Расшифровка vault касперский. Vault вирус: как восстановить файлы и удалить шифровальщик. Где можно заразить компьютер Ваултом и как от него защититься

Прежде чем узнать о том, как восстановить файлы после вируса Vault, нужно немного узнать о самом вредоносном коде. Как же действует механизм этого «злого монстра»? Чем же он может так насолить пользователю? Почему нельзя продолжать работу с повреждёнными файлами ? Давайте рассмотрим эту актуальную проблему подробнее.

Вирус Vault работает по шифровальной системе: он берёт файл, создаёт его копию, шифрует его, подменяя имена, и представляет вам уже заблокированный документ. Процесс шифрования зависит от того, насколько мощный у вас компьютер. Если скорость обмена данных с диском высокая, то и быстрота заражения ваших личных файлов будет велика. Поэтому при уже запущенной атаке рекомендуется сразу отключать компьютер полностью, дабы сократить количество информации, которая будет зашифрована.

Где можно заразить компьютер Ваултом и как от него защититься?

Как и большинство вредоносных кодов, этот вирус можно заполучить в интернете. На почту приходят письма разного характера (чаще всего якобы от банковских служб, кредитных отделов, каких-либо государственных учреждений), которое обязательно вас заинтересует и заставит нажать на ту самую ссылку, которая и запустит загрузку вируса Vault на ваш компьютер или ноутбук. После завершения шифровального процесса на вашем устройстве появится текстовый документ. В нём сообщается о том, что ваши документы и данные закодированы и для их разблокировки вам нужно получить специальный ключ.

Антивирусы практически не реагируют на этот код, так как для его работы использует популярный алгоритм шифрования RSA-1024, который по своей природе не является вирусом. В связи с этим возникает множество проблем: как тогда защититься от вредоносного кода, если даже антивирусы бессильны? Конечно, очень важна бдительность при работе в интернете. Хакеры не сидят сложа руки, а пользователи интернета являются очень лёгкой добычей. А всё из-за невнимательности: пользователи нажимают на всё подряд, особенно это касается рекламных баннеров, под которыми и скрываются «тёмные силы». Всплывающая реклама не только мешает работе в сети, но и может стать причиной ваших будущих технических проблем.

Как обезопасить себя от вируса Ваулт?

  1. Если ваш компьютер уже им заражён, вы знаете что именно делать не нужно. Но если вы до сих пор не поняли, почему ваши файлы зашифрованы, читайте дальше.
  2. При получении любого письма на электронную почту всегда тщательно проверяйте следующие данные: от кого пришло (часто злоумышленники пишут похожее название электронного адреса с каким-нибудь знакомым брендом, но с небольшими изменениями, чтобы пользователи не заметили), тема письма, его содержание (любое сомнительное письмо сразу должно удаляться из вашего почтового ящика) и оформление письма.
  3. Для начала подумайте: вы подписывались на получение почтовой рассылки от этой компании? Если нет, то тут однозначно можно отправлять в чёрный список. Если да, то всё же ещё раз внимательно посмотрите, кто отправитель письма. Скопируйте этот адрес и найдите его в поисковой системе. Возможно, кто-то сталкивался с подобным и на форумах написал, что же это за отправитель. Можете скопировать и таким же способом найти текст самого письма. Это очень полезная практика, которая позволит вам «выиграть войну» ещё до её начала.
  4. Нигде не пишите свой номер или другие конфиденциальные данные на сайтах, интернет-ресурсах.
  5. Никогда не открывайте ссылки, если не уверены хотя бы в одном пункте.

Этих рекомендаций должно быть достаточно. Как вы могли заметить, везде здесь основным ключевым моментом является бдительность самого пользователя. Малейшая неосторожность может стать переломной в жизни ваших файлов, документов, фотографий и другой информации.

Как удалить вирус vault и вылечить компьютер

Теперь перейдём к тому, как можно вернуть к жизни зашифрованные файлы. Весь процесс восстановления будет разбит на три части:

  1. Удаление троянских файлов.
  2. Лечение повреждённых секторов.
  3. Возвращение потерянных файлов.

Давайте рассмотрим каждый этап отдельно.

Удаление троянских файлов

Вредоносные коды хранятся в системной папке Temp (после работы вируса Vault). Их названия следующие:

  1. 3c21b8d9.cmd
  2. 04fba9ba_VAULT.KEY
  3. CONFIRMATION.KEY
  4. fabac41c.js
  5. Sdc0.bat
  6. VAULT.KEY
  7. VAULT.txt

Третий, шестой и седьмой файлы нужно сохранить на всякий случай, а вот остальные необходимо удалить. VAULT.KEY обязательно пригодится для расшифровки , ибо без него вы не сможете восстановить потерянную информацию, ведь это есть не что иное, как ключ шифрования. А файл CONFIRMATION.KEY необходим для получения ключа разблокировки. Текстовый файл Vault (седьмой номер) содержит информацию о том, как можно получить ключ к спасению у злоумышленников.

Небольшое лечение

Возможно, это и не принесёт каких-либо плодов, но всё равно пройдитесь Антивирусом по компьютеру. Проведите процедуру сканирования и удаления вредоносных файлов, но проследите, чтобы предыдущие документы не были удалены (если вы хотите восстановить информацию на компьютере).

Восстановление файлов

Для начала мы попробуем бесплатные способы, без обращения к хакерам.

  1. Восстановление предыдущей версии файла. В Windows 7 есть такая полезная штука, как откат к предыдущей версии того или иного документа (будь то фотография, видео или музыка и так далее). Нажмите правой кнопкой мыши на файл, затем на «Свойства» и последнюю вкладку «Предыдущие версии». Если система обнаружит следы старых версий документа, то считайте, что вам очень повезло. В противном случае этот метод вам не поможет.

  1. Посмотрите, нет ли резервной копии документации на дисках или других источниках. Если вы не настраивали эту функцию, скорее всего, её нет. Резервное копирование производится либо на другой локальный диск компьютера, либо на внешний носитель информации.
  2. Проверьте корзину на всех устройствах (онлайн-сервисы хранения информации, жёсткие диски, компьютеры, ноутбуки). Есть маленькая вероятность, что некоторые данные лежат там.
  3. Если ни один из способов не помог, остаётся лишь заплатить деньги мошенникам. Это единственный вариант, если потерянная информация вам действительно нужна. Так вы сможете узнать, как расшифровать файлы, повреждённые вирусом Vault. Пользователи делятся в сети отзывами о том, что этот способ реально помогает и после ввода ключа данные восстанавливаются . Наверное, если бы хакеры просто вымогали деньги, то никто бы не отправлял их после пары отрицательных отзывов.

Подведём итоги

Сегодня вы узнали о том, что такое вирус Vault и как восстановить файлы после его работы. Конечно, способы не самые приятные (особенно четвёртый), но за свою невнимательность надо платить. Надеемся, что в следующий раз вы будете внимательнее и не попадёте в такую неприятную ситуацию. Обязательно делитесь результатами борьбы с вирусом в комментариях.

Наша статья посвящена очередному «шедевру» хакеров — вирусу-шифровальщику Vault. Мы расскажем что это за вирус Ваулт и как он действует на систему. Рассмотрим варианты, при которых можно восстановить файлы.

Вирус Vault — что делать?!

Одним «прекрасным» днем вы открыли свой рабочий стол и увидели запущенный блокнот со следующим текстом:

Исходя из этого, становится ясно — вы стали «горе-обладателем» вируса Ваулт. Этот вирус заражает компьютер и начинает шифровать ваши файлы. Так под шифрование попадают файлы с расширением.pdf, .doc, .docx, .xls, .xlsx, .jpeg, .zip и др. После работы вируса, к имени файла прибавляется расширение.vault. Также вирус, в некоторых случаях, действует на локальные базы 1C. Как видите, vault шифрует все популярные для работы документы.

Наверное вы зададитесь вопросом: А как же vault попал на мой компьютер? Тут все проще простого, злоумышленники выслали на вашу электронную почту письмо. Название письма говорило о его важности и необходимости срочно открыть и прочитать его. Это могло быть письмо от банка, партнеров или какое-нибудь выгодное предложение. В этом письме имелся вложенный документ с расширением.js (ява скрипт).

При запуске (а вы его запустили!) это вирус-расширение скачивает из хакерских серверов программу шифровальщик. В вашем случае, вирус шифровальщик Vault — это легитимное криптографическое ПО GPG (GnuPG) , использующая популярный алгоритм шифрования rsa-1024. Программа не является вирусом, поэтому антивирусы её не блокируют и допускают её работу. GPG формирует открытый (на вашем ПК) и закрытый (на сервере злоумышленников) ключи шифрования.

Есть много модификаций вируса Vault , к примеру, для Windows 7/ 8, 32-х или 64-х битных систем. И попадая в каждую, вирус действует по своему. Также вирус может шифровать компьютеры находящиеся в одной сети с вашим.

Как убрать вирус Vault из компьютера?

Вирус действует таким образом, что в папке с исходным файлом, создается аналогичный с расширением.gpg. Далее этот файл встает заменяет исходный файл и добавляет расширение vault. Простым переименованием документа тут не отделаться. Поэтому давайте разбираться, как восстановить файлы и убрать вирус vault.

Удаление самого вируса

Как только вы обнаружили расширение vault на ваших документах, то сразу отключите сеть, и прекратите работу со всеми приложениями, не открывайте папки на дисках лишний раз. Войдите в систему через безопасный режим.

В плане удаления, вирус Ваулт не сложный. Удалить его не представляется трудным, для этого воспользуйтесь самыми популярными программами для удаления таких вирусов шифраторов, банерной рекламы, троянов. Но проблемы будут дальше:(.

Что нужно знать — так это то, что само тело вируса спрятано в папке Temp. Состоит вирус из следующих файлов:

  • 3c21b8d9.cmd;
  • fabac41c.js;
  • VAULT.txt;
  • Sdc0.bat;
  • VAULT.KEY;
  • CONFIRMATION.KEY.

Все эти файлы, кроме двух последних (!), нужно удалить. Далее запустите клинер, очистите автозагрузку, проверьте реестр на наличие ошибок (для Windows 7/8/10 принцип одинаков). Последние 2 файла нужно оставить на компьютере, так как:

  1. VAULT.KEY — непосредственно сам ключ шифрования. Его удалять нельзя ни в коем случае! Он передается злоумышленникам, анализируя его, они выдадут вам вторую часть ключа для расшифровки.
  2. CONFIRMATION.KEY — файл с полной информацией о количестве зашифрованных файлов на ПК. он тоже необходим для хакеров.

Восстановление файлов с расширением.vault бесплатно

Таким образом, мы подошли к самому страшному — файлы остались зашифрованными. бесплатных дешифраторов для вируса vault не существует. Расшифровать файлы с ключом rsa-1024 может только сама исходная программа.

Какие есть способы для восстановления файлов:


Если вы ничего не нашли в Корзинах и нет точек восстановления системы, то вам придется платить злоумышленникам. Тут ничего не поделаешь. Анализируя диалоги на форумах, следует вывод — что злоумышленники реально расшифровывают файлы, но за это нужно платить. Будь это неправда, молва в интернете давно бы это разнесла, и люди бы не велись на это. Следует понимать, что это целая «бизнес-система» — вы попались, теперь платите и все будет хорошо.

Дошло до того, что в интернете уже есть супер-агенты! То есть посредники, которые свяжутся за вас со злоумышленниками и решат все ваши проблемы. Вестись на это или нет, ваше дело. Не хотите сами делать — платите больше.

Следуя инструкциям из текстового файла, вы запустите браузер Tor (специально для затирания IP), далее вы попадете на один из сайтов злоумышленников. Здесь есть мануал по работе с сайтом и даже система скидок:(.

А как же антивирус?

К сожалению, как писалось выше, антивирусные программы Dr Web, Kaspersky, Avast и др. — ничего сделать не могут. Ведь программа не является вирусом по сути. Официальные запросы в техподдержку Лаборатории Касперского заканчиваются развернутыми рассказами о vault и предложениями воспользоваться их дешифраторами RannohDecryptor , ScatterDecryptor , Rector Decryptor , RakhniDecryptor или Xorist Decryptor. Доктор Веб вообще советует обратиться в полицию, по факту несанкционированного доступа к компьютеру. Ну что ж, спасибо Доктор.

Как видите вариантов не много, и если файлы вам действительно важны, придется платить. Тянуть с этим тоже нельзя, сервера с базами и сайты постоянно перемещаются — удаляются старые и появляются новые.

И вот небольшое видео, где можно увидеть как действует вирус Vault на систему. Это видео не является рекламой:).

Во время развития компьютерных технологий не обошлось и без вирусов. Всем известны их формы, которые засоряют память компьютера или телефона, удаляют файлы, подменяют их и многие другие. Но самыми опасными являются вирус шифровальщики. Это могут быть и трояны и особо опасный вирус Vault (дословно переводится, как склеп). Они шифруются под различные письма, которые пользователь открывает и тем самым запускает процесс проникновения вируса. Затем все файлы зашифровываются и вернуть их обратно очень сложно или вообще невозможно. Хакеры на это и рассчитывают, требуют деньги в обмен на возвращение информации.

Вирус шифровальщик Vault — что это

Одним из самых опасных вирусов считается Vault. Некоторые антивирусные программы его попросту не воспринимают. Файл чаще всего приходит с расширением .js. Поэтому прежде, чем открывать элемент с таким расширением дважды присмотритесь к нему. После запуска проходит некоторое время, которое нужно для считывания файлов на ПК и скачивании с сервера разработчиков специальной утилиты для зашифровки информации. Процесс шифрования начинается сразу после скачивания программы . Закодированы будут все данные, которые есть на компьютере на различных дисках, кроме тех, которые нужны для работы Windows.

Кодировщиком Ваулт является бесплатная программа gpg с алгоритмом шифрования RSA 1024. Эта утилита спокойно обходит все защиты антивирусов, так как по сути не является вирусом. Потом создаются открытые и закрытые ключи. Закрытые остаются на сервере разработчиков или злоумышленников, а открытые на компьютере пользователя, заразившегося им.

После определенного времени почти все на компьютере будет зашифровано, вся информация будет иметь расширение *.vault и пользователь полностью потеряет над ними контроль. А утилита создаст специальный ключ, который будут знать только хакеры.

Пути заражения

Этот вирус распространяется с помощью сообщений через почту или социальные сети и даже Скайп, в виде архива, чтобы его не заметили или файла с расширением.js.

Он может приходить сообщением от компаний, с которыми пользователь взаимодействует, под видом оплаты какого-нибудь счета или сверочного документа для бухгалтеров. Поэтому надо быть осторожным и внимательно вчитываться в то, что присылают.

Первые действия

Если компьютер начал тормозить или проявлять излишнюю активность и на дисках часть файлов уже зашифрована, то следует сразу выключить компьютер с кнопки или вообще отсоединить от питания. Тогда удастся сохранить хотя бы часть данных.

Снимаем жесткий диск и подключаем ко второму ПК, заранее отключив интернет. После включения прогнать все антивирусом и попытаться найти нижеперечисленные файлы.

Если ключи найдены , то ищем сервисы дешифраторы в интернете. Расшифровываем информацию и форматируем диск С.

Если ничего не найдено , форматируем диск С и переходим к последующим инструкциям.

Как удалить Vault

Прежде чем пользователь обнаружит у себя этот вирус, его деятельность уже завершится с удачным исходом. Поэтому необходимо сделать следующее, чтобы не потерять свои данные:

  • Сохранить файл confirmation.key, он отобразит количество зашифрованных данных. Благодаря ему хакеры могут видеть сколько файлов надо восстановить и потребовать определенную сумму.
  • Найти Vault.key. Этот файл является ключом или идентификатором к зашифрованной информации.
  • Сохранить Vault.txt. Здесь содержится вся информация о хакерах и их сайте.

Сохранив эти файлы из папки Temp, вы можете ее полностью очистить и пройтись программой CureIT , которую предоставляет антивирус Doctor Web. Затем перезагрузите персональное устройство.

Если в папке Temp ничего из вышеперечисленного не оказалось, можно воспользоваться стандартным поиском на диске С. Вероятность найти Vault.key очень мала, он удаляется после завершения шифрования. Но если он найден – это практически полная гарантия расшифровки информации.

Восстановление зашифрованных файлов

Если Vault вирус все-таки зашифровал ПК, то восстановить зашифрованные файлы можно несколькими способами. На жестком диске некоторое время хранится дешифровальный ключ, который после того, как все будет закончено отправится на сервер хакерам и соответственно удалится с ПК.

Возможно еще есть время его найти. Он называется secring.gpg. Если зайти в Мой компьютер и в строке поиска в правом верхнем углу ввести название и нажать кнопку «Ввод», система попытается отыскать этот файл. Открыв его можно получить логин а пароль от сайта, где хранится дешифратор. Более подробно узнать, как это сделать на видео ниже:

А также можно попытаться самому восстановить данные из резервных копий, если вы их создавали. Кликаете по закодированному элементу правой кнопкой и находите пункт «Свойства ». Ищете раздел «Предыдущие версии » и восстанавливаете. Это сработает, если эта функция включена в системе.

Оплата мошенникам

Конечно, чтобы не терять информацию, если не получилось ее восстановить, можно связаться с самими злоумышленниками и заплатить им. Однако их сервера не работают круглосуточно и придется ждать несколько часов, пока заработает обратная связь. Кроме этого, не факт, что после оплаты денег, создатели Vault расшифруют все файлы.

Хотя судя по многочисленным отзывам мошенники действительно расшифровывают информацию. В этом плане аферисты очень щепетильны – действует гибкая система скидок (если пользователь умудрился опять подцепить подобный вирус) и даже есть техподдержка.

Всю информацию об их сайте и как с ними связаться получаете в блокноте после заражения.

Что предлагают антивирусные лаборатории

Например, антивирусная лаборатория Доктор Веб предлагает не удалять файлы, не чистить систему и оставить все на своих местах после обнаружения заражения. Затем с последующим заявлением обратиться в полицию. Образцы заявлений представлены по ссылке http://legal.drweb.ru/templates .

После этого необходимо обратиться в техническую поддержку антивируса и представить копию зашифрованного элемента. Останется только ждать ответа от службы поддержки. Через некоторое время в ответном письме от Dr.Web придет Vault дешифратор. К сожалению эта возможность доступна только тем пользователям, у кого куплен платный пакет антивируса.

У антивируса Касперского тоже есть для этого специальный дешифратор Vault decryptor. Это программа, которая самостоятельно ищет зашифрованные файлы и раскодирует их.

Если у вас стоит антивирус Esed Nod 32 , то следует сканировать и почистить систему данным антивирусом, а затем обратиться в техническую поддержку — [email protected]. Обращаться в тех.поддержку следует только при наличии лицензионного антивируса.

У антивируса Avast есть специальные утилиты для дешифровки Ваулт вируса. Их можно найти на официальном сайте Avast.

Как обезопасить себя от вируса Vault

Для того, чтобы обезопасить себя от таких вирусов необходимо:

  • Не открывать файлы с расширением.js или отсылать их на проверку антивирусу.
  • Всю важную информацию с ПК хранить на облачном диске.
  • Не скачивать пиратские утилиты и не устанавливать из на компьютер.

Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, ставших недоступными в результате действия опасного троянца-энкодера Trojan.Encoder.2843 , известного пользователям под именем «Vault».

Данная версия шифровальщика, получившая по классификации Dr.Web наименование Trojan.Encoder.2843 , активно распространяется злоумышленниками при помощи массовых почтовых рассылок. В качестве вложения в письма используется небольшой файл, содержащий сценарий на языке JavaScript. Этот файл извлекает из себя приложение, которое и выполняет остальные действия, необходимые для обеспечения работы энкодера. Данная версия троянца-шифровальщика распространяется со 2 ноября 2015 года.

Принцип работы этой вредоносной программы также весьма любопытен. В системный реестр Windows записывается зашифрованная динамическая библиотека (.DLL), а в запущенный процесс explorer.exe троянец встраивает небольшой код, который считывает файл из реестра в память, расшифровывает и передает на него управление.

Список шифруемых файлов Trojan.Encoder.2843 также хранит в системном реестре и для каждого из них использует уникальный ключ, состоящий из заглавных латинских букв. Шифрование файлов осуществляется с использованием алгоритмов Blowfish-ECB, сессионный ключ шифруется с использованием RSA при помощи интерфейса CryptoAPI. Каждому зашифрованному файлу присваивается расширение.vault.

Специалисты компании «Доктор Веб» разработали специальную методику, во многих случаях позволяющую расшифровывать поврежденные этим троянцем файлы. Если вы стали жертвой вредоносной программы Trojan.Encoder.2843 , воспользуйтесь следующими рекомендациями:

  • обратитесь с соответствующим заявлением в полицию;
  • ни в коем случае не пытайтесь переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит;
  • не удаляйте никакие файлы на вашем компьютере;
  • не пытайтесь восстановить зашифрованные файлы самостоятельно;
  • обратитесь в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web);
  • к тикету приложите любой зашифрованный троянцем файл;
  • дождитесь ответа специалиста службы технической поддержки; в связи с большим количеством запросов это может занять некоторое время.

Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.

Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, ставших недоступными в результате действия опасного троянца-энкодера Trojan.Encoder.2843 , известного пользователям под именем «Vault».

Данная версия шифровальщика, получившая по классификации Dr.Web наименование Trojan.Encoder.2843 , активно распространяется злоумышленниками при помощи массовых почтовых рассылок. В качестве вложения в письма используется небольшой файл, содержащий сценарий на языке JavaScript. Этот файл извлекает из себя приложение, которое и выполняет остальные действия, необходимые для обеспечения работы энкодера. Данная версия троянца-шифровальщика распространяется со 2 ноября 2015 года.

Принцип работы этой вредоносной программы также весьма любопытен. В системный реестр Windows записывается зашифрованная динамическая библиотека (.DLL), а в запущенный процесс explorer.exe троянец встраивает небольшой код, который считывает файл из реестра в память, расшифровывает и передает на него управление.

Список шифруемых файлов Trojan.Encoder.2843 также хранит в системном реестре и для каждого из них использует уникальный ключ, состоящий из заглавных латинских букв. Шифрование файлов осуществляется с использованием алгоритмов Blowfish-ECB, сессионный ключ шифруется с использованием RSA при помощи интерфейса CryptoAPI. Каждому зашифрованному файлу присваивается расширение.vault.

Специалисты компании «Доктор Веб» разработали специальную методику, во многих случаях позволяющую расшифровывать поврежденные этим троянцем файлы. Если вы стали жертвой вредоносной программы Trojan.Encoder.2843 , воспользуйтесь следующими рекомендациями:

  • обратитесь с соответствующим заявлением в полицию;
  • ни в коем случае не пытайтесь переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит;
  • не удаляйте никакие файлы на вашем компьютере;
  • не пытайтесь восстановить зашифрованные файлы самостоятельно;
  • обратитесь в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web);
  • к тикету приложите любой зашифрованный троянцем файл;
  • дождитесь ответа специалиста службы технической поддержки; в связи с большим количеством запросов это может занять некоторое время.

Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.



Рекомендуем другие статьи
Как праздновать летнее солнцестояние Эммануэль Дагер: Исцеляющее солнцестояние
Как праздновать летнее солнцестояние Эммануэль Дагер: Исцеляющее солнцестояние
Программирование микроконтроллеров AVR для начинающих Программирование контроллеров avr для начинающих
Программирование микроконтроллеров AVR для начинающих Программирование контроллеров avr для начинающих
Завис планшет - что делать?
Завис планшет - что делать?