Računalniki Windows internet
Razširi
doma

Vault virus, kako obnoviti datoteke Windows XP. Kako sami obnoviti datoteke po virusu Vault. Virus trezorja - kaj storiti

Protivirusni strokovnjaki Doctor Web so razvili metodo za dešifriranje datotek, ki so postale nedostopne zaradi delovanja nevarnega trojanskega kodirnika. Trojanec.Encoder.2843 uporabnikom znan kot "trezor".

Ta različica ransomware, poimenovana po klasifikaciji Dr.Web Trojanec.Encoder.2843, kibernetski kriminalci aktivno širijo z uporabo množičnih poštnih seznamov. Majhna datoteka, ki vsebuje skript v JavaScriptu, se uporablja kot priloga k črkam. To datoteko iz sebe ekstrahira aplikacija, ki izvede preostala dejanja, potrebna za zagotovitev delovanja kodirnika. Ta različica ransomware Trojan se distribuira od 2. novembra 2015.

Kako to zlonamerna programska oprema tudi precej radoveden. V sistem Windows register napisana je šifrirana dinamična knjižnica (.DLL), trojanec pa v proces explorer.exe, ki se izvaja, vnese majhno kodo, ki prebere datoteko iz registra v pomnilnik, jo dešifrira in nanjo prenese nadzor.

Seznam šifriranih datotek Trojanec.Encoder.2843 shranjuje tudi v sistemski register in za vsako od njih uporablja edinstven ključ, sestavljen iz velikih latiničnih črk. Datoteke so šifrirane z algoritmi Blowfish-ECB, ključ seje je šifriran z RSA z uporabo vmesnika CryptoAPI. Vsaki šifrirani datoteki je dodeljena končnica .vault.

Strokovnjaki Doctor Web so razvili posebno tehniko, ki v mnogih primerih omogoča dešifriranje datotek, ki jih poškoduje ta trojanec. Če ste žrtev zlonamerne programske opreme Trojanec.Encoder.2843, uporabite naslednja navodila:

  • kontaktirajte policijo z ustrezno izjavo;
  • v nobenem primeru ne poskušajte znova namestiti operacijski sistem, »Optimizirajte« ali »počistite« s katerim koli pripomočkom;
  • ne izbrišite nobenih datotek v računalniku;
  • ne poskušajte sami obnoviti šifriranih datotek;
  • kontaktirajte tehnično podporo Doctor Web (ta storitev je brezplačna za uporabnike komercialnih licenc Dr.Web);
  • Na vstopnico priložite katero koli datoteko, ki jo šifrira trojanec;
  • počakajte na odgovor strokovnjaka za tehnično podporo; zaradi velikega števila zahtev lahko to traja nekaj časa.

Opozarjamo vas, da so storitve dešifriranja datotek na voljo samo imetnikom komercialnih licenc za protivirusne izdelke Dr.Web. Doctor Web ne jamči, da bodo vse datoteke, ki jih poškoduje kodirnik, dešifrirane, vendar se bodo naši strokovnjaki potrudili, da shranijo šifrirane podatke.

Naš članek je posvečen še eni "mojstrovini" hekerjev - virusu ransomware Vault. Povedali vam bomo, kakšen virus Vault je in kako vpliva na sistem. Razmislimo o možnostih, s katerimi lahko obnovite datoteke.

Virus trezorja - kaj storiti?!

Nekega "lepega" dne ste odprli namizje in videli tekoči zvezek z naslednjim besedilom:

Na podlagi tega postane jasno - postali ste "nesrečni lastnik" virusa Vault. Ta virus okuži vaš računalnik in začne šifrirati vaše datoteke. Tako spadajo pod šifriranje datoteke s končnicami .pdf, .doc, .docx, .xls, .xlsx, .jpeg, .zip itd. Po zagonu virusa se imenu datoteke doda pripona .vault. Tudi virus v nekaterih primerih vpliva na lokalne baze podatkov 1C. Kot lahko vidite, trezor šifrira vse dokumente, ki so priljubljeni za delo.

Morda se sprašujete: Kako je trezor prišel na moj računalnik? Tukaj je vse tako enostavno kot luščenje hrušk, so vam napadalci poslali E-naslov pismo. Naslov pisma je govoril o njegovem pomenu in nujnosti, da ga odpremo in preberemo. Lahko je pismo banke, partnerjev ali kakšna donosna ponudba. V tem pismu je bil priložen dokument s končnico .js (Java skript).

Ko se zažene (in ste jo zagnali!) Ta razširitev virusa prenese program za šifriranje s hekerskih strežnikov. V vašem primeru je virus izsiljevalske programske opreme Vault legitimna kriptografska programska oprema GPG (GnuPG) z uporabo priljubljenega šifrirnega algoritma rsa-1024. Program ni virus, zato ga protivirusni programi ne blokirajo in ne omogočajo delovanja. GPG generira javne (na vašem računalniku) in zasebne (na napadalčevem strežniku) šifrirne ključe.

Obstaja veliko modifikacij virusa Vault, na primer za Windows 7/8, 32-bitne ali 64-bitne sisteme. In ko pride v vsako, virus deluje na svoj način. Prav tako lahko virus šifrira računalnike v istem omrežju kot vaše.

Kako odstraniti virus Vault iz računalnika?

Virus deluje tako, da se v mapi z izvorno datoteko ustvari datoteka, podobna končnici .pg. Nato se ta datoteka dvigne, nadomesti izvirno datoteko in doda razširitev trezorja. S preprostim preimenovanjem dokumenta se tukaj ne znebi. Zato ugotovimo, kako obnoviti datoteke in odstraniti virus trezorja.

Sama odstranitev virusa

Takoj, ko v svojih dokumentih najdete razširitev trezorja, takoj izklopite omrežje in prenehajte delati z vsemi aplikacijami, ne odpirajte znova map na diskih. Prijavite se z varni način.

V smislu odstranitve virus Vault ni težaven. Odstraniti ga ni težko, za to uporabite najbolj priljubljene programe za odstranjevanje takšnih virusov, kodirnikov, oglasnih pasic, trojancev. Ampak težave se bodo nadaljevale :(.

Kar morate vedeti, je, da je samo telo virusa skrito v mapi Temp. Virus je sestavljen iz naslednjih datotek:

  • 3c21b8d9.cmd;
  • fabac41c.js;
  • VAULT.txt;
  • Sdc0.bat;
  • VAULT.KEY;
  • CONFIRMATION.KEY.

Vse te datoteke, razen zadnjih dveh (!), je treba izbrisati. Nato zaženite čistilec, počistite zagon, preverite register za napake (načelo je enako za Windows 7/8/10). Zadnji 2 datoteki morate pustiti v računalniku, ker:

  1. VAULT.KEY - sam šifrirni ključ. Pod nobenim pogojem se ne sme izbrisati! Posreduje se napadalcem, pri analizi vam bodo dali drugi del ključa za dešifriranje.
  2. CONFIRMATION.KEY - datoteka z popolne informacije o številu šifriranih datotek v računalniku. potrebno je tudi za hekerje.

Brezplačno obnovite datoteke s pripono .vault

Tako smo prišli do najhujšega – datoteke so ostale šifrirane. Brezplačnih dešifrorjev za virus trezorja ni. Datoteke s ključem rsa-1024 lahko dešifrira samo originalni program.

Kateri so načini za obnovitev datotek:


Če v smetnjakih niste našli ničesar in ni obnovitvenih točk sistema, boste morali plačati kibernetski kriminalci. Nič ne morete storiti glede tega. Če analiziramo dialoge na forumih, sledi sklep - da napadalci dejansko dešifrirajo datoteke, vendar morate za to plačati.Če to ne bi bilo res, bi se to od ust do ust na internetu razširilo že zdavnaj in ljudje ne bi bili napeljani k temu. Treba je razumeti, da je to cel "poslovni sistem" - ujeli ste, zdaj plačate in vse bo v redu.

Prišlo je do točke, da na internetu že obstajajo super-agenti! Se pravi posredniki, ki bodo namesto vas stopili v stik z napadalci in rešili vse vaše težave. Od vas je odvisno, ali to storite ali ne. Če tega ne želite narediti sami, plačajte več.

Po navodilih iz besedilne datoteke boste zagnali brskalnik Tor (posebej za brisanje IP-ja), nato pa boste preusmerjeni na eno od spletnih mest kibernetskih kriminalcev. Obstaja priročnik za delo s spletnim mestom in celo sistem popustov :(.

Kaj pa protivirusni program?

Na žalost, kot je navedeno zgoraj, protivirusna programska oprema Dr Web, Kaspersky, Avast in drugi ne morejo storiti ničesar. Konec koncev program sam po sebi ni virus. Uradne zahteve za tehnično podporo Kaspersky Lab se končajo s podrobnimi zgodbami o trezorju in predlogi za uporabo njihovih dekodirnikov RannohDecryptor, ScatterDecryptor, Rector Decryptor, RakhniDecryptor ali Xorist Decryptor. Doktor Web na splošno svetuje, da se o dejstvu nepooblaščenega dostopa do računalnika obrnete na policijo. No, hvala doktor.

Kot vidite, možnosti ni veliko, in če so vam datoteke res pomembne, boste morali plačati. S tem je tudi nemogoče potegniti, strežniki z bazami podatkov in spletnimi mesti se nenehno premikajo - stari se izbrišejo in pojavijo se novi.

In tukaj je kratek videoposnetek, kjer si lahko ogledate, kako virus Vault deluje na sistem. Ta video ni reklama :).

  1. Najverjetneje se soočate s tako težavo, kot je šifriranje datotek in s tem brez vaše vednosti željo. Z odpiranjem povezave v pismu, ki vam je prišlo po pošti in najverjetneje od preverjenega pošiljatelja, s katerim ste si že dopisovali. Ampak morda kot reklama! Toda dejstvo je na vašem obrazu in imate naslednje simptome, ki se kažejo na naslednji način:

    2. Nenadoma se v beležnici odpre besedilna datoteka z naslednjo vsebino:

    1. Vaši delovni dokumenti in baze podatkov so zaklenjeni in označeni s formatom .vault
    2. Če jih želite obnoviti, morate pridobiti edinstven ključ
    3. POSTOPEK PRIDOBITVE KLJUČA:
    4. NAKRATKO
    5. 1. Pojdite na naš spletni vir
    6. 2. Zagotovite si svoj ključ
    7. 3. Obnovite datoteke na prejšnjo obliko
    8. PODROBNO
    9. Korak 1:
    10. Prenesite brskalnik Tor z uradne spletne strani:
      11. https://www.torproject.org
    11. 2. korak:
    12. Z brskalnikom Tor obiščite spletno mesto:
      13. https://restoredz4xpmuqr.onion
    13. 3. korak:
    14. Poiščite svoj edinstveni VAULT.KEY na vašem računalniku – to je vaš ključ do vaše osebne odjemalske plošče. Ne izbrišite ga
    15. Prijavite se na spletno mesto z uporabo VAULT.KEY
    16. Pojdite na razdelek s pogostimi vprašanji in preberite nadaljnji postopek
    17. 4. KORAK:
    18. Po prejemu ključa lahko datoteke obnovite z našo odprtokodno programsko opremo izvorno kodo ali pa je varna uporaba programske opreme
    19. DODATNO
    20. a) Ne boste mogli obnoviti datotek brez edinstvenega ključa (ki je varno shranjen na našem strežniku)
    21. b) Če ne najdete svojega VAULT.KEY, poiščite začasno mapo TEMP
    22. c) Vaš strošek obnove ni dokončen, pišite na klepet
    23. Datum zaklepanja: 8. 4. 2015 (11:14)
  2. Po vaši presoji. Lahko narediš, kot piše v datoteki (vendar ne bi). Zakaj? Ker ni zanesljivo, je plačilo izsiljevalcem namenjeno ohranjanju in razvoju njihove moči. In potem, vryatli, boste dobili ključ za dešifriranje.
  3. Pojav takšnega sporočila že pomeni, da je virus trezorja okužil vaš računalnik in začel šifrirati datoteke. Na tej točki morate takoj izklopiti računalnik, ga izklopiti iz omrežja in odstraniti vse odstranljivi mediji... O tem, kako zdraviti virus, bomo govorili kasneje, za zdaj pa vam bom povedal, kaj se je zgodilo v vašem sistemu.
  4. Najverjetneje ste prejeli pismo po pošti od zaupanja vredne nasprotne stranke ali prikrito znana organizacija... To je lahko zahteva za izvedbo računovodske uskladitve za določeno obdobje, zahteva za potrditev plačila računa po pogodbi, ponudba za seznanitev z dolgom posojila pri Sberbank ali kaj drugega. A informacije bodo takšne, da vas bodo zagotovo zanimale in odprli boste e-poštno prilogo z virusom. To je tisto, kar šteje.
  5. Torej odprete prilogo, ki ima razširitev .js in je skript Java. Teoretično bi vas to že moralo opozoriti in preprečiti odpiranje, a če berete te vrstice, pomeni, da vas ni opozorilo in ni ustavilo. Skript s strežnika napadalca, kot bi ga lahko imenovali v tem primeru, naloži trojanca ali trezor pasic in program za šifriranje. Vse to postavi v začasni imenik uporabnika. In postopek šifriranja datotek se takoj začne na vseh mestih, kjer ima uporabnik dostop - omrežni pogoni, bliskovni pogoni, zunanji trdi diski itd.
  6. Izsiljevalska programska oprema za trezor je brezplačen pripomoček za šifriranje gpg in priljubljen algoritem za šifriranje - RSA-1024. Ker se ta pripomoček v bistvu pogosto uporablja tam, kjer sam po sebi ni virus, ga protivirusni programi prepuščajo in ne blokirajo njegovega dela. Odprto in zasebni ključ za šifriranje datotek. Zasebni ključ ostane na strežniku hekerjev in je javen na uporabnikovem računalniku.
  7. Po začetku postopka šifriranja traja nekaj časa. Odvisno je od več dejavnikov – hitrosti dostopa do datotek, zmogljivosti računalnika. Nato se prikaže informativno sporočilo besedilna datoteka, katerega vsebino sem podal na samem začetku. Na tej točki so nekateri podatki že šifrirani.
  8. Natančneje, naletel sem na modifikacijo virusa trezorja, ki je deloval samo na 32-bitnih sistemih. Poleg tega se v sistemu Windows 7 z omogočenim UAC prikaže poziv za vnos skrbniškega gesla. Virus ne more storiti ničesar brez vnosa gesla. V operacijskem sistemu Windows XP začne delovati takoj po odprtju datoteke iz pošte, ne postavlja nobenih vprašanj.

    9. Virus razširi razširitev trezorja na doc, jpg, xls in druge datoteke

  9. Kaj točno virus počne z datotekami? Na prvi pogled je videti, kot da samo spreminja razširitev iz standardne v .vault. Ko sem prvič videl delovanje tega virusa izsiljevalske programske opreme, sem mislil, da gre za otroško ožičenje. Datoteko sem preimenoval nazaj in bil zelo presenečen, ko se ni odprla po pričakovanjih, namesto predvidene vsebine pa se je odprla zmešnjava nerazumljivih znakov. Potem sem ugotovil, da ni vse tako preprosto, začel sem razumeti in iskati informacije.
  10. Virus je pregledal vse priljubljene vrste datotek - doc, docx, xls, xlsx, jpeg, pdf in druge. Standardnemu imenu datoteke je bila dodana nova razširitev .vault. Za nekatere tudi šifrira datoteke z lokalnimi bazami podatkov 1C. Jaz takega nisem imel, zato tega osebno nisem opazil. Preprosto preimenovanje datoteke nazaj, kot razumete, tukaj ne pomaga.
  11. Ker postopek šifriranja ni trenuten, se lahko zgodi, da ko ugotovite, da imate v računalniku virus, bodo nekatere datoteke še vedno normalne, nekatere pa okužene. Dobro je, če večina ostane nedotaknjena. Toda pogosteje kot ne, na to ni mogoče računati.
  12. Povedal vam bom, kaj se skriva za spremembo razširitve. Po šifriranju na primer datoteke.doc poleg nje virus trezorja ustvari šifrirano datoteko file.doc.gpg, nato pa se šifrirana datoteka.doc.gpg premakne na prvotno mesto z novim imenom file.doc in šele nato se preimenuje v file.doc.vault. Izkazalo se je, da izvirna datoteka ni izbrisana, ampak prepisana s šifriranim dokumentom. Po tem ga ni mogoče obnoviti s standardnimi orodji za obnovitev. izbrisane datoteke... Tukaj je del kode, ki izvaja to funkcionalnost:

    13. dir / B "% 1:" && za / r "% 1:" %% i v (* .xls * .doc) naredi (odmeva "%% TeMp %% \ svchost.exe" -r Kleti --da - q --no-verbose --trust-model vedno --encrypt-files "%% i" ^ & premakni / y "%% i.gpg" "%% i" ^ & preimenuj "%% i" "%% ~ nxi.vault ">>"% temp% \ cryptlist.lst "echo %% i >>"% temp% \ conf.list ")

    Kako odstraniti virus trezorja in ozdraviti računalnik

  13. Ko odkrijete virus izsiljevalske programske opreme, je prvi korak, da se ga znebite tako, da ozdravite svoj računalnik. Najbolje je, da se zaženete iz nekaterih zagonski disk in ročno očistite sistem. Virusni trezor v smislu korozivnosti za sistem ni težak, enostavno ga je očistiti sami. Na tej točki se ne bom podrobneje zadrževal, saj so tukaj primerna standardna priporočila za odstranjevanje virusov izsiljevalske programske opreme, pasic in trojancev.
  14. Samo telo virusa se nahaja v začasni mapi uporabnika, ki ga je zagnal. Virus je sestavljen iz naslednjih datotek. Imena se lahko spremenijo, vendar bo struktura približno enaka:
  • 3c21b8d9.cmd
  • 04fba9ba_VAULT.KEY
  • CONFIRMATION.KEY
  • fabac41c.js
  • Sdc0.bat
  • VAULT.KEY
  • VAULT.txt
  • VAULT.KEY - šifrirni ključ. Če želite svoje podatke dešifrirati, shranite to datoteko. Prenese se na napadalce in na njegovi podlagi vam dajo drugi par ključev, s pomočjo katerega bo prišlo do dešifriranja. Če je ta datoteka izgubljena, podatkov ni mogoče obnoviti niti za denar.
  • CONFIRMATION.KEY - vsebuje informacije o šifriranih datotekah. Kriminalci ga bodo prosili, naj izračuna, koliko denarja vam bo vzel.
  • Preostale datoteke so storitvene datoteke, ki jih je mogoče izbrisati. Po odstranitvi morate očistiti zagon, tako da ni povezav do izbrisanih datotek in napak pri zagonu. Zdaj lahko zaženete računalnik in ocenite obseg tragedije.

    • Kako obnoviti in dešifrirati datoteke po virusu trezorja

  • Tako smo prišli do najpomembnejše točke. Kako dobimo nazaj naše podatke. Ozdravili smo računalnik, kar bi lahko obnovili z zlom šifriranja. Zdaj moramo poskusiti dešifrirati datoteke. Seveda bi bilo najlažje in najbolj zaželeno dobiti že pripravljen dekoder za dešifriranje, vendar ne obstaja. Žal, tehnično je nemogoče ustvariti orodje za dešifriranje podatkov, šifriranih s ključem RSA-1024 / Torej, na žalost tukaj ni veliko možnosti:
  • Imate veliko srečo, če imate omogočeno zaščito sistema. Priložen je za vsak disk posebej. Če je bilo to storjeno, lahko uporabite orodje za obnovitev prejšnje različice datoteke in mape. Nahaja se v lastnostih datoteke. Več podrobnosti je na voljo na internetu, o tem orodju za obnovitev je dovolj člankov.
  • Če imate šifrirane datoteke na omrežni pogoni, poiščite varnostne kopije, preverite, ali je na teh diskih omogočen koš, vaše izvorne datoteke bodo tam. Čeprav ni standard za omrežne pogone, ga je mogoče konfigurirati ločeno. Najpogosteje to počnem pri nastavljanju mrežnih kroglic. Ne pozabite, če imate varnostne kopije vaših lokalnih podatkov.
  • Če imate poškodovane podatke v mapah, ki so povezane s shrambami podatkov v internetu, kot je Yandex. Disk, Dropbox, Google disk, poglejte si jih v košu, pred šifriranjem naj ostanejo originalne datoteke.
  • Poskusite najti datoteko secring.gpg To datoteko morate ustvariti na vašem računalniku (običajno v % TEMP % uporabnika) ob začetku postopka šifriranja. Na žalost je verjetnost uspešnega iskanja secring.gpg majhna, saj šifrirnik ta ključ skrbno prepiše s pripomočkom sdelete.exe:

    • "% temp% \ sdelete.exe" / accepteula -p 4 -q "% temp% \ secring.gpg"

  • Ponovni zagon šifrirnika za pridobitev tega ključa ne bo pomagal. Ključ bo ustvarjen z drugim prstnim odtisom in ID-jem in ne bo primeren za dešifriranje vaših dokumentov. Poskusite poiskati ta ključ med izbrisanimi datotekami, vendar ne pozabite imeti ničelne velikosti ~ 1Kb.
  • Če vam nič od naštetega ni pomagalo in so informacije zelo pomembne, imate samo eno možnost - plačati denar ustvarjalcem virusa. Ampak, kot sem napisal zgoraj, jaz osebno ne bi. Virus trezorja je tako priljubljen, da so se v omrežju pojavili oglasi, kjer so nekateri tovariši ponujali barantanje s hekerji za denar, da bi znižali ceno dešifriranja podatkov. Ne vem, kako realno rušijo ceno in ali jo sploh rušijo, mogoče so samo podkupovanje, ki ti bo vzelo denar in opralo. Da bo najverjetneje tako. Na splošno se izkaže za čisti kriminal. Tudi vlada ne plačuje teroristov, ampak na račun življenja. Ti odločaš. Napiši, če se kaj zgodi.

    • Kaspersky, drweb in drugi protivirusni programi v boju proti izsiljevalski programski opremi za trezor

  • Toda kaj nam lahko protivirusni programi ponudijo v boju proti tej šifrirani nadlogi? Osebno sem bil priča virusni okužbi na računalnikih z nameščeno in v celoti posodobljeno licenčno različico Kasperskyja. Na zagon ransomware se na noben način ni odzval. Bilo je v začetku maja 2015. Morda se je že kaj spremenilo, a v času mojega iskanja informacij o tej problematiki noben virus ni zagotavljal zaščite uporabnika pred tovrstnimi grožnjami. Berem forume priljubljenih protivirusnih programov - Kaspersky, DrWeb in drugi. Povsod skomigne z rameni. Če vam ponudijo, da prenesete drug pripomoček, ki ga ne veste, kaj dešifrirati datoteke. Ne počnite tega, najverjetneje boste dobili še en virus.

    • Metode zaščite pred virusi v trezorju

  • Za ta virus ni posebnih metod zaščite, obstajajo le splošno sprejete za vse viruse.
  • Ne zaganjajte neznanih aplikacij, niti po pošti niti prenesenih z interneta. Poskusite ne prenašati ali zagnati ničesar z interneta. Zdaj je na smetnjakih za datoteke toliko vseh vrst neprijetnih stvari, da se je skoraj nemogoče braniti pred njimi brez ustreznega razumevanja. Prosite boljšega kompetentnega znanca, da vam najde nekaj na internetu in se mu za to zahvalite.
  • Vedno imejte varnostno kopijo pomembnih podatkov. Poleg tega ga morate shraniti brez povezave z računalnikom ali omrežjem. Imejte ločen ključ USB ali zunanji trdi disk za arhivske kopije. Enkrat na teden jih priklopite v računalnik, kopirajte datoteke, jih izključite in jih ne uporabljajte več. Za vsakodnevne potrebe kupite ločene naprave, zdaj so zelo ugodne, ne varčujte. V moderni dobi informacijske tehnologije informacije so najdragocenejši vir, pomembnejši od medijev. Bolje je, da kupite dodaten USB ključ, kot da izgubite pomembne podatke.
  • Izboljšajte svoje razumevanje procesov, ki se dogajajo v računalniku. Zdaj so računalniki, tablice, prenosniki, pametni telefoni tako močno vstopili v naše življenje, da ne moremo razumeti, pomeni zaostajanje za sodobnim ritmom življenja. Noben protivirusni program in strokovnjak ne moreta zaščititi vaših podatkov, če se tega ne naučite sami. Vzemite si čas za branje člankov na to temo varnost informacij, opravite ustrezne tečaje, izboljšajte svoje računalniško pismenost... V sodobnem življenju bo zagotovo še kako prav.

    • Izsiljevalska programska oprema VAULT se je prvič pojavila v Rusiji februarja 2015 in si pridobila ugled eden najnevarnejših in neozdravljive viruse. Novembra se je začel drugi val okužb, ki je bil bolj množičen. Tretji val se zgodi sredi januarja 2016. in po številu okuženih naprav prekaša prejšnje.

    Kaj je VAULT ransomware virus?

    Virus VAULT je oblika trojanskega kodirnika.

    Program s prodorom v računalnik z uporabniškimi dejanji šifrira določeno vrsto podatkov z desetinami algoritmov z edinstvenim vzorcem.

    Izvirni podatki se ne izbrišejo, ampak se nadomestijo s poškodovanimi, zaradi česar je možnost njihove obnovitve skoraj nemogoča.

    Ključ, ki omogoča dešifriranje informacij, se ob koncu šifriranja samodejno izbriše iz sistema.

    Cilj napadalcev je izsiliti denar v zameno za dešifriranje podatkov. Tudi v tem primeru verjetnost dešifriranja datoteke ne presega 50%.

    Primer računalnika, okuženega z virusom VAULT: na delujočo e-pošto prispe zahteva za primarno dokumentacijo nasprotne stranke ali obvestilo ConsultantPlus o potrebi po namestitvi posodobitvenega paketa. Pismu je priložena datoteka s pojasnili. Takoj, ko se zaženejo izvedljive in pomožne datoteke, se začne postopek šifriranja podatkov.

    Katere datoteke šifrira VAULT?

    Napadalce zanimajo komercialne informacije, pa tudi foto, avdio in video material. Tako so napadene datoteke naslednjih razširitev: .rar, .zip, .jpg, .psd, .doc, .xls, .ppt, .pdf, .mp3, .ogg, .avi, .mpeg, .html, .txt, baze podatkov 1C itd.

    Ko je računalnik okužen, a Besedilni dokument s stiki prevarantov. Stroški dešifriranja podatkov se gibljejo od 10 do 50.000 dolarjev. Stroške ocenijo goljufi, potem ko uporabnik stopi v stik. Višina odkupnine je odvisna od količine šifriranih informacij. Hkrati ni nobenega zagotovila, da bodo podatki vsaj delno obnovljeni.

    Kako zaščititi svoj računalnik pred šifrirnikom VAULT?

    V večini primerov pride do okužbe, ko v računalniku ni protivirusnega programa ali ko brezplačna različica VKLOPLJENO. Najmanj zanesljiv je po našem mnenju protivirusni program Avast.

    Kljub temu lastniki licenčnega protivirusnega programskega paketa, vključno s korporativnimi različicami, pogosto postanejo žrtve.

    Razvili so strokovnjaki za IT varnost iz ESET in Dr.Web niz univerzalnih priporočil ki pomagajo zaščititi vaš računalnik ali prenosnik pred virusom VAULT in podobnimi trojanci izsiljevalske programske opreme:

      Namestite kritične posodobitve operacijskega sistema pravočasno

      izberite protivirusno programsko opremo z vgrajenim požarnim zidom

      onemogočite prenos in sprejem izvedljive datoteke(.exe) na poštnem strežniku

      prepreči izvajanje makrov v Microsoft Office, ali podobno programsko opremo

      redno telovadi rezerva podatkov

      podvojite pomembne informacije na zunanje medije

    Kako odstraniti VAULT iz računalnika?

    Vklopljeno ta trenutek Okužba z virusom VAULT in šifriranje podatkov sta enkratna in ne vključuje okužbe sistemskih datotek. Tako je skeniranje s pripomočkom Dr.Web CureIt dovolj za odstranitev virusa iz sistema. Vendar ne pozabite, da bodo poskusi zdravljenja ali brisanja okuženih datotek, pa tudi ponovna namestitev sistema Windows, izničili možnost obnovitve šifriranih podatkov.

    To pomeni, da ni nič težko odstraniti virusa, če ste se za vedno pripravljeni ločiti od šifriranih informacij ali pa ste varnostne kopije na zunanjih medijih.

    Kako obnoviti datoteke VAULT?

    Takoj ko ti odkrila okužbo Videli smo spremenjene ikone datotek in novo vrsto razširitev, na primer .doc.vault, takoj izklopite računalnik ali prenosnik. Dlje ko deluje, več datotek izgubite.

    Ponovimo: skeniranje diska z protivirusnim programom, čiščenje datotek, ponovna namestitev sistema in druga standardna orodja bodo le zmanjšala verjetnost dešifriranja podatkov.

    Nobeden od razvijalcev Protivirusna programska oprema še vedno ni mogla ustvariti pripomočka za dešifriranje informacij, izpostavljenih VAULT.

    Točke obnovitve sistema uniči virus. Pri delu z operacijskim sistemom Windows Vista / 7/8/10 obstaja možnost obnovitve sistema Windows iz senčnih kopij s pomočjo pripomočka Shadow Editor. Toda v večini primerov izginejo tudi senčne kopije.

    Če imate licenčni izdelek NOD32 ali Dr.Web, se lahko obrnete na njih tehnična podpora z zahtevo za dešifriranje podatkov.

    Poleg tega strokovnjaki priporočajo, da se z izjavo obrnete na policijo, saj dejanja napadalcev kažejo znake kaznivih dejanj iz čl. Umetnost. 159.6, 163, 165, 272, 273 Kazenskega zakonika Ruske federacije.

    Praktični rezultat takšnih dejanj je zmanjšan na nič. Dejstvo je, da še ni mogoče obnoviti datotek, ki jih šifrira VAULT. Ostanki edini izhod : fizično odstranite trdi disk ali SSD disk iz naprave in namestite novega. Morda bo kmalu na voljo način za dešifriranje informacij, nato pa jih bo mogoče obnoviti.

    Virusna okužba Datoteke trezorja so šifrirane

    Uporabnik najprej dobi pismo s sporočilom o izpisku davka/vodomer/račun za svetovalni ključ.
    Pismo je vsebovalo povezavo do priložene datoteke iz vira download-attach.com... (zdi se, da se gostovanje plača z bitcoini) V arhivu na tej povezavi je najbolj zanimivo prikrito datoteko js, z zelo podrobnim imenom.
    Ko ga zaženete % TEMP % uporabnik prikaže se več datotek in za zagon je napisan skript za zagon revault.js

    Tukaj je nekaj odkritih datotek:
    svchost.exe - glavna dvojiška datoteka gnupg
    iconv.dll – knjižnica v skupni rabi, ki jo lahko izvaja gnupg
    audiodg.exe - sDelete iz zbirke Sysinternals

    Izvajanje virusa Datoteke trezorja so šifrirane

    V našem primeru se je ob zagonu računalnika zagnal skript revault.js, ki je zagnal datoteko cryptlist.cmd bat. Tu se je izgubila majhna nit
    Potem se je začelo zavarovan.bat vse najtemnejše stvari se dogajajo v njem.
    Najprej program ustvari potrdilo za šifriranje datotek na računalniku z imenom gk.vlt (Cellar / RSA / 1024 bit)
    Nato iz njega izvozi zasebni ključ, ki je potreben za dešifriranje datotek, v datoteko vaultkey.vlt
    Nato ustvari javni ključ pk.vlt, ki je vnaprej določen v sami datoteki bat. S pomočjo te datoteke bo ključ, potreben za dešifriranje vaših podatkov, v prihodnosti šifriran.

    Nadalje v vaultkey.vlt so napisani
    BDATE - trenutni datum
    UNAME - trenutno uporabniško ime
    CNAME - ime računalnika
    ULANG - sistemski jezik (v tem primeru je registriran v RU)
    In nekaj naključnih zgoščenk 01HSH 02HSH 03HSH 04HSH 05HSH FHASH

    Virusno šifriranje Datoteke trezorja so šifrirane

    Šifriranje datoteke z zamenjavo izgleda takole
    1 - Šifriranje datoteke
    2 - Premikanje šifrirane datoteke na prvotno mesto
    3 - Dodajanje pripone .vault v datoteko

    Na 1. stopnji sta * .xls in * šifrirana. doc datoteke.
    Na 2. stopnji se ustvarijo in zaženejo datoteke win.vbs, sdwrase.js, sdwrase.cmd, ki onemogočajo senčno kopiranje v sistemu, če je sistem Vista ali novejši
    In * .pdf * so šifrirani. rtf datoteke.
    Na 3. stopnji so * .psd * .dwg * šifrirani. cdr datoteke.
    Na 4. stopnji so datoteke * .cd * .mdb * .1cd * .dbf * .sqlite šifrirane.
    Na 5. stopnji so datoteke * .jpg * .zip šifrirane.

    Vsaka datoteka se šteje, nato pa se število šifriranih datotek vsake vrste datoteke zabeleži v vaultkey.vlt
    (Očitno za splošno oceno šifriranih podatkov)

    Nato napadalčev ključ šifrira vaš zasebni ključ in zbrane podatke o količini podatkov.
    Po tem se vaš ključ, potreben za dešifriranje podatkov, izbriše s 16 (!) kratnim ponovnim pisanjem.

    Vaše datoteke so šifrirane z vašim ključem, vaš ključ pa je šifriran s ključem napadalca.

    Nato se ustvarijo datoteke z obvestili.

    Spletno mesto za viruse Datoteke trezorja so šifrirane

    Spletno mesto kibernetskih kriminalcev gostuje v anonimnem omrežju TOR in je visoko tehnološko za tovrstne "projekte"
    Obstaja polnopravni Osebni prostor in "demo različico" za 3 datoteke, ki s strani napadalca dešifrira datoteko, ki ste jo prenesli, in jo prenese s svojega strežnika. AMPAK, preden odprete dostop do datoteke, si jo bo vsiljivec ročno ogledal in če se mu bo datoteka zdela pomembna, potem ne boste dobili dostopa do teme, boste o tem obveščeni.

    Obstaja celo razdelek za pomoč.

    Plačilo samo z bitcoini.
    Lahko se pogovorite tudi z avtorjem. Prepričevanje in grožnje so neuporabni. Napadalec lahko blokira vašo sposobnost klepeta.

    Gesla iz brskalnikov - tehnika kraje gesel iz brskalnikov na okuženem virusu Datoteke trezorja so šifrirane računalnik

    Po ustvarjanju datotek z obvestili je "bonus"
    Ustvarjena sta skripta ultra.js in up.vbs.
    Prvi naloži datoteko s prehoda tor2web s povezavo hxxp _ // tj2es2lrxelpknfp.onion.city/p.vlt in jo preimenuje v ssl.exe
    To je izpis gesla brskalnika v2.6 od SecurityXploded
    Vsa vaša gesla iz brskalnikov shrani v cookie.vlt
    Nato druga datoteka začne nalagati vaša gesla na isti strežnik (POST v skript /x.php)
    Ta strežnik je anonimiziran na enak način kot strežnik za obnovitev in plačila (nič dodatnega v glavah, vrstica Strežnik: Anon)



    Niste našli odgovora na svoje vprašanje? Poglej tukaj
    Arhitektura porazdeljenega krmilnega sistema, ki temelji na rekonfigurabilnem večcevnem računalniškem okolju L-NetArhitektura porazdeljenega nadzornega sistema, ki temelji na rekonfigurabilnem večcevnem računalniškem okolju L-Net "transparentni" porazdeljeni datotečni sistemi
    Stran za pošiljanje e-pošte Izpolnite datoteko relay_recipients z naslovi iz imenika Active DirectoryStran za pošiljanje e-pošte Izpolnite datoteko relay_recipients z naslovi iz imenika Active Directory
    Manjka jezikovna vrstica v sistemu Windows - kaj storiti?Manjka jezikovna vrstica v sistemu Windows - kaj storiti?