كيفية استرداد ملفات الويندوز إكس بي. كيفية استرداد الملفات بنفسك بعد فيروس Vault. Vault Virus - ماذا تفعل
طور متخصصو مكافحة الفيروسات في Doctor Web طريقة لفك تشفير الملفات التي يتعذر الوصول إليها نتيجة لعمل برنامج تشفير طروادة خطير فك طروادة 2843معروف للمستخدمين باسم "Vault".
هذا الإصدار من برنامج الفدية ، والذي تم تسميته وفقًا لتصنيف Dr.Web فك طروادة 2843، يتم نشره بنشاط من قبل مجرمي الإنترنت باستخدام قوائم بريدية جماعية. يتم استخدام ملف صغير يحتوي على برنامج نصي في JavaScript كمرفق بالحروف. يتم استخراج هذا الملف من قبل التطبيق الذي يقوم بتنفيذ باقي الإجراءات اللازمة لضمان تشغيل المشفر. تم توزيع هذا الإصدار من برنامج الفدية طروادة منذ 2 نوفمبر 2015.
كيف هذا البرمجيات الخبيثةأيضا فضولي جدا. في النظام تسجيل windowsتتم كتابة مكتبة ديناميكية مشفرة (.DLL) ، ويحقن حصان طروادة رمزًا صغيرًا في عملية تشغيل explorer.exe التي تقرأ الملف من السجل إلى الذاكرة ، وتقوم بفك تشفيره ونقل التحكم إليه.
قائمة الملفات المشفرة فك طروادة 2843أيضا مخازن في سجل النظامولكل منهم مفتاح فريد يتكون من أحرف لاتينية كبيرة. يتم تشفير الملفات باستخدام خوارزميات Blowfish-ECB ، ويتم تشفير مفتاح الجلسة باستخدام RSA باستخدام واجهة CryptoAPI. يتم تعيين ملحق .vault لكل ملف مشفر.
طور المتخصصون في Doctor Web تقنية خاصة تسمح في كثير من الحالات بفك تشفير الملفات التالفة بواسطة حصان طروادة هذا. إذا كنت ضحية لبرامج ضارة فك طروادة 2843، استخدم الإرشادات التالية:
- اتصل بالشرطة مع بيان مقابل ؛
- تحت أي ظرف من الظروف محاولة إعادة التثبيت نظام التشغيلأو "تحسينها" أو "تنظيفها" باستخدام أي أدوات مساعدة ؛
- لا تحذف أي ملفات على جهاز الكمبيوتر الخاص بك ؛
- لا تحاول استعادة الملفات المشفرة بنفسك ؛
- اتصل بالدعم الفني لـ Doctor Web (هذه الخدمة مجانية لمستخدمي تراخيص Dr.Web التجارية) ؛
- إرفاق أي ملف مشفر بواسطة حصان طروادة إلى التذكرة ؛
- انتظر الرد من أخصائي الدعم الفني ؛ نظرًا للعدد الكبير من الطلبات ، فقد يستغرق ذلك بعض الوقت.
نذكرك بأن خدمات فك تشفير الملفات مقدمة فقط لحاملي التراخيص التجارية لمنتجات Dr.Web المضادة للفيروسات. لا يضمن Doctor Web أنه سيتم فك تشفير جميع الملفات التي تضررت بواسطة برنامج التشفير ، ولكن المتخصصين لدينا سيبذلون قصارى جهدهم لحفظ المعلومات المشفرة.
مقالتنا مكرسة لـ "تحفة" أخرى من المتسللين - فيروس Vault ransomware. سنخبرك بنوع فيروس Vault وكيف يؤثر على النظام. دعنا نفكر في الخيارات التي يمكنك من خلالها استرداد الملفات.
Vault Virus - ماذا تفعل ؟!
ذات يوم "جميل" ، فتحت سطح مكتبك وشاهدت دفتر ملاحظات قيد التشغيل بالنص التالي:
بناءً على ذلك ، يصبح من الواضح - لقد أصبحت "المالك المؤسف" لفيروس Vault. يصيب هذا الفيروس جهاز الكمبيوتر الخاص بك ويبدأ في تشفير ملفاتك. هذه هي الطريقة التي تندرج بها الملفات ذات الامتدادات .pdf ، .doc ، .docx ، .xls ، .xlsx ، .jpeg ، .zip ، وما إلى ذلك ضمن التشفير. بعد تشغيل الفيروس ، تتم إضافة الامتداد .vault إلى اسم الملف. أيضًا ، يؤثر الفيروس ، في بعض الحالات ، على قواعد بيانات 1C المحلية. كما ترى ، يقوم Vault بتشفير جميع المستندات الشائعة للعمل.
قد تتساءل: كيف وصل الخزنة إلى جهاز الكمبيوتر الخاص بي؟ أرسل المهاجمون كل شيء سهل مثل قصف الكمثرى هنا البريد الإلكترونيرسالة. وتحدث عنوان الرسالة عن أهميتها وضرورة فتحها وقراءتها. قد يكون خطابًا من بنك أو شركاء أو عرضًا مربحًا. في هذه الرسالة ، كان هناك مستند مرفق بامتداد .js (نص جافا).
عندما تم إطلاقه (وقمت بتشغيله!) يقوم امتداد الفيروس هذا بتنزيل برنامج تشفير من خوادم المتسللين. في حالتك ، فيروس Vault ransomware هو برنامج تشفير شرعي GPG (GnuPG)باستخدام خوارزمية تشفير rsa-1024 الشائعة. البرنامج ليس فيروسًا ، لذلك لا تمنعه مضادات الفيروسات وتسمح له بالعمل.ينشئ GPG مفاتيح تشفير عامة (على جهاز الكمبيوتر الخاص بك) وخاصة (على خادم المهاجم).
هناك العديد من التعديلات على فيروس Vault ، على سبيل المثال ، لأنظمة Windows 7/8 أو 32 بت أو 64 بت. والدخول في كل منهما ، يتصرف الفيروس بطريقته الخاصة. أيضًا ، يمكن للفيروس تشفير أجهزة الكمبيوتر الموجودة على نفس الشبكة مع شبكتك.
كيفية إزالة Vault Virus من جهاز الكمبيوتر؟
يعمل الفيروس بطريقة يتم فيها إنشاء ملف مشابه لامتداد .pg في المجلد الذي يحتوي على الملف المصدر. ثم ينهض هذا الملف ويستبدل الملف الأصلي ويضيف امتداد vault. عن طريق إعادة تسمية بسيطةلا يتم التخلص من المستند هنا. لذلك ، دعنا نتعرف على كيفية استرداد الملفات وإزالة فيروس vault.
إزالة الفيروس نفسه
بمجرد العثور على امتداد vault في مستنداتك ، قم بإيقاف تشغيل الشبكة على الفور ، وتوقف عن العمل مع جميع التطبيقات ، ولا تفتح المجلدات على الأقراص مرة أخرى. قم بتسجيل الدخول باستخدام الوضع الآمن.
من حيث الإزالة ، فإن فيروس Vault ليس بالأمر الصعب. ليس من الصعب إزالته ؛ لذلك استخدم أكثر البرامج شيوعًا لإزالة مثل هذه الفيروسات ، وأجهزة تشويش الصوت ، وإعلانات الشعارات ، وأحصنة طروادة. لكن المشاكل ستستمر :(.
ما تحتاج إلى معرفته هو أن جسم الفيروس نفسه مخفي في مجلد Temp. يتكون الفيروس من الملفات التالية:
- 3c21b8d9.cmd ؛
- fabac41c.js ؛
- VAULT.txt ؛
- Sdc0.bat ؛
- VAULT.KEY ؛
- تأكيد.
يجب حذف كل هذه الملفات ، باستثناء الملفين الأخيرين (!).بعد ذلك ، قم بتشغيل المنظف ، وامسح بدء التشغيل ، وتحقق من السجل بحثًا عن الأخطاء (المبدأ هو نفسه بالنسبة لنظام التشغيل Windows 7/8/10). يجب ترك آخر ملفين على الكمبيوتر للأسباب التالية:
- VAULT.KEY - مفتاح التشفير نفسه. يجب ألا يتم حذفه تحت أي ظرف من الظروف! يتم إرساله إلى المهاجمين ، وتحليله ، وسيعطونك الجزء الثاني من مفتاح فك التشفير.
- CONFIRMATION.KEY - ملف به معلومات كاملةحول عدد الملفات المشفرة على جهاز الكمبيوتر. من الضروري أيضًا للمتسللين.
استرجع الملفات بامتداد .vault مجانًا
وهكذا ، وصلنا إلى أسوأ شيء - ظلت الملفات مشفرة. لا توجد برامج فك تشفير مجانية لفيروس الخزنة. لا يمكن فك تشفير الملفات التي تحتوي على مفتاح rsa-1024 إلا من خلال البرنامج الأصلي نفسه.
ما هي طرق استرجاع الملفات:
![](https://i0.wp.com/itfaqs.ru/wp-content/uploads/2015/09/2015-09-23-16-30-18-%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82-%D1%8D%D0%BA%D1%80%D0%B0%D0%BD%D0%B0.png)
إذا لم تجد أي شيء في "سلة المحذوفات" ولا توجد نقاط استعادة للنظام ، فسيتعين عليك الدفع لمجرمي الإنترنت. لا يوجد شيء تستطيع فعله حياله. عند تحليل الحوارات في المنتديات ، يتبع الاستنتاج - أن المهاجمين يقومون بالفعل بفك تشفير الملفات ، لكن عليك أن تدفع مقابل ذلك.إذا لم يكن هذا صحيحًا ، لكانت الكلمة الشفوية على الإنترنت قد انتشرت منذ فترة طويلة ، ولن يتم توجيه الناس إليها. يجب أن يكون مفهوما أن هذا هو "نظام عمل" كامل - لقد تم القبض عليك ، والآن تدفع وسيصبح كل شيء على ما يرام.
لقد وصل الأمر إلى حد أن هناك بالفعل وكلاء فائقين على الإنترنت! أي الوسطاء الذين سيتصلون بالمهاجمين نيابة عنك ويحلون جميع مشاكلك. الأمر متروك لك لفعل ذلك أم لا. إذا كنت لا تريد أن تفعل ذلك بنفسك ، ادفع أكثر.
باتباع التعليمات الواردة في الملف النصي ، ستقوم بتشغيل متصفح Tor (خصيصًا لمحو IP) ، ثم سيتم نقلك إلى أحد مواقع مجرمي الإنترنت. يوجد دليل للعمل بالموقع وحتى نظام خصومات :(.
ماذا عن مضاد الفيروسات؟
للأسف ، كما هو مذكور أعلاه ، برامج مكافحة الفيروساتلا يستطيع Dr Web و Kaspersky و Avast وغيرهم فعل أي شيء. بعد كل شيء ، البرنامج ليس فيروسا في حد ذاته. تنتهي الطلبات الرسمية للدعم الفني من Kaspersky Lab بقصص مفصلة حول الخزنة واقتراحات لاستخدام وحدات فك التشفير الخاصة بها RannohDecryptor و ScatterDecryptor و Rector Decryptor و RakhniDecryptor أو Xorist Decryptor. ينصح موقع Doctor Web عمومًا بالاتصال بالشرطة بشأن حقيقة الوصول غير المصرح به إلى الكمبيوتر. حسنا شكرا دكتور.
كما ترى ، لا توجد خيارات كثيرة ، وإذا كانت الملفات مهمة حقًا بالنسبة لك ، فسيتعين عليك الدفع. من المستحيل أيضًا الانسحاب مع هذا ، فالخوادم التي تحتوي على قواعد بيانات ومواقع تتحرك باستمرار - يتم حذف القديمة وتظهر أخرى جديدة.
وهنا مقطع فيديو قصير حيث يمكنك رؤية كيفية عمل فيروس Vault على النظام. هذا الفيديو ليس إعلانا :).
- على الأرجح أنك تواجه مشكلة مثل تشفير ملفاتك ، وبالتالي ، دون علمك ، رغبتك. من خلال فتح الرابط في الرسالة التي وصلت إليك عن طريق البريد وعلى الأرجح من مرسل تم التحقق منه كنت قد تراسلت معه بالفعل. ولكن ربما كإعلان! لكن الحقيقة على وجهك وتعاني من الأعراض التالية والتي تجلت على النحو التالي:
- تم إقفال أوراق العمل وقواعد البيانات الخاصة بك وتمييزها بالتنسيق .vаult
- لاستعادتها ، تحتاج إلى الحصول على مفتاح فريد
- إجراء الحصول على مفتاح:
- موجز
- 1. انتقل إلى موارد الويب الخاصة بنا
- 2. الحصول على مفتاحك مضمون
- 3. استعادة الملفات إلى شكلها السابق
- مفصلة
- الخطوة 1:
- قم بتنزيل متصفح Tor من الموقع الرسمي: https://www.torproject.org
- الخطوة 2:
- باستخدام متصفح Tor ، قم بزيارة الموقع: https://restoredz4xpmuqr.onion
- الخطوه 3:
- اعثر على VAULT.KEY الفريد الخاص بك على جهاز الكمبيوتر الخاص بك - هذا هو مفتاحك إلى لوحة العميل الشخصية الخاصة بك. لا تحذفه
- قم بتسجيل الدخول إلى الموقع باستخدام VAULT.KEY
- انتقل إلى قسم الأسئلة الشائعة واقرأ الإجراء الإضافي
- الخطوة 4:
- بعد استلام المفتاح ، يمكنك استعادة الملفات باستخدام برنامجنا مفتوح المصدر مصدر الرمزأو استخدام برنامجك بأمان
- بالإضافة إلى
- أ) لن تتمكن من استعادة الملفات بدون مفتاح فريد (يتم تخزينه بأمان على خادمنا)
- ب) إذا لم تتمكن من العثور على VAULT.KEY ، فابحث في المجلد المؤقت TEMP
- ج) تكلفة الاستعادة ليست نهائية ، اكتب إلى الدردشة
- تاريخ القفل: 04/08/2015 (11:14)
- حسب تقديرك. يمكنك أن تفعل ما هو مذكور في الملف (لكنني لن أفعل). لماذا ا؟ ولأنه لا يمكن الاعتماد عليه ، فإن الدفع للمبتزين هو للحفاظ على قوتهم وتطويرها. وبعد ذلك ، ستحصل على مفتاح فك التشفير.
- ظهور مثل هذه الرسالة يعني بالفعل أن فيروس المخزن قد أصاب جهاز الكمبيوتر الخاص بك وبدأ في تشفير الملفات. في هذه المرحلة ، يجب عليك إيقاف تشغيل الكمبيوتر على الفور ، وفصله عن الشبكة وإزالة الكل الوسائط القابلة للإزالة... سنتحدث عن كيفية علاج الفيروس لاحقًا ، لكنني سأخبرك الآن بما حدث في نظامك.
- على الأرجح تلقيت خطابًا عبر البريد من طرف مقابل موثوق به أو متنكرًا في هيئة منظمة مشهورة... قد يكون هذا طلبًا لإجراء تسوية محاسبية لفترة معينة ، أو طلبًا لتأكيد دفع فاتورة بموجب اتفاقية ، أو عرضًا للتعرف على دين قرض في بنك سبيربنك ، أو أي شيء آخر. لكن المعلومات ستكون مثيرة للاهتمام بالتأكيد وستفتح مرفق بريد إلكتروني به فيروس. هذا ما يهم.
- لذلك ، تفتح مرفقًا بامتداد .js وهو برنامج Java النصي. من الناحية النظرية ، يجب أن ينبهك هذا بالفعل ويمنعك من الفتح ، لكن إذا كنت تقرأ هذه السطور ، فهذا يعني أنه لم ينبهك ولم يمنعك. يقوم البرنامج النصي بتنزيل Trojan أو banner vault من خادم المهاجم ، كما يمكن تسميته في هذه الحالة ، وبرنامج تشفير. يضع كل ذلك في دليل المستخدم المؤقت. وتبدأ عملية تشفير الملفات فورًا في جميع الأماكن التي يمكن للمستخدم الوصول إليها - محركات أقراص الشبكة ، ومحركات الأقراص المحمولة ، ومحركات الأقراص الصلبة الخارجية ، وما إلى ذلك.
- برنامج الفدية Vault هو أداة مساعدة مجانية لتشفير gpg وخوارزمية تشفير شائعة - RSA-1024. نظرًا لأن هذه الأداة ، في جوهرها ، تُستخدم كثيرًا عندما لا تكون فيروسًا في حد ذاتها ، فإن مضادات الفيروسات تسمح لها بالمرور ولا تمنع عملها. فتح و مفتاح سريلتشفير الملفات. يظل المفتاح الخاص على خادم المتسللين ويكون عامًا على كمبيوتر المستخدم.
- يستغرق الأمر بعض الوقت بعد بدء عملية التشفير. يعتمد ذلك على عدة عوامل - سرعة الوصول إلى الملفات ، وأداء الكمبيوتر. ثم تظهر رسالة إعلامية بتنسيق ملف نصي، المحتوى الذي قدمته في البداية. في هذه المرحلة ، يتم بالفعل تشفير بعض المعلومات.
- على وجه التحديد ، صادفت تعديلًا لفيروس vault يعمل فقط على أنظمة 32 بت. علاوة على ذلك ، في Windows 7 مع تمكين UAC ، تنبثق مطالبة بإدخال كلمة مرور المسؤول. لا يستطيع الفيروس فعل أي شيء دون إدخال كلمة مرور. في نظام التشغيل Windows XP ، يبدأ العمل فور فتح ملف من البريد ، ولا يطرح أي أسئلة.
- ماذا يفعل الفيروس بالضبط بالملفات؟ للوهلة الأولى ، يبدو أنه يقوم فقط بتغيير الامتداد من القياسي إلى. عندما رأيت تشغيل فيروس رانسوم وير هذا لأول مرة ، اعتقدت أنه كان سلكًا لطفل. أعدت تسمية الملف وفوجئت جدًا عندما لم يفتح كما هو متوقع ، وبدلاً من المحتوى المقصود ، فتحت فوضى من الأحرف غير المفهومة. ثم أدركت أن كل شيء لم يكن بهذه البساطة ، وبدأت أفهم وأبحث عن المعلومات.
- قام الفيروس بفحص جميع أنواع الملفات الشائعة - doc و docx و xls و xlsx و jpeg و pdf وغيرها. تمت إضافة ملحق .vault جديد إلى اسم الملف القياسي. بالنسبة للبعض ، يقوم أيضًا بتشفير الملفات باستخدام قواعد بيانات 1C المحلية. لم يكن لدي مثل هذا ، لذلك أنا شخصيا لم ألاحظ ذلك. ببساطة إعادة تسمية الملف ، كما تفهم ، لا يساعد هنا.
- نظرًا لأن عملية التشفير ليست فورية ، فقد يحدث أنه عندما تكتشف أن لديك فيروسًا على جهاز الكمبيوتر الخاص بك ، فستظل بعض الملفات طبيعية ، وسيصاب البعض الآخر. من الجيد أن يبقى معظمها كما هو. لكن في كثير من الأحيان ، لا يمكن للمرء الاعتماد عليه.
- سأخبرك ما هو مخفي وراء تغيير التمديد. بعد التشفير ، على سبيل المثال ، file.doc بجواره ، يقوم فيروس vault بإنشاء ملف مشفر file.doc.gpg ، ثم يتم نقل file.doc.gpg المشفر إلى الموقع الأصلي باسم جديد file.doc ، و فقط بعد ذلك يتم إعادة تسميته إلى ملف doc.vault. اتضح أن الملف الأصلي لم يتم حذفه ، ولكن تم استبداله بالمستند المشفر. بعد ذلك ، لا يمكن استعادته باستخدام أدوات الاسترداد القياسية. الملفات المحذوفة... إليك جزء من التعليمات البرمجية التي تنفذ هذه الوظيفة:
- بعد اكتشاف فيروس رانسوم وير ، فإن الخطوة الأولى هي التخلص منه عن طريق معالجة جهاز الكمبيوتر الخاص بك. من الأفضل التمهيد من البعض قرص التشغيلوتنظيف النظام يدويًا. vault vault من حيث تآكل النظام ليس بالأمر الصعب ، فمن السهل تنظيفه بنفسك. لن أسهب في الحديث عن هذه النقطة بالتفصيل ، لأن التوصيات القياسية لإزالة فيروسات الفدية واللافتات وأحصنة طروادة مناسبة هنا.
- يوجد جسم الفيروس نفسه في المجلد المؤقت للمستخدم الذي قام بتشغيله. يتكون الفيروس من الملفات التالية. قد تتغير الأسماء ، لكن الهيكل سيكون متماثلًا تقريبًا:
فجأة ، يفتح ملف نصي في المفكرة بالمحتوى التالي:
يضع الفيروس امتداد vault على doc و jpg و xls وملفات أخرى
dir / B "٪ 1:" && for / r "٪ 1:" ٪٪ i in (* .xls * .doc) do (echo "٪٪ TeMp ٪٪ \ svchost.exe" -r Cellar - نعم - q - لا مطول - نموذج الثقة دائمًا - تشفير الملفات "٪٪ i" ^ & نقل / y "٪٪ i.gpg" "٪٪ i" ^ & إعادة تسمية "٪٪ i" "٪٪ ~ nxi.vault ">>"٪ temp٪ \ cryptlist.lst "echo ٪٪ i >>"٪ temp٪ \ conf.list ")
كيفية إزالة فيروس vault وعلاج جهاز الكمبيوتر الخاص بك
- 3c21b8d9.cmd
- 04fba9ba_VAULT.KEY
- تأكيد
- fabac41c.js
- Sdc0.bat
- VAULT.KEY
- VAULT.txt
كيفية استرداد وفك تشفير الملفات بعد فيروس vault
"٪ temp٪ \ sdelete.exe" / Accepteula -p 4 -q "٪ temp٪ \ secring.gpg"
Kaspersky و drweb وأنواع مكافحة الفيروسات الأخرى في مكافحة vault ransomware
طرق الحماية من فيروس Vault
ظهر برنامج الفدية VAULT لأول مرة في روسيا في فبراير 2015 ، واكتسب شهرة واحدة من أخطروالفيروسات المستعصية. في نوفمبر ، بدأت موجة ثانية من الإصابات كانت ذات طبيعة أكثر كثافة. الموجة الثالثة تحدث في منتصف يناير 2016. ويتفوق على السابقة في عدد الأجهزة المصابة.
ما هو فيروس VAULT ransomware؟
فيروس VAULT هو شكل من أشكال برنامج التشفير حصان طروادة.
من خلال اختراق جهاز الكمبيوتر باستخدام إجراءات المستخدم ، يقوم البرنامج بتشفير نوع معين من البيانات بعشرات من الخوارزميات بنمط فريد.
لا يتم حذف البيانات الأصلية ، بل يتم استبدالها بأخرى تالفة ، مما يجعل إمكانية استعادتها شبه مستحيلة.
المفتاح ، الذي يجعل من الممكن فك تشفير المعلومات ، يتم حذفه تلقائيًا من النظام في نهاية التشفير.
هدف المهاجمين هو ابتزاز الأموال مقابل فك تشفير البيانات. حتى في هذه الحالة ، لا يتجاوز احتمال فك تشفير الملف 50٪.
مثال على جهاز كمبيوتر مصاب بفيروس VAULT: طلب للحصول على وثائق أولية من الطرف المقابل يصل إلى بريد إلكتروني يعمل ، أو إشعار حول الحاجة إلى تثبيت حزمة تحديث من ConsultantPlus. مرفق بالرسالة ملف يحتوي على معلومات توضيحية. بمجرد بدء تشغيل الملفات القابلة للتنفيذ والملفات المساعدة ، تبدأ عملية تشفير البيانات.
ما هي الملفات التي يشفرها VAULT؟
يهتم المهاجمون بالمعلومات التجارية ، بالإضافة إلى مواد الصور والصوت والفيديو. وبالتالي ، تتعرض ملفات الامتدادات التالية للهجوم: .rar ، .zip ، .jpg ، .psd ، .doc ، .xls ، .ppt ، .pdf ، .mp3 ، .ogg ، .avi ، .mpeg ، .html ، .txt ، وقواعد بيانات 1C ، وما إلى ذلك.
عندما يصاب جهاز كمبيوتر ، أ مستند نصيمع جهات اتصال المحتالين. تتراوح تكلفة فك تشفير البيانات من 10 دولارات إلى 50000 دولار. يقدر المحتالون التكلفة بعد اتصال المستخدم. مقدار الفدية يعتمد على كمية المعلومات المشفرة. في الوقت نفسه ، ليس هناك ما يضمن استعادة البيانات جزئيًا على الأقل.
كيف تحمي حاسوبك من مشفر VAULT؟
في معظم الحالات ، تحدث الإصابة في حالة عدم وجود برنامج مكافحة فيروسات على الكمبيوتر ، أو في حالة حدوث ذلك نسخة مجانيةتشغيل. الأقل موثوقية ، في رأينا ، هو مضاد الفيروسات Avast.
ومع ذلك ، غالبًا ما يصبح مالكو حزمة برامج مكافحة الفيروسات المرخصة ، بما في ذلك إصدارات الشركات ، ضحايا.
طور متخصصون في أمن تكنولوجيا المعلومات من ESET و Dr.Web مجموعة من التوصيات العالميةالتي تساعد على حماية جهاز الكمبيوتر أو الكمبيوتر المحمول من فيروسات VAULT وأحصنة طروادة الفدية المشابهة:
قم بتثبيت تحديثات نظام التشغيل الهامة في الوقت المناسب
اختر برنامج مكافحة فيروسات بجدار حماية مدمج
تعطيل الإرسال والاستقبال الملفات القابلة للتنفيذ(.exe) على خادم البريد
منع تنفيذ وحدات الماكرو في مايكروسوفت أوفيسأو برامج مشابهة
ممارسة الرياضة بانتظام دعمالبيانات
تكرار المعلومات الهامة لوسائل الإعلام الخارجية
كيفية إزالة VAULT من الكمبيوتر؟
تشغيل هذه اللحظةعدوى فيروس VAULT وتشفير البيانات يتم لمرة واحدة ولا يستلزم إصابة ملفات النظام. وبالتالي ، فإن المسح باستخدام الأداة المساعدة Dr.Web CureIt يكفي لإزالة الفيروس من النظام. ومع ذلك ، يجب أن تتذكر أن محاولات علاج الملفات المصابة أو حذفها ، وكذلك إعادة تثبيت Windows ، ستبطل القدرة على استعادة البيانات المشفرة.
أي أنه لا يوجد شيء صعب في إزالة الفيروس إذا كنت مستعدًا للتخلي عن المعلومات المشفرة إلى الأبد ، أو إذا كان لديك النسخ الاحتياطيةعلى وسائل الإعلام الخارجية.
كيف تسترجع ملفات VAULT؟
حالما اكتشفت العدوى لقد رأينا رموز ملفات متغيرة ونوعًا جديدًا من الامتدادات ، على سبيل المثال ، doc.vault، قم بإغلاق جهاز الكمبيوتر أو الكمبيوتر المحمول على الفور. كلما طالت مدة تشغيله ، زاد عدد الملفات التي تفقدها.
دعنا نكرر: فحص القرص باستخدام أحد برامج مكافحة الفيروسات وتنظيف الملفات وإعادة تثبيت النظام والأدوات القياسية الأخرى لن يؤدي إلا إلى تقليل احتمالية فك تشفير البيانات.
لا أحد من المطورينلا يزال برنامج مكافحة الفيروسات غير قادر على إنشاء أداة لفك تشفير المعلومات المعرضة لـ VAULT.
يتم تدمير نقاط استعادة النظام بواسطة فيروس. هناك فرصة لاستعادة Windows من النسخ الاحتياطية باستخدام الأداة المساعدة Shadow Editor عند العمل مع Windows Vista / 7/8/10. ولكن في معظم الحالات ، تختفي أيضًا النسخ الاحتياطية.
إذا كان لديك منتج مرخص NOD32 أو Dr.Web ، فيمكنك الاتصال بهم دعم فنيمع طلب فك تشفير البيانات.
بالإضافة إلى ذلك ، يوصي الخبراء بالاتصال بالشرطة مع بيان ، حيث تظهر أفعال المهاجمين علامات الجرائم بموجب الفن. فن. 159.6 ، 163 ، 165 ، 272 ، 273 من القانون الجنائي للاتحاد الروسي.
يتم تقليل النتيجة العملية لمثل هذه الإجراءات إلى الصفر. الحقيقة هي أنه لا توجد طريقة لاستعادة الملفات المشفرة بواسطة VAULT حتى الآن. بقايا السبيل الوحيد للخروج : قم فعليًا بإزالة قرص HDD أو SSD من الجهاز وتثبيت قرص جديد. ربما ، قريبًا ستكون هناك طريقة لفك تشفير المعلومات ومن ثم يمكن استعادة البيانات.
عدوى فيروسية يتم تشفير ملفات Vault
يحصل المستخدم أولاً خطاب مع رسالة حول البيان من الضريبة / عداد المياه / فاتورة مفتاح الاستشاري.
احتوت الخطاب على رابط للملف المرفق من المصدر download-attach.com... (يبدو أن الاستضافة يتم الدفع مقابلها باستخدام البيتكوين) في الأرشيف الموجود في هذا الرابط ، الأكثر إثارة للاهتمام هو ملف غامض js، باسم مفصل للغاية.
عندما تقوم بتشغيله في مستخدم٪ TEMPتظهر عدة ملفات ويتم كتابة برنامج نصي لبدء التشغيل revault.js
فيما يلي بعض الملفات التي تم تحديدها:
ملف Svchost.exe - ثنائي gnupg الرئيسي
iconv.dll - مكتبة مشتركة لتشغيل gnupg
audiodg.exe - الحذف من مجموعة Sysinternals
إعدام الفيروس يتم تشفير ملفات Vault
في حالتنا ، عندما تم تشغيل الكمبيوتر ، تم تشغيل البرنامج النصي revault.js ، والذي أطلق ملف cryptlist.cmd bat. هنا ضاع خيط صغير
ثم بدأت تأمين. باتكل أحلك الأشياء تحدث فيه.
أولاً ، يقوم البرنامج بإنشاء شهادة لتشفير الملفات على جهاز كمبيوتر يسمى gk.vlt (Cellar / RSA / 1024 بت)
ثم يقوم بتصدير المفتاح الخاص منه ، وهو مطلوب لفك تشفير الملفات ، إلى ملف vaultkey.vlt
ثم يقوم بإنشاء مفتاح عمومي pk.vlt ، يتم تحديده مسبقًا في ملف الخفافيش نفسه. بمساعدة هذا الملف ، سيتم تشفير المفتاح المطلوب لفك تشفير بياناتك في المستقبل.
مزيد في vaultkey.vlt مكتوبة
BDATE - التاريخ الحالي
UNAME - اسم المستخدم الحالي
CNAME - اسم الكمبيوتر
ULANG - لغة النظام (في هذه الحالة ، يتم تسجيلها في RU)
وبعض التجزئات العشوائية 01HSH 02HSH 03HSH 04HSH 05HSH FHASH
تشفير الفيروسات يتم تشفير ملفات Vault
يبدو تشفير الملف مع الاستبدال بهذا الشكل
1 - تشفير الملفات
2 - نقل الملف المشفر إلى مكانه الأصلي
3 - إضافة امتداد .vault إلى الملف
في المرحلة الأولى ، يتم تشفير * .xls و *. ملفات doc.
في المرحلة الثانية ، يتم إنشاء وتشغيل الملفات win.vbs و sdwrase.js و sdwrase.cmd ، مما يؤدي إلى تعطيل النسخ الاحتياطي في النظام إذا كان النظام هو Vista أو أعلى
و * .pdf * مشفرة. rtf.
في المرحلة الثالثة ، يتم تشفير ملفات * .psd * .dwg *. ملفات cdr.
في المرحلة الرابعة ، يتم تشفير ملفات * .cd * .mdb * .1cd * .dbf * .sqlite.
في المرحلة الخامسة ، يتم تشفير ملفات * .jpg * .zip.
يتم حساب كل ملف ، ثم يتم تسجيل عدد الملفات المشفرة لكل نوع ملف في vaultkey.vlt
(على ما يبدو لتقييم عام للبيانات المشفرة)
بعد ذلك ، يقوم مفتاح المهاجم بتشفير مفتاحك الخاص والمعلومات التي تم جمعها حول كمية البيانات.
بعد ذلك ، يتم حذف مفتاحك المطلوب لفك تشفير البيانات مع إعادة كتابة 16 (!) أضعاف.
يتم تشفير ملفاتك بمفتاحك ، ويتم تشفير مفتاحك بمفتاح المهاجم.
ثم يتم إنشاء الملفات مع الإخطارات.
موقع الفيروس يتم تشفير ملفات Vault
يتم استضافة موقع مجرمي الإنترنت في شبكة TOR المجهولة وهو ذو تقنية عالية لهذا النوع من "المشاريع"
هناك كامل الأهلية المساحة الشخصيةو "نسخة تجريبية" لثلاثة ملفات ، والتي من جانب المهاجم يفك تشفير الملف الذي قمت بتنزيله وتنزيله من الخادم الخاص به. ولكن ، قبل فتح الوصول إلى الملف ، سيعرضه متطفل يدويًا وإذا اعتبر الملف مهمًا ، فلن تتمكن من الوصول إلى الموضوع ، وسيتم إعلامك بهذا الأمر.
حتى أن هناك قسم المساعدة.
الدفع فقط بعملة البيتكوين.
يمكنك أيضا التحدث إلى المؤلف. الإقناع والتهديد عديم الجدوى. يمكن للمهاجم منع قدرتك على الدردشة.
كلمات المرور من المتصفحات - تقنية لسرقة كلمات المرور من المتصفحات عند وجود فيروس مصاب يتم تشفير ملفات Vaultالحاسوب
بعد إنشاء الملفات مع الإخطارات ، هناك "مكافأة"
يتم إنشاء البرامج النصية ultra.js و up.vbs.
يقوم أول واحد بتنزيل الملف من بوابة tor2web باستخدام الرابط hxxp _ // tj2es2lrxelpknfp.onion.city/p.vlt وإعادة تسميته إلى ssl.exe
هذا هو Browser Password Dump v2.6 بواسطة SecurityXploded
يحفظ جميع كلمات المرور الخاصة بك من المتصفحات إلى ملف cookie.vlt
بعد ذلك ، يبدأ الملف الثاني في تحميل كلمات المرور الخاصة بك على نفس الخادم (POST إلى البرنامج النصي /x.php)
هذا الخادم مجهول الهوية بنفس طريقة الخادم للاسترداد والدفع (لا شيء إضافي في الرؤوس ، الخادم: خط مجهول)