcesz go otworzyć (nie będę kłamać , otworzyłem coś takiego, ale nie przyjrzałem się dokładnie żadnym załącznikom !). W efekcie patrzysz na dokument w załączniku i w tym momencie zagnieżdżony skrypt w dokumencie zaczyna działać, ma rozszerzenie .js, czyli skrypt java. Jak można się domyślić, ten skrypt uruchamia się automatycznie po otwarciu załącznika i próbuje jak najszybciej załadować moduły, aby rozpocząć proces szyfrowania.

Jak to wszystko działa? Tekst jest wstawiany do zwykłego pliku doc, który jest albo niemożliwy do odczytania, albo jest jakiś rodzaj błędu, ogólnie jest napisane coś, co zachęca do działania (przykład na poniższym obrazku). Kliknij tutaj, aby otworzyć plik. Oto skrypt makra, który sam pobiera plik wykonywalny wirusa do folderu tymczasowego (ponieważ ten folder ma uprawnienia do uruchamiania). Dlaczego system Windows milczy? Ponieważ użytkownik sam otworzył dokument i sam uruchomił aktywną zawartość dokumentu, czyli wszystko jest w porządku, użytkownik ręcznie wszystko kliknął.

Oto przykład innego e-maila z wirusem:

• Temat listu: Ustawa o pojednaniu na rok 2014
  Od: PK MOSTEM LLC

  Treść listu:

  Witam,

  Prosimy o zapoznanie się z ustawą pojednawczą na rok 2014 - w załączniku.
  Nasi księgowi ujawnili, że masz u nas niewielki dług w ciągu ostatniego roku.
  Sprawdź dane określone w ustawie i poinformuj o warunkach spłaty zadłużenia.

  Załączone pliki:
  1. Akt pojednania dla 2014.zip (a w środku może znajdować się skrypt taki jak Akt pojednania dla 2014.doc.js)

  Z poważaniem,
  Zastępca Głównego Księgowego
  Suprykina Oksana Igorevna

Możesz zobaczyć proces wirusa na tym obrazku:

Program szyfrujący nie może być wirusem, ponieważ jest algorytmem RSA-1024 i jest przeznaczony do szyfrowania plików. A fakt, że wirus Vault wykorzystuje szyfrowanie do innych celów, to inna sprawa.

Po udanym zainfekowaniu wirusa Vault, po zaszyfrowaniu prawie wszystkich twoich plików, zobaczysz dokument tekstowy o następującej treści:

Oznacza to, że dość kulturalnie i spokojnie napisano, że twoje pliki są głupio zablokowane, a klucza nie możesz sam odebrać, że jest bezpiecznie przechowywany na ich serwerze, a hakerzy są gotowi do targowania się (no cóż, bezczelność).

Gdy wirus zadziała, pliki otrzymują etykietę .vault (drugie rozszerzenie) na końcu swojej nazwy:

Wirus szyfruje prawie wszystkie popularne formaty plików, a także zdjęcia i książki w formacie pdf, doc i inne dokumenty, a nawet archiwa zip/rar. Ale najbardziej niebezpieczne jest to, że bazy danych 1C mogą również znaleźć się pod wpływem wirusa, jest to już znacznie poważniejsze, ponieważ zwykle są to komputery organizacji, przedsiębiorstw, a nawet banków.

Wirus po cichu działa w prawie wszystkich nowoczesnych Wersje Windows, podczas gdy jego zachowanie może się nieznacznie różnić, na przykład w niektórych przypadkach zainfekowane są również pliki w sieci lokalnej.

Usuwanie wirusa Vault

Usunięcie wirusa nie jest szczególnie trudne, nie będzie tu żadnych pułapek - wystarczy zniszczyć całą zawartość folderu% temp% użytkownika, pod którym zainfekowane zostały pliki.

Co doradzam? W Internecie pobierz jakiś dysk CD na żywo, na którym znajduje się program antywirusowy. Zapisz to wszystko na pendrive'a (zwykle na torrentach, gdzie możesz pobrać live-cd, jest też instrukcja jak wypalić to na pendrive'ie), a następnie uruchom komputer, przejdź do folderu % temp% i wyczyść go całkowicie. Następnie możesz sprawdzić komputer pod kątem wirusów, nigdy nie wiadomo. Kłopot polega na tym, że po prostu usuwasz wirusa z komputera, to znaczy, że nie będzie istniał - ale wszystkie konsekwencje pozostaną.. niestety, jak już pisałem, nierealne jest złamanie szyfrowania plików dla zwykłych użytkowników.

A więc, jakie pliki Vault znajdują się w folderze %temp%:

• 3c21b8d9.cmd
• 04fba9ba_VAULT.KLUCZ
• CONFIRMATION.KEY (plik ten przechowuje rekordy liczby plików, które są przechowywane, czyli zaszyfrowane; to ta liczba określa ostateczną cenę za uzyskanie drugiego klucza do odszyfrowania; plik ten należy zapisać, jeśli chcesz zwrócić dostęp do plików)
• fabac41c.js (główna część wirusa)
• sdc0.bat
• VAULT.KEY (pierwszy klucz szyfrujący, podczas przywracania plików, musi zostać przesłany hakerom wraz z pierwszym CONFIRMATION.KEY i na jego podstawie otrzymają drugi klucz, który już nadaje się do odszyfrowania);
• SKARBIEC.txt
• revlt.js
• svchost.exe (ta sama nazwa co procesor systemowy, ale znajduje się w folderze temp)

Nazwy plików można nieznacznie zmienić, czasami jest ich mniej.

Niektóre wersje wirusa Vault przechowują pliki VAULT.KEY i CONFIRMATION.KEY w folderze %appdata%.

Jeśli spróbujesz otworzyć jakiś plik z etykietą, najprawdopodobniej zobaczysz następujący komunikat:

Jak odzyskać pliki po wirusie Vault?

Tak, rzeczywiście, byłoby wspaniale po prostu użyć narzędzia takiego jak deszyfrator Vault, ale niestety nie ma takiego narzędzia. I nie istnieje, ponieważ każdy komputer ma swój własny klucz, a mając go i plik z zapisami zainfekowanych obiektów, możesz przywrócić dostęp do plików, wysyłając go w całości do atakujących.

Jeśli masz włączoną ochronę dla każdego dysku, to świetnie. Dzięki takiej ochronie możesz przywrócić poprzedni stan pliku lub folderu, wszystko to znajduje się we właściwościach każdego pliku (ale niektóre wersje Vault usuwają dane w celu odzyskania, dopiero po włączeniu UAC zobaczysz monit, kolejny argument, który Kontrola konta użytkownika nie powinna być wyłączona!). Możesz spróbować przywrócić Poprzedni stan komputer za pomocą punktu przywracania (w panelu sterowania wybierz Przywróć).

Jeśli twoja ochrona nie jest włączona, to niestety mam dla ciebie złą wiadomość. Najprawdopodobniej nie będziesz w stanie odzyskać plików, chyba że zapłacisz napastnikom okrągłą sumę. Tak, to naprawdę działa, ale do tego trzeba mieć dwa pliki, o których pisałem powyżej.

Chcę również ostrzec, że nie ma innych sposobów na odszyfrowanie plików. To nie jest zwykły wirus, to wirus, który wykorzystuje całkiem normalne mechanizmy, które nie wzbudzają podejrzeń ze strony programów antywirusowych, więc nie powinieneś ich pisać. wspieraj ich, i tak ci nie pomogą. Cóż, na przykład jest tak samo, jeśli archiwizator WinRAR był postrzegany przez program antywirusowy jako wirus tylko dlatego, że ma możliwość umieszczenia archiwum pod hasłem.

Więc jedyną opcją tutaj jest zapłacenie. Jednocześnie hakerzy sprawdzają dokładnie, które pliki zostały zaszyfrowane. Otóż ​​na tej podstawie mogą albo podnieść cenę do odpowiednio dużej, albo odwrotnie - obniżyć ją (były przypadki zarówno 50, jak i 500 USD). Płacąc, otrzymujesz tylko jeden klucz do deszyfratora Vault i dla jednego komputera, z którego wysłałeś VAULT.KEY i CONFIRMATION.KEY.

Płatności dokonuje się wyłącznie za pośrednictwem BitCoin i tylko przy użyciu anonimowej sieci Tor. To wszystko pierwsze i drugie - anonimowe narzędzia, dziś najpopularniejsze i najskuteczniejsze. Dlatego hakerów nie można jeszcze (?) złapać. Chociaż znowu, jak napisałem na początku, jestem bardzo zaskoczony takim bezczelnym zachowaniem.

Postępując zgodnie z instrukcjami, będziesz musiał przejść do przywróconej strony z4xpmuqr.onion, podaj plik VAULT.KEY (pisałem o tym powyżej):

Następnie zostaniesz przeniesiony na swoje konto osobiste:

Jakie wnioski można wyciągnąć?

Moje myśli byłyby takie, aby powiedzieć:

Mam nadzieję, że napisałem wszystko w przystępny sposób i przynajmniej jesteś już uzbrojony w informacje, więc bądź ostrożny i poznaj zaporę ogniową, jej kompetentna konfiguracja ochroni Cię przed takimi wirusami.

16.01.2016

Ostatnio użytkownicy napotkali nowe zagrożenie- wirus, który szyfruje pliki, zastępując standardowe rozszerzenia. W rezultacie dokumenty, nagrania audio i wideo oraz obrazy stają się niedostępne. Atakujący żądają poważnych pieniędzy za klucz deszyfrujący.

Szyfratory są tak niebezpieczne, że nawet duże organizacje nie mogą przed nimi uciec: na przykład w lutym 2016 r. Hollywood Presbyterian Medical Center musiało zapłacić hakerom 17 000 USD za klucz odszyfrowujący. Nie wiadomo na pewno, które oprogramowanie ransomware działało w Hollywood, ale użytkownicy Runetu zwykle napotykają wirusa Vault. Dlatego zobaczmy, jak odzyskać pliki po wirusie Vault, jeśli to możliwe.

Jak odzyskać pliki po wirusie Vault

Wykrywanie wirusów

Infekcję trudno przeoczyć: pliki automatycznie zaczną zmieniać rozszerzenie na .vault i przestaną się otwierać, a także pojawi się komunikat „Dane są zablokowane. Aby je przywrócić, musisz zdobyć unikalny klucz. Poniżej znajduje się zwykle adres strony i instrukcje dotyczące płatności i otrzymywania kodu odszyfrowywania.

Jeśli zobaczysz taki komunikat, musisz natychmiast wyłączyć komputer i usunąć wszystkie nośniki wymienne. Vault stopniowo szyfruje informacje, więc masz czas na zapisanie niektórych plików.

Ale jak wirus dostał się do komputera? Najprawdopodobniej przez e-mail. Użytkownicy otrzymują list z ważnym tematem (dług kredytowy, wezwanie do sądu, potwierdzenie płatności itp.), otwierają wiadomość, po czym na komputer pobierany jest program szyfrujący i baner Vault z instrukcjami dotyczącymi zapłaty za kod odszyfrowujący.

Do szyfrowania używany jest darmowy i nieszkodliwy program GPG, który wykorzystuje algorytm RSA-1024. Formalnie nie jest to wirus, więc ochrona antywirusowa nie działa. Jednak klucz potrzebny do odszyfrowania informacji pozostaje u hakera, a złamanie kodu nie zadziała – wyliczenie wartości zajmie kilka lat. Dlatego nie otwieraj wiadomości e-mail od nieznanych nadawców!

Usuwanie oprogramowania ransomware

Usunięcie Vault jest dość proste: nie wnika głęboko w system i psuje życie jedynie blokując dostęp do informacji. Aby wyczyścić system, użyj Dr.Web CureIt! lub Wirus Kaspersky Narzędzie do odinstalowywania. Uruchom te narzędzia w tryb bezpieczeństwa Okna.

Kolejność jest prosta:

Dodatkowo należy usunąć komponenty Vault, które są przechowywane w ukryty folder w C:\Użytkownicy\Użytkownik\AppData\Loca\Temp. Struktura złośliwego kodu wygląda tak:

• 3c21b8d9.cmd.


• fabac41c.js.


• 04fba9ba_VAULT.KLUCZ.


• SKARBIEC.txt.


• sdc0.bat.


• POTWIERDZENIE.KLUCZ.


• KLUCZ.SCENY.

Ostatnie dwa elementy przydadzą się, jeśli zdecydujesz się zapłacić atakującym za odszyfrowanie. Przechowują publiczną część klucza (hakerzy posiadają część prywatną, bez której nie da się usunąć kodu) oraz informacje o ilości zaszyfrowanych danych.

Jest jeszcze inna opcja - zapisz Kaspersky Rescue Disk na dysku flash USB i uruchom z niego komputer. Będziesz potrzebować działającego komputera, dysku flash, narzędzia do nagrywania oraz obrazu Kaspersky Rescue Disk 10.

Odszyfrowywanie plików

Możesz szybko poradzić sobie ze złośliwym oprogramowaniem, ale wtedy będzie poważny problem- nie ma deszyfratora, który szybko otworzy dostęp do informacji zaszyfrowanych algorytmem RSA-1024. Głównymi producentami oprogramowania antywirusowego jest to, że nie mają wykonalności technicznej złamać kod. Pozostało więc kilka opcji:

• W przypadku utraty informacji, które nie mają dużej wartości, łatwiej jest usunąć je z komputera. I pamiętaj, aby nie otwierać dziwnych e-maili od nieznanych nadawców.


• Jeśli zaszyfrowane dane mają dużą wartość, będziesz musiał zapłacić nadawcy oprogramowania antywirusowego. To ekstremalna opcja, ponieważ nie ma gwarancji, że nie zostaniesz oszukany. Ponadto zachęcasz atakujących do dalszego wysyłania zainfekowanych wiadomości e-mail, ponieważ przynosi im to pieniądze.

Z dostępne sposoby deszyfrowanie, możesz wypróbować kilka opcji, ale nie ma gwarancji, że dadzą pozytywny wynik:

1. Skontaktuj się z forum pomoc techniczna główni programiści programy antywirusowe. Kaspersky Lab, Dr.Web, ESET. Baza danych ransomware stale się powiększa. Opisz szczegółowo problem, może mają narzędzia do jego rozwiązania.


2. Używaj kopii plików w tle (istotne, jeśli włączono ochronę systemu).

Otwórz właściwości zaszyfrowanego pliku i przejdź do zakładki „Poprzednie wersje”.

Jeśli istnieją poprzednie, niezaszyfrowane edycje, możesz je otworzyć lub przywrócić. W takim przypadku dane z rozszerzeniem .vault należy usunąć z komputera. Niestety nie ma innych metod pracy. Dlatego lepiej unikać spotkania z oprogramowaniem ransomware: nie otwieraj dziwnych wiadomości e-mail, nie pobieraj podejrzanych programów, nie korzystaj z nieznanych linków.