Počítače Okna Internet
Rozšířit
Domov

Vault virus jak obnovit soubory windows xp. Jak sami obnovit soubory po viru Vault. Vault Virus - Co dělat

Antiviroví specialisté Doctor Web vyvinuli metodu pro dešifrování souborů, které se staly nepřístupnými v důsledku činnosti nebezpečného trojského kodéru. Trojan.Encoder.2843 uživatelům známý jako „Vault“.

Tato verze ransomwaru, pojmenovaná Dr.Web Trojan.Encoder.2843, aktivně šíří kyberzločinci pomocí hromadných mailing listů. Jako příloha k písmenům se používá malý soubor obsahující skript v JavaScriptu. Tento soubor je ze sebe extrahován aplikací, která provádí zbytek akcí nezbytných pro zajištění činnosti kodéru. Tato verze ransomwarového trojského koně je distribuována od 2. listopadu 2015.

Jak tohle malware taky docela zvědavý. Do systému registru systému Windows je zapsána šifrovaná dynamická knihovna (.DLL) a trojský kůň vloží malý kód do běžícího procesu explorer.exe, který načte soubor z registru do paměti, dešifruje jej a předá mu kontrolu.

Seznam zašifrovaných souborů Trojan.Encoder.2843 také skladuje v systémový registr a pro každý z nich používá jedinečný klíč skládající se z velkých latinských písmen. Soubory jsou šifrovány pomocí algoritmů Blowfish-ECB, klíč relace je šifrován pomocí RSA pomocí rozhraní CryptoAPI. Každému zašifrovanému souboru je přiřazena přípona .vault.

Specialisté Doctor Web vyvinuli speciální techniku, která v mnoha případech umožňuje dešifrování souborů poškozených tímto trojským koněm. Pokud jste obětí malwaru Trojan.Encoder.2843, použijte následující pokyny:

  • kontaktovat policii s odpovídajícím prohlášením;
  • za žádných okolností se nepokoušejte znovu nainstalovat operační systém, "Optimalizovat" nebo "vyčistit" pomocí jakýchkoli nástrojů;
  • nemažte žádné soubory v počítači;
  • nepokoušejte se obnovit zašifrované soubory sami;
  • kontaktujte technickou podporu Doctor Web (tato služba je zdarma pro uživatele komerčních licencí Dr.Web);
  • Připojte k lístku jakýkoli soubor zašifrovaný trojským koněm;
  • počkejte na odpověď specialisty technické podpory; vzhledem k velkému počtu požadavků to může chvíli trvat.

Připomínáme, že služby dešifrování souborů jsou poskytovány pouze držitelům komerčních licencí na antivirové produkty Dr.Web. Doctor Web nezaručuje, že všechny soubory poškozené kodérem budou dešifrovány, ale naši specialisté se budou snažit zašifrované informace zachránit.

Náš článek je věnován dalšímu „majstrštyku“ hackerů – viru ransomware Vault. Řekneme vám, jaký druh viru Vault je a jak ovlivňuje systém. Podívejme se na možnosti, ve kterých můžete obnovit soubory.

Vault Virus – co dělat?!

Jednoho „krásného“ dne jste otevřeli plochu a uviděli běžící notebook s následujícím textem:

Na základě toho je jasné – stali jste se „nešťastným vlastníkem“ viru Vault. Tento virus infikuje váš počítač a začne šifrovat vaše soubory. Takto spadají do šifrování soubory s příponami .pdf, .doc, .docx, .xls, .xlsx, .jpeg, .zip atd. Po spuštění viru se k názvu souboru přidá přípona .vault. Virus také v některých případech ovlivňuje místní databáze 1C. Jak vidíte, trezor šifruje všechny dokumenty oblíbené pro práci.

Možná se ptáte: Jak se trezor dostal do mého počítače? Všechno je tak snadné jako loupání hrušek, které vám útočníci poslali e-mailem dopis. Název dopisu vypovídal o jeho důležitosti a naléhavé potřebě jej otevřít a přečíst. Může to být dopis od banky, partnerů nebo nějaká lukrativní nabídka. V tomto dopise byl přiložen dokument s příponou .js (Java skript).

Po spuštění (a vy jste jej spustili!) Toto rozšíření viru stáhne šifrovací program ze serverů hackerů. Ve vašem případě je Vault ransomware virus legitimní kryptografický software GPG (GnuPG) pomocí populárního šifrovacího algoritmu rsa-1024. Program není virus, proto jej antiviry neblokují a umožňují jeho fungování. GPG generuje veřejné (na vašem PC) a soukromé (na útočníkově serveru) šifrovací klíče.

Existuje mnoho modifikací viru Vault, například pro Windows 7/8, 32bitové nebo 64bitové systémy. A když se virus dostane do každého, chová se svým vlastním způsobem. Virus také dokáže zašifrovat počítače ve stejné síti jako váš.

Jak odstranit virus Vault z počítače?

Virus se chová tak, že se ve složce se zdrojovým souborem vytvoří soubor podobný příponě .pg. Dále tento soubor vstane, nahradí původní soubor a přidá příponu úložiště. Jednoduchým přejmenováním dokumentu se zde nezbavíte. Proto pojďme zjistit, jak obnovit soubory a odstranit virus trezoru.

Odstranění samotného viru

Jakmile na dokumentech najdete příponu trezoru, okamžitě odpojte síť a přestaňte pracovat se všemi aplikacemi, neotevírejte znovu složky na discích. Přihlásit se s bezpečný režim.

Pokud jde o odstranění, virus Vault není náročný. Odstranění není obtížné, k odstranění takových virů, scramblerů, bannerových reklam, trojských koní použijte nejoblíbenější programy. Ale problémy budou pokračovat :(.

Co potřebujete vědět je, že samotné tělo viru je skryto ve složce Temp. Virus se skládá z následujících souborů:

  • 3c21b8d9.cmd;
  • fabac41c.js;
  • VAULT.txt;
  • Sdc0.bat;
  • SKLEP.KLÍČ;
  • CONFIRMATION.KEY.

Všechny tyto soubory, kromě posledních dvou (!), musí být smazány. Dále spusťte čistič, vymažte spouštění, zkontrolujte registr na chyby (u Windows 7/8/10 je princip stejný). Poslední 2 soubory je třeba ponechat v počítači, protože:

  1. VAULT.KEY - samotný šifrovací klíč. V žádném případě se nesmí smazat! Je předán útočníkům, kteří jej analyzují, dají vám druhou část klíče k dešifrování.
  2. CONFIRMATION.KEY - soubor s kompletní informace o počtu zašifrovaných souborů v PC. je také nezbytný pro hackery.

Obnovte soubory s příponou .vault zdarma

Tím jsme došli k nejhorší věci – soubory zůstaly zašifrované. Pro virus trezoru neexistují žádné bezplatné dešifrovače. Pouze původní program sám dokáže dešifrovat soubory pomocí klíče rsa-1024.

Jaké jsou způsoby obnovení souborů:


Pokud jste v Koších nic nenašli a nejsou tam žádné body obnovení systému, pak budete muset zaplatit kyberzločincům. S tím se nedá nic dělat. Z analýzy dialogů na fórech vyplývá závěr - že útočníci skutečně dešifrují soubory, ale musíte za to zaplatit. Pokud by to nebyla pravda, ústní sdělení na internetu by to už dávno šířilo a lidi by k tomu nevedli. Je třeba chápat, že se jedná o celý "obchodní systém" - jste chyceni, nyní zaplatíte a vše bude v pořádku.

Došlo to tak daleko, že na internetu už jsou superagenti! Tedy prostředníky, kteří za vás budou kontaktovat útočníky a vyřešit všechny vaše problémy. Je na vás, zda to uděláte nebo ne. Pokud to nechcete dělat sami, zaplaťte více.

Podle pokynů z textového souboru spustíte prohlížeč Tor (konkrétně pro mazání IP), poté budete přesměrováni na stránky jednoho ze stránek kyberzločinců. Existuje manuál pro práci se stránkou a dokonce i systém slev :(.

A co antivirus?

Bohužel, jak je uvedeno výše, antivirový software Dr Web, Kaspersky, Avast a další nemohou nic dělat. Koneckonců, program sám o sobě není virus. Oficiální požadavky na technickou podporu Kaspersky Lab končí podrobnými příběhy o trezoru a nabídkami k použití jejich dekodérů RannohDecryptor, ScatterDecryptor, Rector Decryptor, RakhniDecryptor nebo Xorist Decryptor. Doctor Web obecně radí v případě neoprávněného přístupu k počítači kontaktovat policii. No, díky doktore.

Jak vidíte, možností není mnoho a pokud jsou pro vás soubory opravdu důležité, budete muset zaplatit. S tím se také nedá tahat, servery s databázemi a weby se neustále přesouvají - staré se mažou a objevují se nové.

A zde je krátké video, kde můžete vidět, jak virus Vault ovlivňuje systém. Toto video není reklama :).

  1. S největší pravděpodobností se potýkáte s takovým problémem, jako je šifrování souborů, a tedy bez vašeho vědomí touha. Otevřením odkazu v dopise, který vám přišel poštou a nejspíš od ověřeného odesílatele, se kterým jste si již dopisovali. Ale možná jako reklama! Ale skutečnost je na vaší tváři a máte následující příznaky, které se projevují následovně:

    2. Najednou se v poznámkovém bloku otevře textový soubor s následujícím obsahem:

    1. Vaše pracovní dokumenty a databáze byly uzamčeny a označeny ve formátu .vаult
    2. Chcete-li je obnovit, musíte získat jedinečný klíč
    3. POSTUP PRO ZÍSKÁNÍ KLÍČE:
    4. KRÁTCE
    5. 1. Přejděte na náš webový zdroj
    6. 2. Získejte zaručený klíč
    7. 3. Obnovte soubory do jejich předchozí podoby
    8. DETAILNÍ
    9. Krok 1:
    10. Stáhněte si prohlížeč Tor z oficiálních stránek:
      11. https://www.torproject.org
    11. Krok 2:
    12. Pomocí prohlížeče Tor navštivte web:
      13. https://restoredz4xpmuqr.onion
    13. Krok 3:
    14. Najděte svůj jedinečný klíč VAULT.KEY na svém počítači – toto je váš klíč k vašemu osobnímu klientskému panelu. Neodstraňujte to
    15. Přihlaste se na stránku pomocí VAULT.KEY
    16. Přejděte do sekce FAQ a přečtěte si další postup
    17. KROK 4:
    18. Po obdržení klíče můžete obnovit soubory pomocí našeho softwaru s otevřeným zdrojovým kódem zdrojový kód nebo je bezpečné používat váš software
    19. DODATEČNĚ
    20. a) Nebudete moci obnovit soubory bez jedinečného klíče (který je bezpečně uložen na našem serveru)
    21. b) Pokud nemůžete najít svůj VAULT.KEY, podívejte se do dočasné složky TEMP
    22. c) Vaše náklady na obnovu nejsou konečné, napište do chatu
    23. Datum blokování: 4. 8. 2015 (11:14)
  2. Podle vašeho uvážení. Můžete udělat, jak je uvedeno v souboru (ale já bych to neudělal). Proč? Protože to není spolehlivé, platit vyděračům je udržovat a rozvíjet jejich sílu. A pak, vryatli, dostanete dešifrovací klíč.
  3. Objevení se takové zprávy již znamená, že virus trezoru infikoval váš počítač a začal šifrovat soubory. V tomto okamžiku musíte okamžitě vypnout počítač, odpojit jej od sítě a odstranit vše vyměnitelné médium... O tom, jak virus léčit, si povíme později, ale zatím vám řeknu, co se stalo ve vašem systému.
  4. S největší pravděpodobností jste obdrželi dopis poštou od důvěryhodné protistrany nebo jste se za něj vydávali slavná organizace... Může to být žádost o provedení účetního odsouhlasení za určité období, žádost o potvrzení platby faktury na základě smlouvy, nabídka seznámit se s dluhem z úvěru u Sberbank nebo něco jiného. Informace ale budou takové, že vás jistě zaujmou a otevřete přílohu emailu s virem. Toto je výpočet.
  5. Takže otevřete přílohu, která má příponu .js a je to skript Java. Teoreticky by vás to již mělo upozornit a zabránit vám v otevření, ale pokud čtete tyto řádky, znamená to, že to neupozornilo a nezastavilo vás. Skript stáhne trojského koně nebo trezor s bannery ze serveru útočníka, jak to lze v tomto případě nazvat, a šifrovací program. Umístí to vše do dočasného adresáře uživatele. A proces šifrování souborů okamžitě začíná na všech místech, kam má uživatel přístup - síťové disky, flash disky, externí pevné disky atd.
  6. Vault ransomware je bezplatný nástroj pro šifrování gpg a oblíbený šifrovací algoritmus - RSA-1024. Vzhledem k tomu, že se tato utilita v podstatě používá na mnoha místech, není sama o sobě virem, antiviry ji propouštějí a neblokují její práci. Otevřený a soukromý klíč k šifrování souborů. Soukromý klíč zůstává na serveru hackerů a je otevřen na počítači uživatele.
  7. Po zahájení procesu šifrování uplyne nějaký čas. Záleží na více faktorech – rychlosti přístupu k souborům, výkonu počítače. Poté se objeví informační zpráva textový soubor, jehož obsah jsem uvedl hned na začátku. V tomto okamžiku jsou některé informace již zašifrovány.
  8. Konkrétně jsem narazil na modifikaci viru vault, který fungoval pouze na 32bitových systémech. Navíc ve Windows 7 s povoleným UAC vyskočí požadavek na heslo správce. Bez zadání hesla nemůže virus nic dělat. Na Windows XP začne fungovat ihned po otevření souboru z pošty, neptá se na nic.

    9. Virus umístí příponu trezoru na soubory doc, jpg, xls a další

  9. Co přesně virus se soubory dělá? Na první pohled to vypadá, že jen změní příponu ze standardní na .vault. Když jsem poprvé viděl fungování tohoto ransomwarového viru, myslel jsem si, že jde o dětskou kabeláž. Soubor jsem zpětně přejmenoval a byl jsem velmi překvapen, když se neotevřel podle očekávání a místo zamýšleného obsahu se otevřela změť nesrozumitelných znaků. Pak jsem si uvědomil, že všechno není tak jednoduché, začal jsem chápat a hledat informace.
  10. Virus zkontroloval všechny oblíbené typy souborů - doc, docx, xls, xlsx, jpeg, pdf a další. Ke standardnímu názvu souboru byla přidána nová přípona .vault. Pro některé také šifruje soubory s místními databázemi 1C. Takový jsem neměl, takže jsem toto osobně nepozoroval. Pouhé přejmenování souboru zpět, jak chápete, zde nepomůže.
  11. Protože proces šifrování není okamžitý, může se stát, že když zjistíte, že máte v počítači virus, některé soubory budou stále normální a některé infikované. Je dobré, když většina z toho zůstane nedotčená. Ale častěji se s tím nedá počítat.
  12. Prozradím vám, co se skrývá za změnou prodloužení. Po zašifrování například souboru.doc vedle něj vytvoří virus trezoru zašifrovaný soubor.doc.gpg, poté se zašifrovaný soubor.doc.gpg přesune do původního umístění s novým názvem soubor.doc a teprve poté se přejmenuje na soubor.doc.vault. Ukázalo se, že původní soubor není smazán, ale přepsán zašifrovaným dokumentem. Poté jej nelze obnovit pomocí standardních nástrojů pro obnovu. smazané soubory... Zde je část kódu, který implementuje tuto funkci:

    13. dir / B "% 1:" && for / r "% 1:" %% i in (* .xls * .doc) do (echo "%% TeMp %% \ svchost.exe" -r Sklep --yes - q --no-verbose --trust-model always --encrypt-files "%% i" ^ & move / y "%% i.gpg" "%% i" ^ & přejmenovat "%% i" "%% ~ nxi.vault ">>"% temp% \ cryptlist.lst "echo %% i >>"% temp% \ conf.list ")

    Jak odstranit virus trezoru a vyléčit počítač

  13. Po detekci ransomwarového viru je prvním krokem zbavit se ho vyléčením počítače. Nejlepší je bootovat z nějakého spouštěcí disk a ručně vyčistit systém. Virový trezor z hlediska korozivnosti systému není náročný, je snadné jej sami vyčistit. Nebudu se tímto bodem podrobně zabývat, protože budou stačit standardní doporučení pro odstranění ransomwarových virů, bannerů a trojských koní.
  14. Vlastní tělo viru se nachází v dočasné složce uživatele, který jej spustil. Virus se skládá z následujících souborů. Názvy se mohou změnit, ale struktura bude přibližně stejná:
  • 3c21b8d9.cmd
  • 04fba9ba_VAULT.KEY
  • CONFIRMATION.KEY
  • fabac41c.js
  • Sdc0.bat
  • KLÍČ
  • VAULT.txt
  • VAULT.KEY - šifrovací klíč. Pokud chcete dešifrovat svá data, nezapomeňte si tento soubor uložit. Ten je předán útočníkům a na jeho základě vám dají druhý klíčový pár, s jehož pomocí dojde k dešifrování. Pokud se tento soubor ztratí, nebude možné obnovit data ani za peníze.
  • CONFIRMATION.KEY - obsahuje informace o zašifrovaných souborech. Zločinci ho požádají, aby vypočítal, kolik peněz od vás má vzít.
  • Zbytek souborů jsou soubory služeb, lze je smazat. Po smazání je potřeba vyčistit spouštění, aby tam nebyly odkazy na smazané soubory a žádné chyby při spouštění. Nyní můžete spustit počítač a posoudit rozsah tragédie.

    • Jak obnovit a dešifrovat soubory po viru trezoru

  • Dostáváme se tedy k tomu nejdůležitějšímu. Jak získáme naše informace zpět. Vyléčili jsme počítač, co jsme mohli obnovit prolomením šifrování. Nyní se musíme pokusit soubory dešifrovat. Nejjednodušší a nejžádanější by samozřejmě bylo pořídit si pro dešifrování hotový dekodér, ten ale neexistuje. Bohužel je technicky nemožné vytvořit nástroj pro dešifrování dat zašifrovaných klíčem RSA-1024 / Takže zde bohužel není příliš mnoho možností:
  • Máte velké štěstí, pokud máte povolenou ochranu systému. Je součástí každého disku zvlášť. Pokud se tak stalo, můžete použít nástroj pro obnovu předchozí verze soubory a složky. Nachází se ve vlastnostech souboru. Další podrobnosti můžete vyhledat na internetu, článků o tomto nástroji pro obnovu je dost.
  • Pokud máte zašifrované soubory na síťové disky, vyhledejte záložní kopie, zkontrolujte, zda je na těchto discích povolen koš, budou tam vaše zdrojové soubory. Ačkoli to není standardní na síťových discích, lze jej konfigurovat samostatně. Nejčastěji to dělám při zakládání síťových kuliček. Nezapomeňte, pokud máte zálohy místních dat.
  • Pokud máte poškozená data ve složkách, které jsou připojeny k datovým úložištím na internetu, jako je Yandex. Disk, Dropbox, Google disk, podívej se na ně do koše, tam by měly být původní soubory před šifrováním.
  • Pokuste se najít soubor secring.gpg Tento soubor musí být vytvořen na vašem počítači (obvykle v % TEMP % uživatele) v době zahájení procesu šifrování. Pravděpodobnost úspěšného hledání secring.gpg je bohužel nízká, protože šifrátor tento klíč pečlivě přepíše pomocí nástroje sdelete.exe:

    • "% temp% \ sdelete.exe" / accepteula -p 4 -q "% temp% \ secring.gpg"

  • Restartování šifrovače za účelem získání tohoto klíče nepomůže. Klíč bude vytvořen s jiným otiskem prstu a ID a nebude vhodný pro dešifrování vašich dokumentů. Zkuste tento klíč vyhledat mezi smazanými soubory, ale ujistěte se, že máte nenulovou velikost ~ 1 kb.
  • Pokud vám nic z výše uvedeného nepomohlo a informace jsou velmi důležité, máte jedinou možnost – zaplatit peníze tvůrcům viru. Ale jak jsem psal výše, já osobně bych ne. Vault virus je tak populární, že se na síti objevily reklamy, kde někteří soudruzi nabízejí vyjednávání s hackery o peníze, aby snížili cenu dešifrování dat. Nevím, jak reálně srazí cenu a jestli ji vůbec srazí, možná jsou to jen úplatkáři, kteří z vás vezmou peníze a smyjí. Že to tak nejspíš bude. Obecně se ukazuje, že jde o čistou kriminalitu. Ani vláda neplatí teroristy, ale na doživotí. Vy rozhodnete. Napiš jestli můžeš.

    • Kaspersky, drweb a další antiviry v boji proti vault ransomwaru

  • Co nám ale mohou antiviry nabídnout v boji s touto zašifrovanou metlou? Osobně jsem byl svědkem virové infekce na počítačích s nainstalovanou a plně aktualizovanou licencovanou verzí Kaspersky. Na spuštění ransomwaru nijak nereagoval. Bylo to začátkem května 2015. Možná se již něco změnilo, ale v době mého hledání informací o této problematice žádný z virů nezaručoval ochranu uživatele před takovými hrozbami. Četl jsem fóra populárních antivirů - Kaspersky, DrWeb a další. Všude pokrčit rameny. Pokud vám bude nabídnuto stažení jiného nástroje, který neznáte, co dešifrovat soubory. Nedělejte to, s největší pravděpodobností dostanete další virus.

    • Metody ochrany proti virům Vault

  • Neexistují žádné metody ochrany specificky pro tento virus, existují pouze obecně uznávané metody pro všechny viry.
  • Nespouštějte neznámé aplikace, ani v e-mailu, ani stažené z internetu. Snažte se nestahovat ani nespouštět vůbec nic z internetu. Na popelnicích se nyní povaluje tolik nejrůznějších ošklivých věcí, že je téměř nemožné se před nimi ochránit bez náležitého pochopení. Požádejte kompetentnějšího známého, aby vám něco našel na internetu a poděkujte mu za to.
  • Vždy mějte zálohu důležitých dat. Navíc jej musíte ukládat odpojený od počítače nebo sítě. Uschovejte si samostatný USB klíč nebo externí HDD pro archivní kopie. Připojte je jednou týdně k počítači, zkopírujte soubory, odpojte je a znovu je nepoužívejte. Pro každodenní potřeby si kupujte samostatná zařízení, nyní jsou cenově velmi dostupná, nešetřete. V moderní době informační technologie informace jsou nejcennějším zdrojem, důležitějším než média. Než přijít o důležitá data, je lepší si koupit flash disk navíc.
  • Zlepšete své porozumění procesům probíhajícím v počítači. Počítače, tablety, notebooky, chytré telefony nyní vstoupily do našeho života tak pevně, že neschopnost jim porozumět znamená zaostávání za moderním rytmem života. Žádný antivirus a specialista nemůže ochránit vaše data, pokud se sami nenaučíte, jak na to. Udělejte si čas na přečtení hlavních článků na toto téma informační bezpečnost, chodit na vhodné kurzy, zdokonalovat se počítačová gramotnost... V moderním životě se to určitě bude hodit.

    • Ransomware VAULT se poprvé objevil v Rusku v únoru 2015 a získal si reputaci jeden z nejnebezpečnějších a nevyléčitelné viry. V listopadu začala druhá vlna infekcí, která byla více rozšířeného charakteru. Třetí vlna nastává v polovině ledna 2016. a překonává předchozí v počtu infikovaných zařízení.

    Co je VAULT ransomware virus?

    Virus VAULT je forma trojského koně kodéru.

    Program proniká do počítače pomocí uživatelských akcí a zašifruje určitý typ dat desítkami algoritmů s jedinečným vzorem.

    Původní data nejsou smazána, ale nahrazena daty poškozenými, což téměř znemožňuje možnost jejich obnovy.

    Klíč, který umožňuje dešifrovat informace, je na konci šifrování automaticky odstraněn ze systému.

    Cílem útočníků je vymámit peníze výměnou za dešifrování dat. I v tomto případě pravděpodobnost dešifrování souboru nepřesáhne 50 %.

    Příklad počítače infikovaného virem VAULT: na fungující e-mail přijde požadavek na primární dokumentaci od protistrany nebo upozornění na nutnost instalace aktualizačního balíčku od ConsultantPlus. K dopisu je přiložen soubor s vysvětlujícími informacemi. Jakmile jsou spuštěny spustitelné a podpůrné soubory, začne proces šifrování dat.

    Jaké soubory VAULT šifruje?

    Útočníci se zajímají o komerční informace, ale i fotografie, audio a video materiály. Jsou tedy napadeny soubory s následujícími příponami: .rar, .zip, .jpg, .psd, .doc, .xls, .ppt, .pdf, .mp3, .ogg, .avi, .mpeg, .html, txt, databáze 1C atd.

    Když je počítač infikován, a Textový dokument s kontakty podvodníků. Náklady na dešifrování dat se pohybují od 10 do 50 000 USD. Odhad nákladů provádějí podvodníci poté, co se uživatel dostane do kontaktu. Výše výkupného závisí na množství zašifrovaných informací. Zároveň není zaručeno, že data budou alespoň částečně obnovena.

    Jak chránit svůj počítač před šifrováním VAULT?

    Ve většině případů k infekci dochází, když v počítači není antivirus, nebo když bezplatná verze NA. Nejméně spolehlivý je podle nás antivirus Avast.

    Oběťmi se však často stávají majitelé licencovaného balíku antivirového softwaru, včetně podnikových verzí.

    Specialisté na IT bezpečnost ze společností ESET a Dr.Web vyvinuli soubor univerzálních doporučení které pomáhají chránit váš počítač nebo notebook před virem VAULT a podobnými ransomwarovými trojskými koni:

      Nainstalujte důležité aktualizace operačního systému včas

      zvolte antivirový software s vestavěným firewallem

      zakázat vysílání a příjem spustitelné soubory(.exe) na poštovním serveru

      zakázat spouštění maker v Microsoft Office nebo podobný software

      cvičit pravidělně záloha data

      duplikovat důležité informace na externí média

    Jak odstranit VAULT z počítače?

    Na tento moment Infekce virem VAULT a šifrování dat je jednorázové a nevede k infekci systémových souborů. K odstranění viru ze systému tedy stačí skenování pomocí nástroje Dr.Web CureIt. Měli byste však pamatovat na to, že pokusy o vyléčení nebo odstranění infikovaných souborů, stejně jako přeinstalace systému Windows, zruší možnost obnovit zašifrovaná data.

    To znamená, že při odstraňování viru není nic těžkého, pokud jste připraveni navždy se rozloučit se zašifrovanými informacemi nebo zálohy na externích médiích.

    Jak obnovit soubory VAULT?

    Jakmile vy objevená infekce Viděli jsme změněné ikony souborů a nový typ přípon, například .doc.vault, okamžitě vypněte počítač nebo notebook. Čím déle běží, tím více souborů ztratíte.

    Zopakujme si: skenování disku antivirem, čištění souborů, přeinstalace systému a další standardní nástroje pravděpodobnost dešifrování dat jen sníží.

    Žádný z vývojářů Antivirový software stále nedokázal vytvořit nástroj k dešifrování informací vystavených VAULT.

    Body obnovení systému jsou zničeny virem. Při práci s Windows Vista / 7/8/10 existuje možnost obnovit Windows ze stínových kopií pomocí nástroje Shadow Editor. Ve většině případů ale zmizí i stínové kopie.

    Pokud máte licencovaný produkt NOD32 nebo Dr.Web, můžete je kontaktovat technická podpora s požadavkem na dešifrování dat.

    Kromě toho odborníci doporučují kontaktovat policii s prohlášením, protože jednání útočníků vykazuje znaky trestných činů podle čl. Umění. 159.6, 163, 165, 272, 273 trestního zákoníku Ruské federace.

    Praktický výsledek takového jednání je snížen na nulu. Faktem je, že zatím neexistuje způsob, jak obnovit soubory zašifrované VAULTem. Zůstává jediná cesta ven : fyzicky vyjměte HDD nebo SSD disk ze zařízení a nainstalujte nový. Možná brzy bude existovat způsob, jak dešifrovat informace a poté lze data obnovit.

    Virová infekce Soubory trezoru jsou šifrované

    Uživatel jako první dostane dopis se zprávou o výpisu z daně / vodoměru / faktury pro poradce klíč.
    Dopis obsahoval odkaz na přiložený soubor ze zdroje download-attach.com... (hosting se zdá být placený bitcoiny) V archivu na tomto odkazu je nejzajímavější zahalený soubor js, s velmi podrobným názvem.
    Když to spustíte % TEMP% uživatel objeví se několik souborů a ke spuštění se zapíše skript revault.js

    Zde jsou některé soubory, které byly identifikovány:
    svchost.exe - hlavní binární soubor gnupg
    iconv.dll - společná knihovna pro gnupg
    audiodg.exe - sDelete ze sady Sysinternals Suite

    Spuštění viru Soubory trezoru jsou šifrované

    V našem případě se při startu počítače spustil skript revault.js, který spustil bat soubor cryptlist.cmd. Tady se trochu ztratilo vlákno
    Pak to začalo zajištěný.bat dějí se v něm všechny nejtemnější věci.
    Nejprve program vygeneruje certifikát pro šifrování souborů na počítači s názvem gk.vlt (Cellar / RSA / 1024 bit)
    Poté z něj exportuje soukromý klíč, který je nutný k dešifrování souborů do souboru vaultkey.vlt
    Poté vytvoří veřejný klíč pk.vlt, ten je předdefinován v samotném bat souboru. Pomocí tohoto souboru bude klíč potřebný k dešifrování vašich dat v budoucnu zašifrován.

    Dále ve vaultkey.vlt jsou napsány
    BDATE - aktuální datum
    UNAME – aktuální uživatelské jméno
    CNAME – název počítače
    ULANG - systémový jazyk (v tomto případě je registrován v RU)
    A některé náhodné hashe 01HSH 02HSH 03HSH 04HSH 05HSH FHASH

    Šifrování virů Soubory trezoru jsou šifrované

    Šifrování souborů s náhradou vypadá takto
    1 - Šifrování souborů
    2 - Přesunutí zašifrovaného souboru do původního umístění
    3 - Přidání přípony .vault do souboru

    Ve fázi 1 jsou * .xls a * zašifrovány. doc soubory.
    Ve 2. fázi jsou vytvořeny a spuštěny soubory win.vbs, sdwrase.js, sdwrase.cmd, což zakáže stínové kopírování v systému, pokud je systém Vista nebo vyšší
    A * .pdf * jsou zašifrovány. rtf soubory.
    Ve 3. fázi jsou * .psd * .dwg * zašifrovány. cdr soubory.
    Ve 4. fázi jsou soubory * .cd * .mdb * .1cd * .dbf * .sqlite zašifrovány.
    V 5. fázi jsou soubory * .jpg * .zip zašifrovány.

    Každý soubor se spočítá a počet zašifrovaných souborů každého typu souboru se zaznamená do vaultkey.vlt
    (Zřejmě pro obecné posouzení šifrovaných dat)

    Dále klíč útočníka zašifruje váš soukromý klíč a shromážděné informace o množství dat.
    Poté je váš klíč potřebný k dešifrování dat smazán pomocí 16 (!) Vícenásobného přepsání.

    Vaše soubory jsou zašifrovány vaším klíčem a váš klíč je zašifrován klíčem útočníka.

    Poté se vytvoří soubory s upozorněními.

    Virový web Soubory trezoru jsou šifrované

    Stránka kyberzločinců je hostována v anonymní síti TOR a je vysoce technologická pro tento druh „projektů“
    Existuje plnohodnotná Osobní oblast a "demo verzi" pro 3 soubory, které ze strany útočníka dešifrují vámi stažený soubor a stahují jej z jejich serveru. ALE, než otevřete přístup k souboru, narušitel si jej ručně prohlédne a pokud bude soubor považovat za důležitý, pak k tématu přístup nezískáte, budete o tom informováni.

    Je tam dokonce i sekce nápovědy.

    Platba pouze bitcoiny.
    Můžete také mluvit s autorem. Přemlouvání a vyhrožování je zbytečné. Útočník by vám mohl zablokovat chat.

    Hesla prohlížečů – technika krádeže hesel z prohlížečů na infikovaném viru Soubory trezoru jsou šifrované počítač

    Po vytvoření souborů s upozorněními následuje „bonus“
    Vytvoří se skripty ultra.js a up.vbs.
    První stáhne soubor z brány tor2web pomocí odkazu hxxp _ // tj2es2lrxelpknfp.onion.city/p.vlt a přejmenuje se na ssl.exe
    Toto je Browser Password Dump v2.6 od SecurityXploded
    Ukládá všechna vaše hesla z prohlížečů do cookie.vlt
    Poté druhý soubor začne nahrávat vaše hesla na stejný server (POST do skriptu /x.php)
    Tento server je anonymizován stejným způsobem jako server pro obnovu a platbu (nic navíc v záhlaví, řádek Server: Anon)



    Nenašli jste odpověď na svou otázku? Podívejte se sem
    Vůle tlačítek hlasitosti a napájení na iPhone - manželství nebo ne?Vůle tlačítek hlasitosti a napájení na iPhone - manželství nebo ne?
    Síťová karta nevidí kabel: pokyny k řešení problému Co dělat, když nefunguje internetový kabelSíťová karta nevidí kabel: pokyny k řešení problému Co dělat, když nefunguje internetový kabel
    StoCard a Wallet: slevové karty z aplikaceStoCard a Wallet: slevové karty z aplikace