أجهزة الكمبيوتر شبابيك إنترنت
وسعت
الصفحة الرئيسية

كيفية استرداد ملفات الويندوز إكس بي. كيفية استرداد الملفات بنفسك بعد فيروس Vault. Vault Virus - ماذا تفعل

طور متخصصو مكافحة الفيروسات في Doctor Web طريقة لفك تشفير الملفات التي يتعذر الوصول إليها نتيجة لعمل برنامج تشفير طروادة خطير فك طروادة 2843معروف للمستخدمين باسم "Vault".

هذا الإصدار من برنامج الفدية ، والذي تم تسميته وفقًا لتصنيف Dr.Web فك طروادة 2843، يتم نشره بنشاط من قبل مجرمي الإنترنت باستخدام قوائم بريدية جماعية. يتم استخدام ملف صغير يحتوي على برنامج نصي في JavaScript كمرفق بالحروف. يتم استخراج هذا الملف من قبل التطبيق الذي يقوم بتنفيذ باقي الإجراءات اللازمة لضمان تشغيل المشفر. تم توزيع هذا الإصدار من برنامج الفدية طروادة منذ 2 نوفمبر 2015.

كيف هذا البرمجيات الخبيثةأيضا فضولي جدا. في النظام تسجيل windowsتتم كتابة مكتبة ديناميكية مشفرة (.DLL) ، ويحقن حصان طروادة رمزًا صغيرًا في عملية تشغيل explorer.exe التي تقرأ الملف من السجل إلى الذاكرة ، وتقوم بفك تشفيره ونقل التحكم إليه.

قائمة الملفات المشفرة فك طروادة 2843أيضا مخازن في سجل النظامولكل منهم مفتاح فريد يتكون من أحرف لاتينية كبيرة. يتم تشفير الملفات باستخدام خوارزميات Blowfish-ECB ، ويتم تشفير مفتاح الجلسة باستخدام RSA باستخدام واجهة CryptoAPI. يتم تعيين ملحق .vault لكل ملف مشفر.

طور المتخصصون في Doctor Web تقنية خاصة تسمح في كثير من الحالات بفك تشفير الملفات التالفة بواسطة حصان طروادة هذا. إذا كنت ضحية لبرامج ضارة فك طروادة 2843، استخدم الإرشادات التالية:

  • اتصل بالشرطة مع بيان مقابل ؛
  • تحت أي ظرف من الظروف محاولة إعادة التثبيت نظام التشغيلأو "تحسينها" أو "تنظيفها" باستخدام أي أدوات مساعدة ؛
  • لا تحذف أي ملفات على جهاز الكمبيوتر الخاص بك ؛
  • لا تحاول استعادة الملفات المشفرة بنفسك ؛
  • اتصل بالدعم الفني لـ Doctor Web (هذه الخدمة مجانية لمستخدمي تراخيص Dr.Web التجارية) ؛
  • إرفاق أي ملف مشفر بواسطة حصان طروادة إلى التذكرة ؛
  • انتظر الرد من أخصائي الدعم الفني ؛ نظرًا للعدد الكبير من الطلبات ، فقد يستغرق ذلك بعض الوقت.

نذكرك بأن خدمات فك تشفير الملفات مقدمة فقط لحاملي التراخيص التجارية لمنتجات Dr.Web المضادة للفيروسات. لا يضمن Doctor Web أنه سيتم فك تشفير جميع الملفات التي تضررت بواسطة برنامج التشفير ، ولكن المتخصصين لدينا سيبذلون قصارى جهدهم لحفظ المعلومات المشفرة.

مقالتنا مكرسة لـ "تحفة" أخرى من المتسللين - فيروس Vault ransomware. سنخبرك بنوع فيروس Vault وكيف يؤثر على النظام. دعنا نفكر في الخيارات التي يمكنك من خلالها استرداد الملفات.

Vault Virus - ماذا تفعل ؟!

ذات يوم "جميل" ، فتحت سطح مكتبك وشاهدت دفتر ملاحظات قيد التشغيل بالنص التالي:

بناءً على ذلك ، يصبح من الواضح - لقد أصبحت "المالك المؤسف" لفيروس Vault. يصيب هذا الفيروس جهاز الكمبيوتر الخاص بك ويبدأ في تشفير ملفاتك. هذه هي الطريقة التي تندرج بها الملفات ذات الامتدادات .pdf ، .doc ، .docx ، .xls ، .xlsx ، .jpeg ، .zip ، وما إلى ذلك ضمن التشفير. بعد تشغيل الفيروس ، تتم إضافة الامتداد .vault إلى اسم الملف. أيضًا ، يؤثر الفيروس ، في بعض الحالات ، على قواعد بيانات 1C المحلية. كما ترى ، يقوم Vault بتشفير جميع المستندات الشائعة للعمل.

قد تتساءل: كيف وصل الخزنة إلى جهاز الكمبيوتر الخاص بي؟ أرسل المهاجمون كل شيء سهل مثل قصف الكمثرى هنا البريد الإلكترونيرسالة. وتحدث عنوان الرسالة عن أهميتها وضرورة فتحها وقراءتها. قد يكون خطابًا من بنك أو شركاء أو عرضًا مربحًا. في هذه الرسالة ، كان هناك مستند مرفق بامتداد .js (نص جافا).

عندما تم إطلاقه (وقمت بتشغيله!) يقوم امتداد الفيروس هذا بتنزيل برنامج تشفير من خوادم المتسللين. في حالتك ، فيروس Vault ransomware هو برنامج تشفير شرعي GPG (GnuPG)باستخدام خوارزمية تشفير rsa-1024 الشائعة. البرنامج ليس فيروسًا ، لذلك لا تمنعه ​​مضادات الفيروسات وتسمح له بالعمل.ينشئ GPG مفاتيح تشفير عامة (على جهاز الكمبيوتر الخاص بك) وخاصة (على خادم المهاجم).

هناك العديد من التعديلات على فيروس Vault ، على سبيل المثال ، لأنظمة Windows 7/8 أو 32 بت أو 64 بت. والدخول في كل منهما ، يتصرف الفيروس بطريقته الخاصة. أيضًا ، يمكن للفيروس تشفير أجهزة الكمبيوتر الموجودة على نفس الشبكة مع شبكتك.

كيفية إزالة Vault Virus من جهاز الكمبيوتر؟

يعمل الفيروس بطريقة يتم فيها إنشاء ملف مشابه لامتداد .pg في المجلد الذي يحتوي على الملف المصدر. ثم ينهض هذا الملف ويستبدل الملف الأصلي ويضيف امتداد vault. عن طريق إعادة تسمية بسيطةلا يتم التخلص من المستند هنا. لذلك ، دعنا نتعرف على كيفية استرداد الملفات وإزالة فيروس vault.

إزالة الفيروس نفسه

بمجرد العثور على امتداد vault في مستنداتك ، قم بإيقاف تشغيل الشبكة على الفور ، وتوقف عن العمل مع جميع التطبيقات ، ولا تفتح المجلدات على الأقراص مرة أخرى. قم بتسجيل الدخول باستخدام الوضع الآمن.

من حيث الإزالة ، فإن فيروس Vault ليس بالأمر الصعب. ليس من الصعب إزالته ؛ لذلك استخدم أكثر البرامج شيوعًا لإزالة مثل هذه الفيروسات ، وأجهزة تشويش الصوت ، وإعلانات الشعارات ، وأحصنة طروادة. لكن المشاكل ستستمر :(.

ما تحتاج إلى معرفته هو أن جسم الفيروس نفسه مخفي في مجلد Temp. يتكون الفيروس من الملفات التالية:

  • 3c21b8d9.cmd ؛
  • fabac41c.js ؛
  • VAULT.txt ؛
  • Sdc0.bat ؛
  • VAULT.KEY ؛
  • تأكيد.

يجب حذف كل هذه الملفات ، باستثناء الملفين الأخيرين (!).بعد ذلك ، قم بتشغيل المنظف ، وامسح بدء التشغيل ، وتحقق من السجل بحثًا عن الأخطاء (المبدأ هو نفسه بالنسبة لنظام التشغيل Windows 7/8/10). يجب ترك آخر ملفين على الكمبيوتر للأسباب التالية:

  1. VAULT.KEY - مفتاح التشفير نفسه. يجب ألا يتم حذفه تحت أي ظرف من الظروف! يتم إرساله إلى المهاجمين ، وتحليله ، وسيعطونك الجزء الثاني من مفتاح فك التشفير.
  2. CONFIRMATION.KEY - ملف به معلومات كاملةحول عدد الملفات المشفرة على جهاز الكمبيوتر. من الضروري أيضًا للمتسللين.

استرجع الملفات بامتداد .vault مجانًا

وهكذا ، وصلنا إلى أسوأ شيء - ظلت الملفات مشفرة. لا توجد برامج فك تشفير مجانية لفيروس الخزنة. لا يمكن فك تشفير الملفات التي تحتوي على مفتاح rsa-1024 إلا من خلال البرنامج الأصلي نفسه.

ما هي طرق استرجاع الملفات:


إذا لم تجد أي شيء في "سلة المحذوفات" ولا توجد نقاط استعادة للنظام ، فسيتعين عليك الدفع لمجرمي الإنترنت. لا يوجد شيء تستطيع فعله حياله. عند تحليل الحوارات في المنتديات ، يتبع الاستنتاج - أن المهاجمين يقومون بالفعل بفك تشفير الملفات ، لكن عليك أن تدفع مقابل ذلك.إذا لم يكن هذا صحيحًا ، لكانت الكلمة الشفوية على الإنترنت قد انتشرت منذ فترة طويلة ، ولن يتم توجيه الناس إليها. يجب أن يكون مفهوما أن هذا هو "نظام عمل" كامل - لقد تم القبض عليك ، والآن تدفع وسيصبح كل شيء على ما يرام.

لقد وصل الأمر إلى حد أن هناك بالفعل وكلاء فائقين على الإنترنت! أي الوسطاء الذين سيتصلون بالمهاجمين نيابة عنك ويحلون جميع مشاكلك. الأمر متروك لك لفعل ذلك أم لا. إذا كنت لا تريد أن تفعل ذلك بنفسك ، ادفع أكثر.

باتباع التعليمات الواردة في الملف النصي ، ستقوم بتشغيل متصفح Tor (خصيصًا لمحو IP) ، ثم سيتم نقلك إلى أحد مواقع مجرمي الإنترنت. يوجد دليل للعمل بالموقع وحتى نظام خصومات :(.

ماذا عن مضاد الفيروسات؟

للأسف ، كما هو مذكور أعلاه ، برامج مكافحة الفيروساتلا يستطيع Dr Web و Kaspersky و Avast وغيرهم فعل أي شيء. بعد كل شيء ، البرنامج ليس فيروسا في حد ذاته. تنتهي الطلبات الرسمية للدعم الفني من Kaspersky Lab بقصص مفصلة حول الخزنة واقتراحات لاستخدام وحدات فك التشفير الخاصة بها RannohDecryptor و ScatterDecryptor و Rector Decryptor و RakhniDecryptor أو Xorist Decryptor. ينصح موقع Doctor Web عمومًا بالاتصال بالشرطة بشأن حقيقة الوصول غير المصرح به إلى الكمبيوتر. حسنا شكرا دكتور.

كما ترى ، لا توجد خيارات كثيرة ، وإذا كانت الملفات مهمة حقًا بالنسبة لك ، فسيتعين عليك الدفع. من المستحيل أيضًا الانسحاب مع هذا ، فالخوادم التي تحتوي على قواعد بيانات ومواقع تتحرك باستمرار - يتم حذف القديمة وتظهر أخرى جديدة.

وهنا مقطع فيديو قصير حيث يمكنك رؤية كيفية عمل فيروس Vault على النظام. هذا الفيديو ليس إعلانا :).

  1. على الأرجح أنك تواجه مشكلة مثل تشفير ملفاتك ، وبالتالي ، دون علمك ، رغبتك. من خلال فتح الرابط في الرسالة التي وصلت إليك عن طريق البريد وعلى الأرجح من مرسل تم التحقق منه كنت قد تراسلت معه بالفعل. ولكن ربما كإعلان! لكن الحقيقة على وجهك وتعاني من الأعراض التالية والتي تجلت على النحو التالي:

    2. فجأة ، يفتح ملف نصي في المفكرة بالمحتوى التالي:

    1. تم إقفال أوراق العمل وقواعد البيانات الخاصة بك وتمييزها بالتنسيق .vаult
    2. لاستعادتها ، تحتاج إلى الحصول على مفتاح فريد
    3. إجراء الحصول على مفتاح:
    4. موجز
    5. 1. انتقل إلى موارد الويب الخاصة بنا
    6. 2. الحصول على مفتاحك مضمون
    7. 3. استعادة الملفات إلى شكلها السابق
    8. مفصلة
    9. الخطوة 1:
    10. قم بتنزيل متصفح Tor من الموقع الرسمي:
      11. https://www.torproject.org
    11. الخطوة 2:
    12. باستخدام متصفح Tor ، قم بزيارة الموقع:
      13. https://restoredz4xpmuqr.onion
    13. الخطوه 3:
    14. اعثر على VAULT.KEY الفريد الخاص بك على جهاز الكمبيوتر الخاص بك - هذا هو مفتاحك إلى لوحة العميل الشخصية الخاصة بك. لا تحذفه
    15. قم بتسجيل الدخول إلى الموقع باستخدام VAULT.KEY
    16. انتقل إلى قسم الأسئلة الشائعة واقرأ الإجراء الإضافي
    17. الخطوة 4:
    18. بعد استلام المفتاح ، يمكنك استعادة الملفات باستخدام برنامجنا مفتوح المصدر مصدر الرمزأو استخدام برنامجك بأمان
    19. بالإضافة إلى
    20. أ) لن تتمكن من استعادة الملفات بدون مفتاح فريد (يتم تخزينه بأمان على خادمنا)
    21. ب) إذا لم تتمكن من العثور على VAULT.KEY ، فابحث في المجلد المؤقت TEMP
    22. ج) تكلفة الاستعادة ليست نهائية ، اكتب إلى الدردشة
    23. تاريخ القفل: 04/08/2015 (11:14)
  2. حسب تقديرك. يمكنك أن تفعل ما هو مذكور في الملف (لكنني لن أفعل). لماذا ا؟ ولأنه لا يمكن الاعتماد عليه ، فإن الدفع للمبتزين هو للحفاظ على قوتهم وتطويرها. وبعد ذلك ، ستحصل على مفتاح فك التشفير.
  3. ظهور مثل هذه الرسالة يعني بالفعل أن فيروس المخزن قد أصاب جهاز الكمبيوتر الخاص بك وبدأ في تشفير الملفات. في هذه المرحلة ، يجب عليك إيقاف تشغيل الكمبيوتر على الفور ، وفصله عن الشبكة وإزالة الكل الوسائط القابلة للإزالة... سنتحدث عن كيفية علاج الفيروس لاحقًا ، لكنني سأخبرك الآن بما حدث في نظامك.
  4. على الأرجح تلقيت خطابًا عبر البريد من طرف مقابل موثوق به أو متنكرًا في هيئة منظمة مشهورة... قد يكون هذا طلبًا لإجراء تسوية محاسبية لفترة معينة ، أو طلبًا لتأكيد دفع فاتورة بموجب اتفاقية ، أو عرضًا للتعرف على دين قرض في بنك سبيربنك ، أو أي شيء آخر. لكن المعلومات ستكون مثيرة للاهتمام بالتأكيد وستفتح مرفق بريد إلكتروني به فيروس. هذا ما يهم.
  5. لذلك ، تفتح مرفقًا بامتداد .js وهو برنامج Java النصي. من الناحية النظرية ، يجب أن ينبهك هذا بالفعل ويمنعك من الفتح ، لكن إذا كنت تقرأ هذه السطور ، فهذا يعني أنه لم ينبهك ولم يمنعك. يقوم البرنامج النصي بتنزيل Trojan أو banner vault من خادم المهاجم ، كما يمكن تسميته في هذه الحالة ، وبرنامج تشفير. يضع كل ذلك في دليل المستخدم المؤقت. وتبدأ عملية تشفير الملفات فورًا في جميع الأماكن التي يمكن للمستخدم الوصول إليها - محركات أقراص الشبكة ، ومحركات الأقراص المحمولة ، ومحركات الأقراص الصلبة الخارجية ، وما إلى ذلك.
  6. برنامج الفدية Vault هو أداة مساعدة مجانية لتشفير gpg وخوارزمية تشفير شائعة - RSA-1024. نظرًا لأن هذه الأداة ، في جوهرها ، تُستخدم كثيرًا عندما لا تكون فيروسًا في حد ذاتها ، فإن مضادات الفيروسات تسمح لها بالمرور ولا تمنع عملها. فتح و مفتاح سريلتشفير الملفات. يظل المفتاح الخاص على خادم المتسللين ويكون عامًا على كمبيوتر المستخدم.
  7. يستغرق الأمر بعض الوقت بعد بدء عملية التشفير. يعتمد ذلك على عدة عوامل - سرعة الوصول إلى الملفات ، وأداء الكمبيوتر. ثم تظهر رسالة إعلامية بتنسيق ملف نصي، المحتوى الذي قدمته في البداية. في هذه المرحلة ، يتم بالفعل تشفير بعض المعلومات.
  8. على وجه التحديد ، صادفت تعديلًا لفيروس vault يعمل فقط على أنظمة 32 بت. علاوة على ذلك ، في Windows 7 مع تمكين UAC ، تنبثق مطالبة بإدخال كلمة مرور المسؤول. لا يستطيع الفيروس فعل أي شيء دون إدخال كلمة مرور. في نظام التشغيل Windows XP ، يبدأ العمل فور فتح ملف من البريد ، ولا يطرح أي أسئلة.

    9. يضع الفيروس امتداد vault على doc و jpg و xls وملفات أخرى

  9. ماذا يفعل الفيروس بالضبط بالملفات؟ للوهلة الأولى ، يبدو أنه يقوم فقط بتغيير الامتداد من القياسي إلى. عندما رأيت تشغيل فيروس رانسوم وير هذا لأول مرة ، اعتقدت أنه كان سلكًا لطفل. أعدت تسمية الملف وفوجئت جدًا عندما لم يفتح كما هو متوقع ، وبدلاً من المحتوى المقصود ، فتحت فوضى من الأحرف غير المفهومة. ثم أدركت أن كل شيء لم يكن بهذه البساطة ، وبدأت أفهم وأبحث عن المعلومات.
  10. قام الفيروس بفحص جميع أنواع الملفات الشائعة - doc و docx و xls و xlsx و jpeg و pdf وغيرها. تمت إضافة ملحق .vault جديد إلى اسم الملف القياسي. بالنسبة للبعض ، يقوم أيضًا بتشفير الملفات باستخدام قواعد بيانات 1C المحلية. لم يكن لدي مثل هذا ، لذلك أنا شخصيا لم ألاحظ ذلك. ببساطة إعادة تسمية الملف ، كما تفهم ، لا يساعد هنا.
  11. نظرًا لأن عملية التشفير ليست فورية ، فقد يحدث أنه عندما تكتشف أن لديك فيروسًا على جهاز الكمبيوتر الخاص بك ، فستظل بعض الملفات طبيعية ، وسيصاب البعض الآخر. من الجيد أن يبقى معظمها كما هو. لكن في كثير من الأحيان ، لا يمكن للمرء الاعتماد عليه.
  12. سأخبرك ما هو مخفي وراء تغيير التمديد. بعد التشفير ، على سبيل المثال ، file.doc بجواره ، يقوم فيروس vault بإنشاء ملف مشفر file.doc.gpg ، ثم يتم نقل file.doc.gpg المشفر إلى الموقع الأصلي باسم جديد file.doc ، و فقط بعد ذلك يتم إعادة تسميته إلى ملف doc.vault. اتضح أن الملف الأصلي لم يتم حذفه ، ولكن تم استبداله بالمستند المشفر. بعد ذلك ، لا يمكن استعادته باستخدام أدوات الاسترداد القياسية. الملفات المحذوفة... إليك جزء من التعليمات البرمجية التي تنفذ هذه الوظيفة:

    13. dir / B "٪ 1:" && for / r "٪ 1:" ٪٪ i in (* .xls * .doc) do (echo "٪٪ TeMp ٪٪ \ svchost.exe" -r Cellar - نعم - q - لا مطول - نموذج الثقة دائمًا - تشفير الملفات "٪٪ i" ^ & نقل / y "٪٪ i.gpg" "٪٪ i" ^ & إعادة تسمية "٪٪ i" "٪٪ ~ nxi.vault ">>"٪ temp٪ \ cryptlist.lst "echo ٪٪ i >>"٪ temp٪ \ conf.list ")

    كيفية إزالة فيروس vault وعلاج جهاز الكمبيوتر الخاص بك

  13. بعد اكتشاف فيروس رانسوم وير ، فإن الخطوة الأولى هي التخلص منه عن طريق معالجة جهاز الكمبيوتر الخاص بك. من الأفضل التمهيد من البعض قرص التشغيلوتنظيف النظام يدويًا. vault vault من حيث تآكل النظام ليس بالأمر الصعب ، فمن السهل تنظيفه بنفسك. لن أسهب في الحديث عن هذه النقطة بالتفصيل ، لأن التوصيات القياسية لإزالة فيروسات الفدية واللافتات وأحصنة طروادة مناسبة هنا.
  14. يوجد جسم الفيروس نفسه في المجلد المؤقت للمستخدم الذي قام بتشغيله. يتكون الفيروس من الملفات التالية. قد تتغير الأسماء ، لكن الهيكل سيكون متماثلًا تقريبًا:
  • 3c21b8d9.cmd
  • 04fba9ba_VAULT.KEY
  • تأكيد
  • fabac41c.js
  • Sdc0.bat
  • VAULT.KEY
  • VAULT.txt
  • VAULT.KEY - مفتاح التشفير. إذا كنت تريد فك تشفير بياناتك ، فتأكد من حفظ هذا الملف. يتم تمريره إلى المهاجمين ، وعلى أساسه ، يعطونك زوج مفاتيح ثانٍ ، يتم بمساعدته فك التشفير. في حالة فقدان هذا الملف ، سيكون من المستحيل استرداد البيانات حتى مقابل المال.
  • CONFIRMATION.KEY - يحتوي على معلومات حول الملفات المشفرة. سيطلب منه المجرمون حساب مقدار الأموال التي يجب أن يأخذها منك.
  • باقي الملفات هي ملفات خدمة ويمكن حذفها. بعد إلغاء التثبيت ، تحتاج إلى تنظيف بدء التشغيل بحيث لا توجد روابط للملفات المحذوفة ولا توجد أخطاء في بدء التشغيل. الآن يمكنك بدء تشغيل جهاز الكمبيوتر الخاص بك وتقييم حجم المأساة.

    • كيفية استرداد وفك تشفير الملفات بعد فيروس vault

  • لذلك نصل إلى النقطة الأكثر أهمية. كيف نعيد معلوماتنا. عالجنا الكمبيوتر ، ما كان بإمكاننا استعادته من خلال كسر التشفير. الآن نحن بحاجة إلى محاولة فك تشفير الملفات. بالطبع ، أسهل الأشياء وأكثرها رغبة هو الحصول على وحدة فك تشفير جاهزة لفك التشفير ، لكنها غير موجودة. للأسف ، من المستحيل تقنيًا إنشاء أداة لفك تشفير البيانات المشفرة باستخدام مفتاح RSA-1024 / لذلك ، لسوء الحظ ، لا توجد خيارات كثيرة هنا:
  • أنت محظوظ جدًا إذا تم تمكين حماية النظام لديك. يتم تضمينه لكل قرص على حدة. إذا تم ذلك ، فيمكنك استخدام أداة الاسترداد الإصدارات السابقةالملفات والمجلدات. إنه موجود في خصائص الملف. يمكن العثور على مزيد من التفاصيل على الإنترنت ، وهناك مقالات كافية حول أداة الاسترداد هذه.
  • إذا كنت قد قمت بتشفير الملفات على محركات أقراص الشبكة، ابحث عن النسخ الاحتياطية ، وتحقق مما إذا كانت سلة المحذوفات ممكّنة على هذه الأقراص ، فستكون ملفات المصدر الخاصة بك هناك. على الرغم من أنه ليس قياسيًا على محركات أقراص الشبكة ، إلا أنه يمكن تهيئته بشكل منفصل. أفعل هذا في أغلب الأحيان عند إعداد كرات الشبكة. تذكر ما إذا كان لديك نسخ احتياطية من بياناتك المحلية.
  • في حالة تلف البيانات الموجودة في المجلدات المتصلة بمخازن البيانات على الإنترنت مثل Yandex. قرص ، دروب بوكس ​​، قرص جوجل ، انظر إليهم في سلة المهملات ، يجب أن تكون هناك ملفات أصلية متبقية قبل التشفير.
  • حاول العثور على الملف secring.gpgيجب إنشاء هذا الملف على جهازك (عادةً في٪ TEMP٪ من المستخدم) وقت بدء عملية التشفير. لسوء الحظ ، فإن احتمالية نجاح البحث عن secring.gpg منخفضة ، حيث يقوم المشفر بالكتابة فوق هذا المفتاح بعناية باستخدام الأداة المساعدة sdelete.exe:

    • "٪ temp٪ \ sdelete.exe" / Accepteula -p 4 -q "٪ temp٪ \ secring.gpg"

  • لن تساعد إعادة تشغيل المشفر للحصول على هذا المفتاح. سيتم إنشاء المفتاح ببصمة إصبع ومعرف مختلفين ، ولن يكون مناسبًا لفك تشفير مستنداتك. حاول البحث عن هذا المفتاح بين الملفات المحذوفة ، ولكن تأكد من أن يكون حجمها غير صفري ~ 1 كيلو بايت.
  • إذا لم يساعدك أي مما سبق ، وكانت المعلومات مهمة للغاية ، فلديك خيار واحد فقط - دفع الأموال لمبدعي الفيروس. لكن ، كما كتبت أعلاه ، أنا شخصياً لن أفعل ذلك. ينتشر فيروس Vault بشكل كبير لدرجة أن الإعلانات ظهرت على الشبكة ، حيث يعرض بعض الرفاق المساومة مع المتسللين للحصول على المال من أجل خفض سعر فك تشفير البيانات. لا أعرف مدى واقعية خفضهم للسعر وما إذا كانوا قد خفضوه على الإطلاق ، فربما يكونون مجرد رشوة يأخذون منك المال ويغسلونه. على الأرجح سيكون الأمر كذلك. بشكل عام ، اتضح أن الإجرام محض. حتى الحكومة لا تدفع للإرهابيين بل على فاتورة الحياة. انت صاحب القرار. اكتب إذا حدث أي شيء.

    • Kaspersky و drweb وأنواع مكافحة الفيروسات الأخرى في مكافحة vault ransomware

  • ولكن ما الذي يمكن أن تقدمه لنا مضادات الفيروسات في مكافحة هذه الآفة المشفرة؟ شخصيًا ، لقد شاهدت إصابة بفيروس على أجهزة كمبيوتر مثبت عليها إصدار مرخص ومُحدَّث بالكامل من Kaspersky. لم يتفاعل بأي شكل من الأشكال مع إطلاق برنامج الفدية. كان ذلك في بداية مايو 2015. ربما تغير شيء ما بالفعل ، ولكن في وقت بحثي عن معلومات حول هذه المشكلة ، لم يضمن أي من الفيروسات حماية المستخدم من مثل هذه التهديدات. قرأت منتديات برامج مكافحة الفيروسات الشهيرة - Kaspersky و DrWeb وغيرها. هز كتفي في كل مكان. إذا عُرض عليك تنزيل أداة مساعدة أخرى لا تعرفها ، فما الذي تريد فك تشفير الملفات. لا تفعل هذا ، فعلى الأرجح ستصاب بفيروس آخر.

    • طرق الحماية من فيروس Vault

  • لا توجد طرق حماية خاصة من هذا الفيروس ، هناك فقط طرق مقبولة بشكل عام لجميع الفيروسات.
  • لا تقم بتشغيل تطبيقات غير مألوفة ، لا في البريد ولا يتم تنزيلها من الإنترنت. حاول ألا تقوم بتنزيل أو تشغيل أي شيء من الإنترنت على الإطلاق. يوجد الآن الكثير من كل أنواع الأشياء السيئة الموجودة في ملفات القمامة بحيث يكاد يكون من المستحيل الدفاع عنها دون فهم مناسب. اطلب من أحد معارفك المختصين أن يجد شيئًا ما لك على الإنترنت واشكره على ذلك.
  • احتفظ دائمًا بنسخة احتياطية من البيانات المهمة. علاوة على ذلك ، تحتاج إلى تخزينه بشكل منفصل عن جهاز الكمبيوتر أو الشبكة. احتفظ بوحدة تخزين USB منفصلة أو خارجية HDDللنسخ الأرشيفية. قم بتوصيلها بجهاز الكمبيوتر الخاص بك مرة واحدة في الأسبوع ، وانسخ الملفات ، وافصلها ولا تستخدمها مرة أخرى. للاحتياجات اليومية ، قم بشراء أجهزة منفصلة ، الآن أصبحت ميسورة التكلفة للغاية ، لا تقم بحفظها. في العصر الحديث تقنيات المعلوماتالمعلومات هي المورد الأكثر قيمة ، والأكثر أهمية من الوسائط. من الأفضل شراء محرك أقراص USB إضافي بدلاً من فقد البيانات المهمة.
  • حسّن فهمك للعمليات التي تحدث في الكمبيوتر. الآن دخلت أجهزة الكمبيوتر والأجهزة اللوحية وأجهزة الكمبيوتر المحمولة والهواتف الذكية حياتنا بإحكام شديد لدرجة أن عدم القدرة على فهمها يعني التخلف عن إيقاع الحياة الحديث. لا يوجد برنامج مكافحة فيروسات ومتخصص يمكنه حماية بياناتك إذا لم تتعلم كيفية القيام بذلك بنفسك. خذ الوقت الكافي لقراءة المقالات المميزة حول هذا الموضوع أمن المعلومات، أخذ الدورات المناسبة ، وتحسين الخاص بك محو الأمية الحاسوبية... سيكون بالتأكيد مفيدًا في الحياة العصرية.

    • ظهر برنامج الفدية VAULT لأول مرة في روسيا في فبراير 2015 ، واكتسب شهرة واحدة من أخطروالفيروسات المستعصية. في نوفمبر ، بدأت موجة ثانية من الإصابات كانت ذات طبيعة أكثر كثافة. الموجة الثالثة تحدث في منتصف يناير 2016. ويتفوق على السابقة في عدد الأجهزة المصابة.

    ما هو فيروس VAULT ransomware؟

    فيروس VAULT هو شكل من أشكال برنامج التشفير حصان طروادة.

    من خلال اختراق جهاز الكمبيوتر باستخدام إجراءات المستخدم ، يقوم البرنامج بتشفير نوع معين من البيانات بعشرات من الخوارزميات بنمط فريد.

    لا يتم حذف البيانات الأصلية ، بل يتم استبدالها بأخرى تالفة ، مما يجعل إمكانية استعادتها شبه مستحيلة.

    المفتاح ، الذي يجعل من الممكن فك تشفير المعلومات ، يتم حذفه تلقائيًا من النظام في نهاية التشفير.

    هدف المهاجمين هو ابتزاز الأموال مقابل فك تشفير البيانات. حتى في هذه الحالة ، لا يتجاوز احتمال فك تشفير الملف 50٪.

    مثال على جهاز كمبيوتر مصاب بفيروس VAULT: طلب للحصول على وثائق أولية من الطرف المقابل يصل إلى بريد إلكتروني يعمل ، أو إشعار حول الحاجة إلى تثبيت حزمة تحديث من ConsultantPlus. مرفق بالرسالة ملف يحتوي على معلومات توضيحية. بمجرد بدء تشغيل الملفات القابلة للتنفيذ والملفات المساعدة ، تبدأ عملية تشفير البيانات.

    ما هي الملفات التي يشفرها VAULT؟

    يهتم المهاجمون بالمعلومات التجارية ، بالإضافة إلى مواد الصور والصوت والفيديو. وبالتالي ، تتعرض ملفات الامتدادات التالية للهجوم: .rar ، .zip ، .jpg ، .psd ، .doc ، .xls ، .ppt ، .pdf ، .mp3 ، .ogg ، .avi ، .mpeg ، .html ، .txt ، وقواعد بيانات 1C ، وما إلى ذلك.

    عندما يصاب جهاز كمبيوتر ، أ مستند نصيمع جهات اتصال المحتالين. تتراوح تكلفة فك تشفير البيانات من 10 دولارات إلى 50000 دولار. يقدر المحتالون التكلفة بعد اتصال المستخدم. مقدار الفدية يعتمد على كمية المعلومات المشفرة. في الوقت نفسه ، ليس هناك ما يضمن استعادة البيانات جزئيًا على الأقل.

    كيف تحمي حاسوبك من مشفر VAULT؟

    في معظم الحالات ، تحدث الإصابة في حالة عدم وجود برنامج مكافحة فيروسات على الكمبيوتر ، أو في حالة حدوث ذلك نسخة مجانيةتشغيل. الأقل موثوقية ، في رأينا ، هو مضاد الفيروسات Avast.

    ومع ذلك ، غالبًا ما يصبح مالكو حزمة برامج مكافحة الفيروسات المرخصة ، بما في ذلك إصدارات الشركات ، ضحايا.

    طور متخصصون في أمن تكنولوجيا المعلومات من ESET و Dr.Web مجموعة من التوصيات العالميةالتي تساعد على حماية جهاز الكمبيوتر أو الكمبيوتر المحمول من فيروسات VAULT وأحصنة طروادة الفدية المشابهة:

      قم بتثبيت تحديثات نظام التشغيل الهامة في الوقت المناسب

      اختر برنامج مكافحة فيروسات بجدار حماية مدمج

      تعطيل الإرسال والاستقبال الملفات القابلة للتنفيذ(.exe) على خادم البريد

      منع تنفيذ وحدات الماكرو في مايكروسوفت أوفيسأو برامج مشابهة

      ممارسة الرياضة بانتظام دعمالبيانات

      تكرار المعلومات الهامة لوسائل الإعلام الخارجية

    كيفية إزالة VAULT من الكمبيوتر؟

    تشغيل هذه اللحظةعدوى فيروس VAULT وتشفير البيانات يتم لمرة واحدة ولا يستلزم إصابة ملفات النظام. وبالتالي ، فإن المسح باستخدام الأداة المساعدة Dr.Web CureIt يكفي لإزالة الفيروس من النظام. ومع ذلك ، يجب أن تتذكر أن محاولات علاج الملفات المصابة أو حذفها ، وكذلك إعادة تثبيت Windows ، ستبطل القدرة على استعادة البيانات المشفرة.

    أي أنه لا يوجد شيء صعب في إزالة الفيروس إذا كنت مستعدًا للتخلي عن المعلومات المشفرة إلى الأبد ، أو إذا كان لديك النسخ الاحتياطيةعلى وسائل الإعلام الخارجية.

    كيف تسترجع ملفات VAULT؟

    حالما اكتشفت العدوى لقد رأينا رموز ملفات متغيرة ونوعًا جديدًا من الامتدادات ، على سبيل المثال ، doc.vault، قم بإغلاق جهاز الكمبيوتر أو الكمبيوتر المحمول على الفور. كلما طالت مدة تشغيله ، زاد عدد الملفات التي تفقدها.

    دعنا نكرر: فحص القرص باستخدام أحد برامج مكافحة الفيروسات وتنظيف الملفات وإعادة تثبيت النظام والأدوات القياسية الأخرى لن يؤدي إلا إلى تقليل احتمالية فك تشفير البيانات.

    لا أحد من المطورينلا يزال برنامج مكافحة الفيروسات غير قادر على إنشاء أداة لفك تشفير المعلومات المعرضة لـ VAULT.

    يتم تدمير نقاط استعادة النظام بواسطة فيروس. هناك فرصة لاستعادة Windows من النسخ الاحتياطية باستخدام الأداة المساعدة Shadow Editor عند العمل مع Windows Vista / 7/8/10. ولكن في معظم الحالات ، تختفي أيضًا النسخ الاحتياطية.

    إذا كان لديك منتج مرخص NOD32 أو Dr.Web ، فيمكنك الاتصال بهم دعم فنيمع طلب فك تشفير البيانات.

    بالإضافة إلى ذلك ، يوصي الخبراء بالاتصال بالشرطة مع بيان ، حيث تظهر أفعال المهاجمين علامات الجرائم بموجب الفن. فن. 159.6 ، 163 ، 165 ، 272 ، 273 من القانون الجنائي للاتحاد الروسي.

    يتم تقليل النتيجة العملية لمثل هذه الإجراءات إلى الصفر. الحقيقة هي أنه لا توجد طريقة لاستعادة الملفات المشفرة بواسطة VAULT حتى الآن. بقايا السبيل الوحيد للخروج : قم فعليًا بإزالة قرص HDD أو SSD من الجهاز وتثبيت قرص جديد. ربما ، قريبًا ستكون هناك طريقة لفك تشفير المعلومات ومن ثم يمكن استعادة البيانات.

    عدوى فيروسية يتم تشفير ملفات Vault

    يحصل المستخدم أولاً خطاب مع رسالة حول البيان من الضريبة / عداد المياه / فاتورة مفتاح الاستشاري.
    احتوت الخطاب على رابط للملف المرفق من المصدر download-attach.com... (يبدو أن الاستضافة يتم الدفع مقابلها باستخدام البيتكوين) في الأرشيف الموجود في هذا الرابط ، الأكثر إثارة للاهتمام هو ملف غامض js، باسم مفصل للغاية.
    عندما تقوم بتشغيله في مستخدم٪ TEMPتظهر عدة ملفات ويتم كتابة برنامج نصي لبدء التشغيل revault.js

    فيما يلي بعض الملفات التي تم تحديدها:
    ملف Svchost.exe - ثنائي gnupg الرئيسي
    iconv.dll - مكتبة مشتركة لتشغيل gnupg
    audiodg.exe - الحذف من مجموعة Sysinternals

    إعدام الفيروس يتم تشفير ملفات Vault

    في حالتنا ، عندما تم تشغيل الكمبيوتر ، تم تشغيل البرنامج النصي revault.js ، والذي أطلق ملف cryptlist.cmd bat. هنا ضاع خيط صغير
    ثم بدأت تأمين. باتكل أحلك الأشياء تحدث فيه.
    أولاً ، يقوم البرنامج بإنشاء شهادة لتشفير الملفات على جهاز كمبيوتر يسمى gk.vlt (Cellar / RSA / 1024 بت)
    ثم يقوم بتصدير المفتاح الخاص منه ، وهو مطلوب لفك تشفير الملفات ، إلى ملف vaultkey.vlt
    ثم يقوم بإنشاء مفتاح عمومي pk.vlt ، يتم تحديده مسبقًا في ملف الخفافيش نفسه. بمساعدة هذا الملف ، سيتم تشفير المفتاح المطلوب لفك تشفير بياناتك في المستقبل.

    مزيد في vaultkey.vlt مكتوبة
    BDATE - التاريخ الحالي
    UNAME - اسم المستخدم الحالي
    CNAME - اسم الكمبيوتر
    ULANG - لغة النظام (في هذه الحالة ، يتم تسجيلها في RU)
    وبعض التجزئات العشوائية 01HSH 02HSH 03HSH 04HSH 05HSH FHASH

    تشفير الفيروسات يتم تشفير ملفات Vault

    يبدو تشفير الملف مع الاستبدال بهذا الشكل
    1 - تشفير الملفات
    2 - نقل الملف المشفر إلى مكانه الأصلي
    3 - إضافة امتداد .vault إلى الملف

    في المرحلة الأولى ، يتم تشفير * .xls و *. ملفات doc.
    في المرحلة الثانية ، يتم إنشاء وتشغيل الملفات win.vbs و sdwrase.js و sdwrase.cmd ، مما يؤدي إلى تعطيل النسخ الاحتياطي في النظام إذا كان النظام هو Vista أو أعلى
    و * .pdf * مشفرة. rtf.
    في المرحلة الثالثة ، يتم تشفير ملفات * .psd * .dwg *. ملفات cdr.
    في المرحلة الرابعة ، يتم تشفير ملفات * .cd * .mdb * .1cd * .dbf * .sqlite.
    في المرحلة الخامسة ، يتم تشفير ملفات * .jpg * .zip.

    يتم حساب كل ملف ، ثم يتم تسجيل عدد الملفات المشفرة لكل نوع ملف في vaultkey.vlt
    (على ما يبدو لتقييم عام للبيانات المشفرة)

    بعد ذلك ، يقوم مفتاح المهاجم بتشفير مفتاحك الخاص والمعلومات التي تم جمعها حول كمية البيانات.
    بعد ذلك ، يتم حذف مفتاحك المطلوب لفك تشفير البيانات مع إعادة كتابة 16 (!) أضعاف.

    يتم تشفير ملفاتك بمفتاحك ، ويتم تشفير مفتاحك بمفتاح المهاجم.

    ثم يتم إنشاء الملفات مع الإخطارات.

    موقع الفيروس يتم تشفير ملفات Vault

    يتم استضافة موقع مجرمي الإنترنت في شبكة TOR المجهولة وهو ذو تقنية عالية لهذا النوع من "المشاريع"
    هناك كامل الأهلية المساحة الشخصيةو "نسخة تجريبية" لثلاثة ملفات ، والتي من جانب المهاجم يفك تشفير الملف الذي قمت بتنزيله وتنزيله من الخادم الخاص به. ولكن ، قبل فتح الوصول إلى الملف ، سيعرضه متطفل يدويًا وإذا اعتبر الملف مهمًا ، فلن تتمكن من الوصول إلى الموضوع ، وسيتم إعلامك بهذا الأمر.

    حتى أن هناك قسم المساعدة.

    الدفع فقط بعملة البيتكوين.
    يمكنك أيضا التحدث إلى المؤلف. الإقناع والتهديد عديم الجدوى. يمكن للمهاجم منع قدرتك على الدردشة.

    كلمات المرور من المتصفحات - تقنية لسرقة كلمات المرور من المتصفحات عند وجود فيروس مصاب يتم تشفير ملفات Vaultالحاسوب

    بعد إنشاء الملفات مع الإخطارات ، هناك "مكافأة"
    يتم إنشاء البرامج النصية ultra.js و up.vbs.
    يقوم أول واحد بتنزيل الملف من بوابة tor2web باستخدام الرابط hxxp _ // tj2es2lrxelpknfp.onion.city/p.vlt وإعادة تسميته إلى ssl.exe
    هذا هو Browser Password Dump v2.6 بواسطة SecurityXploded
    يحفظ جميع كلمات المرور الخاصة بك من المتصفحات إلى ملف cookie.vlt
    بعد ذلك ، يبدأ الملف الثاني في تحميل كلمات المرور الخاصة بك على نفس الخادم (POST إلى البرنامج النصي /x.php)
    هذا الخادم مجهول الهوية بنفس طريقة الخادم للاسترداد والدفع (لا شيء إضافي في الرؤوس ، الخادم: خط مجهول)



    لم تجد إجابة لسؤالك؟ إنظر الى هنا
    أمثلة على وظيفة jQuery setTimeout () تمنع Javascript عدة مؤقتات من تشغيل setinterval في نفس الوقتأمثلة على وظيفة jQuery setTimeout () تمنع Javascript عدة مؤقتات من تشغيل setinterval في نفس الوقت
    دوائر راديو الهواة DIY والمنتجات محلية الصنعدوائر راديو الهواة DIY والمنتجات محلية الصنع
    قم بقص نص أحادي أو متعدد الأسطر في ارتفاع مع إضافة علامات الحذف مع إضافة تدرج إلى النصقم بقص نص أحادي أو متعدد الأسطر في ارتفاع مع إضافة علامات الحذف مع إضافة تدرج إلى النص