Утилита для расшифровки файлов после вируса vault. Возможна расшифровка файлов, пострадавших от действия последней версии троянца-шифровальщика «Vault

  1. Скорее всего вы встретились с такой проблемой как шифрование ваших файлов и соответственно без вашего ведома, желания. Открыв ссылку в письме, которое пришло к вам по почте и скорее всего от проверенного отправителя с которым вы уже вели переписку. Но может и как реклама! Но факт на лицо и у вас появились ниже приведенные симптомы, которые проявились следующим образом:

    2. Внезапно открывается текстовый файл в блокноте, следующего содержания:

    1. Ваши рабочие документы и базы данных были заблокированы и помечены форматом.vаult
    2. Для их восстановления необходимо получить уникальный ключ
    3. ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:
    4. КРАТКО
    5. 1. Зайдите на наш веб-ресурс
    6. 2. Гарантированно получите Ваш ключ
    7. 3. Восстановите файлы в прежний вид
    8. ДЕТАЛЬНО
    9. Шаг 1:
    10. Скачайте Tor браузер с официального сайта:
      11. https://www.torproject.org
    11. Шаг 2:
    12. Используя Tor браузер посетите сайт:
      13. https://restoredz4xpmuqr.onion
    13. Шаг 3:
    14. Найдите Ваш уникальный VAULT.KEY на компьютере — это Ваш ключ к личной клиент-панели. Не удалите его
    15. Авторизуйтесь на сайте используя ключ VAULT.KEY
    16. Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
    17. STEP 4:
    18. После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё ПО
    19. ДОПОЛНИТЕЛЬНО
    20. a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
    21. b) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке TEMP
    22. c) Ваша стоимость восстановления не окончательная, пишите в чат
    23. Дата блокировки: 08.04.2015 (11:14)
  2. На ваше усмотрение. Вы можете сделать как написано в файле(но я бы не стал). Почему? Потому что это не надежно, платить вымогальшикам это поддерживать и развивать их силу. Да и потом, врятли вы получите, ключ расшифровки.
  3. Появление такого сообщения уже означает, что vault вирус заразил ваш компьютер и начал шифрование файлов. В этот момент необходимо сразу же выключить компьютер, отключить его от сети и вынуть все сменные носители. Как провести лечение от вируса мы поговорим позже, а пока я расскажу, что же произошло у вас в системе.
  4. Скорее всего вам пришло письмо по почте от доверенного контрагента или замаскированное под известную организацию. Это может быть просьба провести бухгалтерскую сверку за какой-то период, просьба подтвердить оплату счета по договору, предложение ознакомиться с кредитной задолженностью в сбербанке или что-то другое. Но информация будет такова, что непременно вас заинтересует и вы откроете почтовое вложение с вирусом. На это и расчет.
  5. Итак, вы открываете вложение, которое имеет расширение.js и является ява скриптом. По идее, это уже должно вас насторожить и остановить от открытия, но если вы читаете эти строки, значит не насторожило и не остановило. Скрипт скачивает с сервера злоумышленников троян или банер ваулт, как его в данном случае можно назвать, и программу для шифрования. Складывает все это во временную директорию пользователя. И сразу начинается процесс шифрования файлов во всех местах, куда у пользователя есть доступ - сетевые диски, флешки, внешние харды и т.д.
  6. В качестве шифровальщика vault выступает бесплатная утилита для шифрования gpg и популярный алгоритм шифрования - RSA-1024. Так как по своей сути эта утилита много где используется, не является вирусом сама по себе, антивирусы пропускают и не блокируют ее работу. Формируется открытый и закрытый ключ для шифрования файлов. Закрытый ключ остается на сервере хакеров, открытый на компьютере пользователя.
  7. Проходит некоторое время после начала процесса шифрования. Оно зависит от нескольких факторов - скорости доступа к файлам, производительности компьютера. Дальше появляется информационное сообщение в текстовом файле, содержание которого я привел в самом начале. В этот момент часть информации уже зашифрована.
  8. Конкретно мне попалась модификация вируса vault, которая работала только на 32 битных системах. Причем на Windows 7 с включенным UAC выскакивает запрос на ввод пароля администратора. Без ввода пароля вирус ничего сделать не сможет. На Windows XP он начинает работу сразу после открытия файла из почты, никаких вопросов не задает.

    9. Вирус ставит расширение vault на doc, jpg, xls и других файлах

  9. Что же конкретно делает с файлами вирус? На первый взгляд кажется, что он просто меняет расширение со стандартного на.vault. Когда я первый раз увидел работу этого virus-шифровальщика, я так и подумал, что это детская разводка. Переименовал обратно файл и очень удивился, когда он не открылся как полагается, а вместо положенного содержания открылась каша из непонятных символов. Тут я понял, то все не так просто, начал разбираться и искать информацию.
  10. Вирус прошелся по всем популярным типам файлов - doc, docx, xls, xlsx, jpeg, pdf и другим. К стандартному имени файла прибавилось новое расширение.vault. Некоторым он шифрует и файлы с локальными базами 1С. У меня таких не было, так что сам лично я это не наблюдал. Простое переименовывание файла обратно, как вы понимаете, тут не помогает.
  11. Так как процесс шифрования не мгновенный, может так получиться, что когда вы узнаете о том, что у вас шурует вирус на компьютере, часть файлов еще будет нормальная, а часть зараженная. Хорошо, если не тронутой останется большая часть. Но чаще всего на это рассчитывать не приходится.
  12. Расскажу, что скрывается за сменой расширения. После шифрования, к примеру, файла file.doc рядом с ним вирус vault создает зашифрованный файл file.doc.gpg, затем зашифрованный file.doc.gpg перемещается на место исходного с новым именем file.doc, и только после этого переименовывается в file.doc.vault. Получается, что исходный файл не удаляется, а перезаписывается зашифрованным документом. После этого его невозможно восстановить стандартными средствами по восстановлению удаленных файлов. Вот часть кода, которая реализует подобный функционал:

    13. dir /B "%1:"&& for /r "%1:" %%i in (*.xls *.doc) do (echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst" echo %%i>> "%temp%\conf.list")

    Как удалить вирус vault и вылечить компьютер

  13. После обнаружения вируса шифровальщика первым делом необходимо от него избавиться, проведя лечение компьютера. Лучше всего загрузиться с какого-нибудь загрузочного диска и вручную очистить систему. Virus vault в плане въедливости в систему не сложный, вычистить его легко самому. Я подробно не буду останавливаться на этом моменте, так как тут подойдут стандартные рекомендации по удалению вирусов шифровальщиков, банеров и троянов.
  14. Само тело вируса находится во временной папке temp пользователя, который его запустил. Вирус состоит из следующих файлов. Названия могут меняться, но структура будет примерно такой же:
  • 3c21b8d9.cmd
  • 04fba9ba_VAULT.KEY
  • CONFIRMATION.KEY
  • fabac41c.js
  • Sdc0.bat
  • VAULT.KEY
  • VAULT.txt
  • VAULT.KEY - ключ шифрования. Если вы хотите расшифровать ваши данные, этот файл обязательно надо сохранить. Его передают злоумышленникам и они на его основе выдают вам вторую пару ключа, с помощью которого будет происходить расшифровка. Если этот файл потерять, данные восстановить будет невозможно даже за деньги.
  • CONFIRMATION.KEY - содержит информацию о зашифрованных файлах. Его попросят преступники, чтобы посчитать сколько денег с вас взять.
  • Остальные файлы служебные, их можно удалять. После удаления надо почистить автозагрузку, чтобы не было ссылок на удаленные файлы и ошибок при запуске. Теперь можно запускать компьютер и оценивать масштабы трагедии.

    • Как восстановить и расшифровать файлы после вируса vault

  • Вот мы и подошли к самому главному моменту. Как же нам получить обратно свою информацию. Компьютер мы вылечили, что могли восстановили, прервав шифрование. Теперь надо попытаться расшифровать файлы. Конечно, проще и желанней всего было бы получить готовый дешифратор для расшифровки, но его не существует. Увы, но создать инструмент, чтобы дешифровать данные, зашифрованные ключом RSA-1024 технически невозможно/ Так что к великому сожалению, вариантов тут не очень много:
  • Вам очень повезло, если у вас включена защита системы. Она включается для каждого диска отдельно. Если это было сделано, то вы можете воспользоваться инструментом восстановления предыдущих версий файлов и папок. Находится он всвойствах файла. Подробнее можно поискать в интернете, статей по поводу этого инструмента восстановления достаточно.
  • Если у вас оказались зашифрованы файлы на сетевых дисках, ищите архивные копии, проверяйте, не включена ли на этих дисках корзина, там будут ваши исходные файлы. Хотя стандартно на сетевых дисках ее нет, но можно настроить отдельно. Я чаще всего это делаю, когда настраиваю сетевые шары. Вспомните, нет ли у вас архивных копий ваших локальных данных.
  • Если у вас пострадали данные в папках, которые подключены к хранилищам данных в интернете типа Яндекс. Диск, Dropbox, Google disk, загляните к ним в корзину, там должны остаться оригинальные файлы до шифрования.
  • Попробуйте найти файл secring.gpg .Файл этот должен быть создан на вашей машине (как правило в %TEMP% юзера) в момент запуска процесса шифрования. К сожалению, вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает данный ключ с помощью утилиты sdelete.exe:

    • "%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"

  • Повторный запуск шифратора с целью получения этого ключа не поможет. Ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов не подойдет. Пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера ~1Кб.
  • Если ничего из перечисленного выше вам не помогло, а информация очень важная, у вас остается только один вариант - платить деньги создателям вируса. Но, как я писал выше, лично я бы не стал. Вирус vault настолько популярен, что в сети появилась реклама, где некие товарищи предлагают за деньги торговаться с хакерами, чтобы сбить цену на расшифровку данных. Я не знаю, насколько реально они сбивают цену и сбивают ли вообще, возможно это просто разводилы, которые возьмут с вас деньги и смоются. Что скорее всего так и будет. Вообще, выходит чистая уголовщина. Даже правительство не платит терористам, а на счету жизни. Решать вам. Напишите если что получиться.

    • Касперский, drweb и другие антивирусы в борьбе с шифровальщиком vault

  • А что же антивирусы нам могут предложить в борьбе с этой зашифрованной напастью? Лично я был свидетелем заражения вирусом на компьютерах с установленной и полностью обновленной лицензионной версией Kaspersky. Он никак не отреагировал на запуск шифровальщика. Это было в начале мая 2015г. Возможно уже сейчас что-то изменилось, но на момент моего поиска информации по данному вопросу, ни один из вирусов не гарантировал защиту пользователя от подобных угроз. Я читал форумы популярных антивирусов - Kaspersky, DrWeb и другие. Везде разводят руками. Если вам предложат скачать другую какую не известную вам утилиту, что расшифровать файлы. Не стоит это делать, скорей всего вы получите еще один вирус.

    • Методы защиты от vault вируса

  • Методов защиты конкретно для данного вируса нет, есть только общепринятые, для всех вирусов.
  • Не запускайте незнакомые приложения, ни в почте, ни скачанные из интернета. Старайтесь вообще из интернета ничего не качать и не запускать. Там сейчас столько всякой гадости валяется на файлопомойках, что защититься от них без должного понимания практически невозможно. Попросите лучше компетентного знакомого вам что-то найти в интернете и отблагодарите его за это.
  • Всегда имейте резервную копию важных данных. Причем хранить ее нужно отключенной от компьютера или сети. Храните отдельную флешку или внешний жесткий диск для архивных копий. Подключайте их раз в неделю к компьютеру, копируйте файлы, отключайте и больше не пользуйтесь. Для повседневных нужд приобретайте отдельные устройства, сейчас они очень доступны, не экономьте. В современный век информационных технологий информация — самый ценный ресурс, важнее носителей. Лучше купить лишнюю флешку, чем потерять важные данные.
  • Повысьте меру своего понимания происходящих в компьютере процессах. Сейчас компьютеры, планшеты, ноутбуки, смартфоны настолько плотно вошли в нашу жизнь, что не уметь в них разбираться значит отставать от современного ритма жизни. Никакой антивирус и специалист не сможет защитить ваши данные, если вы сами не научитесь это делать. Уделите время, почитайте тематические статьи на тему информационной безопасности, сходите на соответствующие курсы, повысьте свою компьютерную грамотность. Это в современной жизни обязательно пригодится.

    • Во время развития компьютерных технологий не обошлось и без вирусов. Всем известны их формы, которые засоряют память компьютера или телефона, удаляют файлы, подменяют их и многие другие. Но самыми опасными являются вирус шифровальщики. Это могут быть и трояны и особо опасный вирус Vault (дословно переводится, как склеп). Они шифруются под различные письма, которые пользователь открывает и тем самым запускает процесс проникновения вируса. Затем все файлы зашифровываются и вернуть их обратно очень сложно или вообще невозможно. Хакеры на это и рассчитывают, требуют деньги в обмен на возвращение информации.

    Вирус шифровальщик Vault — что это

    Одним из самых опасных вирусов считается Vault. Некоторые антивирусные программы его попросту не воспринимают. Файл чаще всего приходит с расширением .js. Поэтому прежде, чем открывать элемент с таким расширением дважды присмотритесь к нему. После запуска проходит некоторое время, которое нужно для считывания файлов на ПК и скачивании с сервера разработчиков специальной утилиты для зашифровки информации. Процесс шифрования начинается сразу после скачивания программы . Закодированы будут все данные, которые есть на компьютере на различных дисках, кроме тех, которые нужны для работы Windows.

    Кодировщиком Ваулт является бесплатная программа gpg с алгоритмом шифрования RSA 1024. Эта утилита спокойно обходит все защиты антивирусов, так как по сути не является вирусом. Потом создаются открытые и закрытые ключи. Закрытые остаются на сервере разработчиков или злоумышленников, а открытые на компьютере пользователя, заразившегося им.

    После определенного времени почти все на компьютере будет зашифровано, вся информация будет иметь расширение *.vault и пользователь полностью потеряет над ними контроль. А утилита создаст специальный ключ, который будут знать только хакеры.

    Пути заражения

    Этот вирус распространяется с помощью сообщений через почту или социальные сети и даже Скайп, в виде архива, чтобы его не заметили или файла с расширением.js.

    Он может приходить сообщением от компаний, с которыми пользователь взаимодействует, под видом оплаты какого-нибудь счета или сверочного документа для бухгалтеров. Поэтому надо быть осторожным и внимательно вчитываться в то, что присылают.

    Первые действия

    Если компьютер начал тормозить или проявлять излишнюю активность и на дисках часть файлов уже зашифрована, то следует сразу выключить компьютер с кнопки или вообще отсоединить от питания. Тогда удастся сохранить хотя бы часть данных.

    Снимаем жесткий диск и подключаем ко второму ПК, заранее отключив интернет. После включения прогнать все антивирусом и попытаться найти нижеперечисленные файлы.

    Если ключи найдены , то ищем сервисы дешифраторы в интернете. Расшифровываем информацию и форматируем диск С.

    Если ничего не найдено , форматируем диск С и переходим к последующим инструкциям.

    Как удалить Vault

    Прежде чем пользователь обнаружит у себя этот вирус, его деятельность уже завершится с удачным исходом. Поэтому необходимо сделать следующее, чтобы не потерять свои данные:

    • Сохранить файл confirmation.key, он отобразит количество зашифрованных данных. Благодаря ему хакеры могут видеть сколько файлов надо восстановить и потребовать определенную сумму.
    • Найти Vault.key. Этот файл является ключом или идентификатором к зашифрованной информации.
    • Сохранить Vault.txt. Здесь содержится вся информация о хакерах и их сайте.

    Сохранив эти файлы из папки Temp, вы можете ее полностью очистить и пройтись программой CureIT , которую предоставляет антивирус Doctor Web. Затем перезагрузите персональное устройство.

    Если в папке Temp ничего из вышеперечисленного не оказалось, можно воспользоваться стандартным поиском на диске С. Вероятность найти Vault.key очень мала, он удаляется после завершения шифрования. Но если он найден – это практически полная гарантия расшифровки информации.

    Восстановление зашифрованных файлов

    Если Vault вирус все-таки зашифровал ПК, то восстановить зашифрованные файлы можно несколькими способами. На жестком диске некоторое время хранится дешифровальный ключ, который после того, как все будет закончено отправится на сервер хакерам и соответственно удалится с ПК.

    Возможно еще есть время его найти. Он называется secring.gpg. Если зайти в Мой компьютер и в строке поиска в правом верхнем углу ввести название и нажать кнопку «Ввод», система попытается отыскать этот файл. Открыв его можно получить логин а пароль от сайта, где хранится дешифратор. Более подробно узнать, как это сделать на видео ниже:

    А также можно попытаться самому восстановить данные из резервных копий, если вы их создавали. Кликаете по закодированному элементу правой кнопкой и находите пункт «Свойства ». Ищете раздел «Предыдущие версии » и восстанавливаете. Это сработает, если эта функция включена в системе.

    Оплата мошенникам

    Конечно, чтобы не терять информацию, если не получилось ее восстановить, можно связаться с самими злоумышленниками и заплатить им. Однако их сервера не работают круглосуточно и придется ждать несколько часов, пока заработает обратная связь. Кроме этого, не факт, что после оплаты денег, создатели Vault расшифруют все файлы.

    Хотя судя по многочисленным отзывам мошенники действительно расшифровывают информацию. В этом плане аферисты очень щепетильны – действует гибкая система скидок (если пользователь умудрился опять подцепить подобный вирус) и даже есть техподдержка.

    Всю информацию об их сайте и как с ними связаться получаете в блокноте после заражения.

    Что предлагают антивирусные лаборатории

    Например, антивирусная лаборатория Доктор Веб предлагает не удалять файлы, не чистить систему и оставить все на своих местах после обнаружения заражения. Затем с последующим заявлением обратиться в полицию. Образцы заявлений представлены по ссылке http://legal.drweb.ru/templates .

    После этого необходимо обратиться в техническую поддержку антивируса и представить копию зашифрованного элемента. Останется только ждать ответа от службы поддержки. Через некоторое время в ответном письме от Dr.Web придет Vault дешифратор. К сожалению эта возможность доступна только тем пользователям, у кого куплен платный пакет антивируса.

    У антивируса Касперского тоже есть для этого специальный дешифратор Vault decryptor. Это программа, которая самостоятельно ищет зашифрованные файлы и раскодирует их.

    Если у вас стоит антивирус Esed Nod 32 , то следует сканировать и почистить систему данным антивирусом, а затем обратиться в техническую поддержку — [email protected]. Обращаться в тех.поддержку следует только при наличии лицензионного антивируса.

    У антивируса Avast есть специальные утилиты для дешифровки Ваулт вируса. Их можно найти на официальном сайте Avast.

    Как обезопасить себя от вируса Vault

    Для того, чтобы обезопасить себя от таких вирусов необходимо:

    • Не открывать файлы с расширением.js или отсылать их на проверку антивирусу.
    • Всю важную информацию с ПК хранить на облачном диске.
    • Не скачивать пиратские утилиты и не устанавливать из на компьютер.

    Вирус Vault – это шифровальщик данных, который попадает на компьютер после открытия определенного письма в электронной почте. Письмо содержит в себе документ с расширением.doc и сам скрипт шифровальщика с расширением.js. В документе находится подробная инструкция и ссылка, куда перейти и сколько заплатить для того, чтобы расшифровать зараженные файлы.

    Пораженным файлам, к их расширению.doc, .xls, .pdf, или.jpeg добавляется расширение.vault.

    Vault вирус – что делать при обнаружении

    Первое, что нужно сделать после обнаружения заражения файлов – это отключиться от сети и просканировать систему с помощью антивирусной программы, установленной на компьютере или Защитника Windows.

    Сам вирус как правило располагается в папке Temp (C:/Windows/Temp) и имеет следующую структуру:

    Это все удаляется, кроме последних дух файлов:

    • VAULT.KEY - это ключ шифрования.
    • CONFIRMATION.KEY - содержит точную информацию о количестве заблокированных файлов.

    Vault вирус – как восстановить файлы. Способ №1

    • На зараженном файле кликаем правой кнопкой мыши и в самом низу выбираем «Свойства».
    • В появившемся окне переходим на вкладку «Предыдущие версии».
    • Здесь в окне «Версии файлов» выбираем ранее сохраненный файл и нажимаем «Восстановить».
    • Все, файл восстановлен и готов к дальнейшему использованию.
    • Или меню Пуск / Панель управления/ Система/Восстановление/ и в меню справа выбираем «Восстановление файлов».

    И в появившемся окне нажимаем «Восстановить мои файлы».

    У этого способа есть одно но, он работает тогда, когда на компьютере не забывают создавать «Точки восстановления системы».


    Vault вирус – как восстановить файлы. Способ №2

    Он заключается в том, что можно обратиться за помощью к антивирусным лабораториям. Таким как Лаборатория Касперского или Dr. Web. У них как правило есть готовые решения. У «Касперского» это RectorDecryptor, приложение, которое само ищет и исправляет пораженные файлы.

    Dr. Web предлагает свой дешифровщик Dr web VAULT.

    • Скачав его и запустив, в окне поиска нужно подставить зашифрованный файл с расширением.vault.
    • И после некоторого поиска получаем расшифрованный файл.

    Но к сожалению, этот способ тоже не является универсальным. Так как разработчики вируса тоже не стоят на месте и изменяют ключ, и данные решения от Касперского и Dr. WEB могут просто не подойти.


    Vault вирус – как восстановить файлы. Способ №3

    Этот способ подойдет для продвинутых пользователей. Суть его заключается в том, чтобы в самом скрипте шифровальщика найти ключ для расшифровки. Имя файла ключа secring.gpg.

    Загвоздка этого метода заключается в том, что может в системе и не быть этого файла, то есть, он может быть удален самим шифровальщиком.


    Итак, главное, это не вестись на провокацию и не паниковать, и тем более не торопиться платить деньги. Нужно постараться использовать все имеющиеся способы восстановления файлов.

    Наша статья посвящена очередному «шедевру» хакеров — вирусу-шифровальщику Vault. Мы расскажем что это за вирус Ваулт и как он действует на систему. Рассмотрим варианты, при которых можно восстановить файлы.

    Вирус Vault — что делать?!

    Одним «прекрасным» днем вы открыли свой рабочий стол и увидели запущенный блокнот со следующим текстом:

    Исходя из этого, становится ясно — вы стали «горе-обладателем» вируса Ваулт. Этот вирус заражает компьютер и начинает шифровать ваши файлы. Так под шифрование попадают файлы с расширением.pdf, .doc, .docx, .xls, .xlsx, .jpeg, .zip и др. После работы вируса, к имени файла прибавляется расширение.vault. Также вирус, в некоторых случаях, действует на локальные базы 1C. Как видите, vault шифрует все популярные для работы документы.

    Наверное вы зададитесь вопросом: А как же vault попал на мой компьютер? Тут все проще простого, злоумышленники выслали на вашу электронную почту письмо. Название письма говорило о его важности и необходимости срочно открыть и прочитать его. Это могло быть письмо от банка, партнеров или какое-нибудь выгодное предложение. В этом письме имелся вложенный документ с расширением.js (ява скрипт).

    При запуске (а вы его запустили!) это вирус-расширение скачивает из хакерских серверов программу шифровальщик. В вашем случае, вирус шифровальщик Vault — это легитимное криптографическое ПО GPG (GnuPG) , использующая популярный алгоритм шифрования rsa-1024. Программа не является вирусом, поэтому антивирусы её не блокируют и допускают её работу. GPG формирует открытый (на вашем ПК) и закрытый (на сервере злоумышленников) ключи шифрования.

    Есть много модификаций вируса Vault , к примеру, для Windows 7/ 8, 32-х или 64-х битных систем. И попадая в каждую, вирус действует по своему. Также вирус может шифровать компьютеры находящиеся в одной сети с вашим.

    Как убрать вирус Vault из компьютера?

    Вирус действует таким образом, что в папке с исходным файлом, создается аналогичный с расширением.gpg. Далее этот файл встает заменяет исходный файл и добавляет расширение vault. Простым переименованием документа тут не отделаться. Поэтому давайте разбираться, как восстановить файлы и убрать вирус vault.

    Удаление самого вируса

    Как только вы обнаружили расширение vault на ваших документах, то сразу отключите сеть, и прекратите работу со всеми приложениями, не открывайте папки на дисках лишний раз. Войдите в систему через безопасный режим.

    В плане удаления, вирус Ваулт не сложный. Удалить его не представляется трудным, для этого воспользуйтесь самыми популярными программами для удаления таких вирусов шифраторов, банерной рекламы, троянов. Но проблемы будут дальше:(.

    Что нужно знать — так это то, что само тело вируса спрятано в папке Temp. Состоит вирус из следующих файлов:

    • 3c21b8d9.cmd;
    • fabac41c.js;
    • VAULT.txt;
    • Sdc0.bat;
    • VAULT.KEY;
    • CONFIRMATION.KEY.

    Все эти файлы, кроме двух последних (!), нужно удалить. Далее запустите клинер, очистите автозагрузку, проверьте реестр на наличие ошибок (для Windows 7/8/10 принцип одинаков). Последние 2 файла нужно оставить на компьютере, так как:

    1. VAULT.KEY — непосредственно сам ключ шифрования. Его удалять нельзя ни в коем случае! Он передается злоумышленникам, анализируя его, они выдадут вам вторую часть ключа для расшифровки.
    2. CONFIRMATION.KEY — файл с полной информацией о количестве зашифрованных файлов на ПК. он тоже необходим для хакеров.

    Восстановление файлов с расширением.vault бесплатно

    Таким образом, мы подошли к самому страшному — файлы остались зашифрованными. бесплатных дешифраторов для вируса vault не существует. Расшифровать файлы с ключом rsa-1024 может только сама исходная программа.

    Какие есть способы для восстановления файлов:


    Если вы ничего не нашли в Корзинах и нет точек восстановления системы, то вам придется платить злоумышленникам. Тут ничего не поделаешь. Анализируя диалоги на форумах, следует вывод — что злоумышленники реально расшифровывают файлы, но за это нужно платить. Будь это неправда, молва в интернете давно бы это разнесла, и люди бы не велись на это. Следует понимать, что это целая «бизнес-система» — вы попались, теперь платите и все будет хорошо.

    Дошло до того, что в интернете уже есть супер-агенты! То есть посредники, которые свяжутся за вас со злоумышленниками и решат все ваши проблемы. Вестись на это или нет, ваше дело. Не хотите сами делать — платите больше.

    Следуя инструкциям из текстового файла, вы запустите браузер Tor (специально для затирания IP), далее вы попадете на один из сайтов злоумышленников. Здесь есть мануал по работе с сайтом и даже система скидок:(.

    А как же антивирус?

    К сожалению, как писалось выше, антивирусные программы Dr Web, Kaspersky, Avast и др. — ничего сделать не могут. Ведь программа не является вирусом по сути. Официальные запросы в техподдержку Лаборатории Касперского заканчиваются развернутыми рассказами о vault и предложениями воспользоваться их дешифраторами RannohDecryptor , ScatterDecryptor , Rector Decryptor , RakhniDecryptor или Xorist Decryptor. Доктор Веб вообще советует обратиться в полицию, по факту несанкционированного доступа к компьютеру. Ну что ж, спасибо Доктор.

    Как видите вариантов не много, и если файлы вам действительно важны, придется платить. Тянуть с этим тоже нельзя, сервера с базами и сайты постоянно перемещаются — удаляются старые и появляются новые.

    И вот небольшое видео, где можно увидеть как действует вирус Vault на систему. Это видео не является рекламой:).

    Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, ставших недоступными в результате действия опасного троянца-энкодера Trojan.Encoder.2843 , известного пользователям под именем «Vault».

    Данная версия шифровальщика, получившая по классификации Dr.Web наименование Trojan.Encoder.2843 , активно распространяется злоумышленниками при помощи массовых почтовых рассылок. В качестве вложения в письма используется небольшой файл, содержащий сценарий на языке JavaScript. Этот файл извлекает из себя приложение, которое и выполняет остальные действия, необходимые для обеспечения работы энкодера. Данная версия троянца-шифровальщика распространяется со 2 ноября 2015 года.

    Принцип работы этой вредоносной программы также весьма любопытен. В системный реестр Windows записывается зашифрованная динамическая библиотека (.DLL), а в запущенный процесс explorer.exe троянец встраивает небольшой код, который считывает файл из реестра в память, расшифровывает и передает на него управление.

    Список шифруемых файлов Trojan.Encoder.2843 также хранит в системном реестре и для каждого из них использует уникальный ключ, состоящий из заглавных латинских букв. Шифрование файлов осуществляется с использованием алгоритмов Blowfish-ECB, сессионный ключ шифруется с использованием RSA при помощи интерфейса CryptoAPI. Каждому зашифрованному файлу присваивается расширение.vault.

    Специалисты компании «Доктор Веб» разработали специальную методику, во многих случаях позволяющую расшифровывать поврежденные этим троянцем файлы. Если вы стали жертвой вредоносной программы Trojan.Encoder.2843 , воспользуйтесь следующими рекомендациями:

    • обратитесь с соответствующим заявлением в полицию;
    • ни в коем случае не пытайтесь переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит;
    • не удаляйте никакие файлы на вашем компьютере;
    • не пытайтесь восстановить зашифрованные файлы самостоятельно;
    • обратитесь в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web);
    • к тикету приложите любой зашифрованный троянцем файл;
    • дождитесь ответа специалиста службы технической поддержки; в связи с большим количеством запросов это может занять некоторое время.

    Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.



    Рекомендуем другие статьи
    Столото, Русское лото – обман?
    Столото, Русское лото – обман?
    Как работает майнинг криптовалюты Процесс майнинга криптовалют
    Как работает майнинг криптовалюты Процесс майнинга криптовалют
    Конспект занятия в детском саду «Программист – великий волшебник
    Конспект занятия в детском саду «Программист – великий волшебник