Un utilitar pentru decriptarea fișierelor după virusul seifului. Este posibil să decriptați fișierele afectate de cea mai recentă versiune a troianului ransomware Vault

1. Cel mai probabil, ați întâmpinat o astfel de problemă precum criptarea fișierelor și, în consecință, fără știrea sau dorința dvs. Prin deschiderea unui link într-o scrisoare care ți-a venit prin poștă și cel mai probabil de la un expeditor verificat cu care ai corespondat deja. Dar poate ca reclamă! Dar adevărul este că aveți următoarele simptome, care se manifestă după cum urmează:

Dintr-o dată se deschide un fișier text în Notepad cu următorul conținut:

1. Documentele dvs. de lucru și bazele de date au fost blocate și marcate cu formatul .vault
2. Pentru a le restaura trebuie să obțineți o cheie unică
3. PROCEDURA PENTRU OBȚINEREA CHEII:
4. SCURT
5. 1. Accesați resursa noastră web
6. 2. Garantat pentru a primi cheia
7. 3. Restabiliți fișierele la forma lor originală
8. DETALII
9. Pasul 1:
10. Descărcați browserul Tor de pe site-ul oficial:
https://www.torproject.org
11. Pasul 2:
12. Folosind browserul Tor, vizitați site-ul:
https://restoredz4xpmuqr.onion
13. Pasul 3:
14. Găsiți VAULT.KEY-ul dvs. unic pe computer - aceasta este cheia dvs. pentru panoul dvs. personal de client. Nu-l șterge
15. Conectați-vă la site folosind cheia VAULT.KEY
16. Accesați secțiunea Întrebări frecvente și citiți procedura ulterioară
17. PASUL 4:
18. După ce primiți cheia, puteți restaura fișierele folosind software-ul nostru open source sau puteți utiliza în siguranță propriul software
19. ÎN SUPLIMENTARE
20. a) Nu veți putea recupera fișiere fără o cheie unică (care este stocată în siguranță pe serverul nostru)
21. b) Dacă nu puteți găsi VAULT.KEY, căutați în folderul temporar TEMP
22. c) Costul de restaurare nu este final, scrieți pe chat
23. Data blocării: 04.08.2015 (11:14)
2. La discretia ta. Puteți face așa cum este scris în fișier (dar eu nu aș face-o). De ce? Pentru că nu este de încredere, plătirea extorsionarilor înseamnă să-și susțină și să-și dezvolte puterea. Și apoi, cel mai probabil, veți primi o cheie de decriptare.
3. Apariția unui astfel de mesaj înseamnă deja că virusul seifului v-a infectat computerul și a început să cripteze fișierele. În acest moment, trebuie să opriți imediat computerul, să-l deconectați de la rețea și să eliminați toate mediile amovibile. Vom vorbi mai târziu despre cum să tratați virusul, dar deocamdată vă voi spune ce s-a întâmplat în sistemul dumneavoastră.
4. Cel mai probabil, ați primit o scrisoare prin poștă de la o contraparte de încredere sau deghizat într-o organizație cunoscută. Aceasta ar putea fi o solicitare de a efectua o reconciliere contabilă pentru o anumită perioadă, o solicitare de confirmare a plății unei facturi în baza unui acord, o ofertă de familiarizare cu datoria de credit la banca de economii sau altceva. Dar informațiile vor fi de așa natură încât cu siguranță vei fi interesat și vei deschide atașamentul de e-mail cu virusul. Pe asta ne bazăm.
5. Deci, deschideți un atașament care are o extensie .js și este un script Java. În teorie, acest lucru ar trebui să vă alerteze deja și să vă împiedice să deschideți, dar dacă citiți aceste rânduri, înseamnă că nu v-a alertat și nu v-a oprit. Scriptul descarcă un troian sau Banner Vault, așa cum poate fi numit în acest caz, și un program de criptare de pe serverul atacatorilor. Pune totul în directorul temporar al utilizatorului. Și procesul de criptare a fișierelor începe imediat în toate locurile în care utilizatorul are acces - unități de rețea, unități flash, hard disk-uri externe etc.
6. Vault Encryptor este un utilitar gratuit de criptare gpg și un algoritm de criptare popular - RSA-1024. Deoarece în esența sa, acest utilitar este folosit în multe locuri și nu este un virus în sine, antivirusurile îi lasă să treacă și nu îi blochează funcționarea. Se generează o cheie publică și privată pentru a cripta fișierele. Cheia privată rămâne pe serverul hackerilor, deschisă pe computerul utilizatorului.
7. După începerea procesului de criptare, trece ceva timp. Depinde de mai mulți factori - viteza de acces la fișiere, performanța computerului. Apoi apare un mesaj informativ într-un fișier text, al cărui conținut l-am furnizat chiar la început. În acest moment, o parte din informații este deja criptată.
8. Mai exact, am dat peste o modificare a virusului seifului, care a funcționat doar pe sisteme pe 32 de biți. Mai mult, pe Windows 7 cu UAC activat, apare o solicitare de introducere a parolei de administrator. Fără a introduce parola, virusul nu poate face nimic. Pe Windows XP, începe să funcționeze imediat după deschiderea unui fișier din e-mail, fără a pune întrebări.

Virusul pune extensia seifului pe doc, jpg, xls și alte fișiere

9. Ce face mai exact un virus cu fișierele? La prima vedere, se pare că pur și simplu schimbă extensia de la standard la .vault. Când am văzut prima oară activitatea acestui criptator de viruși, am crezut că este o înșelătorie copilărească. Am redenumit fișierul și am fost foarte surprins când nu s-a deschis așa cum era de așteptat, dar în loc de conținutul cerut, s-a deschis o mizerie de simboluri de neînțeles. Apoi mi-am dat seama că totul nu este atât de simplu, am început să-mi dau seama și să caut informații.
10. Virusul a atacat toate tipurile de fișiere populare - doc, docx, xls, xlsx, jpeg, pdf și altele. O nouă extensie .vault a fost adăugată la numele fișierului standard. Pentru unii, criptează și fișierele cu baze de date locale 1C. Nu am avut niciunul dintre acestea, așa că personal nu l-am observat. Pur și simplu redenumirea fișierului înapoi, după cum înțelegeți, nu ajută aici.
11. Deoarece procesul de criptare nu este instantaneu, se poate întâmpla ca atunci când aflați că aveți un virus pe computer, unele dintre fișiere vor fi în continuare normale, iar unele vor fi infectate. Este bine dacă majoritatea rămâne neatinsă. Dar cel mai adesea nu te poți baza pe asta.
12. Vă voi spune ce se ascunde în spatele modificării extensiei. După criptarea, de exemplu, fișierul file.doc de lângă acesta, virusul seifului creează un fișier criptat file.doc.gpg, apoi fișierul criptat.doc.gpg este mutat în locul celui original cu un nou fișier de nume .doc și numai după aceea este redenumit fișierul doc.vault. Se pare că fișierul original nu este șters, ci este suprascris cu un document criptat. După aceasta, nu poate fi restaurat folosind instrumente standard pentru recuperarea fișierelor șterse. Iată o parte a codului care implementează funcționalități similare:

dir /B „%1:”&& pentru /r „%1:” %%i în (*.xls *.doc) do (echo „%%TeMp%%\svchost.exe" -r Cellar --yes - q --no-verbose --trust-model întotdeauna --encrypt-files „%%i”^& mutați /y „%%i.gpg” „%%i”^& redenumiți „%%i” „%% ~nxi.vault">> "%temp%\cryptlist.lst" echo %%i>> "%temp%\conf.list")

Cum să eliminați virusul seifului și să vă vindecați computerul

13. După detectarea unui virus ransomware, primul lucru pe care trebuie să-l faceți este să scăpați de el dezinfectând computerul. Cel mai bine este să porniți de pe un fel de disc de pornire și să curățați manual sistemul. Seiful de viruși nu este complicat în ceea ce privește corozivitatea în sistem; este ușor să îl curățați singur. Nu mă voi opri în detaliu asupra acestui punct, deoarece recomandările standard pentru eliminarea virușilor de criptare, a bannerelor și a troienilor sunt potrivite aici.
14. Corpul virusului în sine se află în folderul temporar temporar al utilizatorului care l-a lansat. Virusul este format din următoarele fișiere. Numele se pot schimba, dar structura va fi aproximativ aceeași:

• 3c21b8d9.cmd
• 04fba9ba_VAULT.KEY
• CONFIRMARE.CHEIE
• fabac41c.js
• Sdc0.bat
• VAULT.KEY
• VAULT.txt

VAULT.KEY - cheie de criptare. Dacă doriți să vă decriptați datele, trebuie să salvați acest fișier. Este transmis atacatorilor și, pe baza ei, vă oferă o a doua pereche de chei, care va fi folosită pentru decriptare. Dacă acest fișier este pierdut, va fi imposibil să recuperați datele chiar și pentru bani.

CONFIRMATION.KEY - conține informații despre fișierele criptate. Criminalii vor cere să calculeze câți bani să ia de la tine.

Fișierele rămase sunt fișiere de serviciu și pot fi șterse. După ștergere, trebuie să curățați pornirea, astfel încât să nu existe legături către fișierele șterse și erori la pornire. Acum puteți porni computerul și puteți evalua amploarea tragediei.

Cum să recuperați și să decriptați fișierele după un virus de seif

Aici ajungem la punctul cel mai important. Cum ne putem recupera informațiile? Am dezinfectat computerul și l-am restaurat prin întreruperea criptării. Acum trebuie să încercăm să decriptăm fișierele. Desigur, cel mai ușor și de dorit ar fi să obțineți un decodor gata făcut pentru decriptare, dar nu există. Din păcate, este imposibil din punct de vedere tehnic să creați un instrument pentru a decripta datele criptate cu o cheie RSA-1024. Deci, din păcate, nu există multe opțiuni aici:

Ești foarte norocos dacă ai activată protecția sistemului. Este activat pentru fiecare disc separat. Dacă acest lucru a fost făcut, atunci puteți utiliza instrumentul pentru a restaura versiunile anterioare ale fișierelor și folderelor. Se află în proprietățile fișierului. Puteți căuta pe Internet pentru mai multe detalii, există o mulțime de articole despre acest instrument de recuperare.

Dacă aveți fișiere criptate pe unități de rețea, căutați copii arhivate, verificați dacă coșul de reciclare este activat pe aceste unități, fișierele dvs. originale vor fi acolo. Deși nu este standard pe unitățile de rețea, poate fi configurat separat. Cel mai adesea fac acest lucru când configurez partajări de rețea. Luați în considerare dacă aveți copii de rezervă ale datelor dvs. locale.

Dacă aveți date deteriorate în foldere care sunt conectate la unități de stocare a datelor de pe Internet, cum ar fi Yandex. Disk, Dropbox, Google disc, uitați-vă în coșul de gunoi, fișierele originale ar trebui să rămână acolo înainte de criptare.

Încercați să găsiți fișierul secret.gpg.Acest fișier trebuie creat pe computerul dvs. (de obicei în %TEMP%) al utilizatorului în momentul începerii procesului de criptare. Din păcate, probabilitatea de a căuta cu succes secring.gpg este scăzută, deoarece criptatorul șterge cu atenție această cheie folosind utilitarul sdelete.exe:

„%temp%\sdelete.exe” /accepteula -p 4 -q „%temp%\secring.gpg”

Rularea din nou a criptatorului pentru a obține această cheie nu va ajuta. Cheia va fi creată cu o amprentă și un ID diferit și nu va fi potrivită pentru decriptarea documentelor dvs. Încercați să căutați această cheie printre fișierele șterse, dar asigurați-vă că aveți o dimensiune diferită de zero de ~1Kb.

Dacă niciunul dintre cele de mai sus nu v-a ajutat, iar informațiile sunt foarte importante, aveți o singură opțiune - plătiți bani creatorilor virusului. Dar, așa cum am scris mai sus, eu personal nu aș face-o. Virusul seifului este atât de popular încât au apărut reclame pe internet în care unii camarazi se oferă să se negocieze cu hackerii pentru bani pentru a reduce prețul decriptării datelor. Nu știu cât de realist scad prețul și dacă scad deloc prețul, poate că sunt doar escroci care îți vor lua banii și fugi. Cel mai probabil așa va fi. În general, se dovedește a fi pură criminalitate. Nici măcar guvernul nu plătește teroriștii, dar vieți sunt în joc. Tu decizi. Scrieți dacă merge ceva.

Kaspersky, drweb și alte antivirusuri în lupta împotriva ransomware-ului seif

Ce ne pot oferi antivirusurile în lupta împotriva acestui flagel criptat? Personal, am fost martor la o infecție cu virus pe computere cu o versiune cu licență a Kaspersky instalată și complet actualizată. Nu a reacționat în niciun fel la lansarea ransomware-ului. Asta a fost la începutul lui mai 2015. Poate că ceva s-a schimbat deja, dar în momentul căutării mele pentru informații despre această problemă, niciun virus nu a garantat protecția utilizatorului împotriva unor astfel de amenințări. Am citit forumurile antivirusurilor populare - Kaspersky, DrWeb și altele. Ei ridică din umeri peste tot. Dacă vi se oferă să descărcați un alt utilitar necunoscut pentru dvs. pentru a decripta fișierele. Nu ar trebui să faci asta, cel mai probabil vei primi un alt virus.

Metode de protecție împotriva virusului seifului

Nu există metode de protecție special pentru acest virus, există doar metode general acceptate pentru toți virușii.

Nu lansați aplicații necunoscute, fie prin e-mail, fie descărcate de pe Internet. Încercați să nu descărcați sau să lansați nimic de pe Internet. Acum există atât de multe lucruri urâte în depozitele de fișiere încât este aproape imposibil să te protejezi de ele fără o înțelegere adecvată. Cere-i unui prieten competent de-al tău să găsească ceva pe internet și mulțumește-i pentru asta.

Aveți întotdeauna o copie de rezervă a datelor importante. Mai mult, acesta trebuie stocat deconectat de la computer sau de la rețea. Păstrați o unitate flash separată sau un hard disk extern pentru copii de rezervă. Conectați-le la computer o dată pe săptămână, copiați fișierele, deconectați-le și nu le mai utilizați. Pentru nevoile de zi cu zi, cumpărați dispozitive separate, acum sunt foarte accesibile, nu vă zgâriți. În epoca modernă a tehnologiei informației, informația este cea mai valoroasă resursă, mai importantă decât media. Este mai bine să cumpărați o unitate flash suplimentară decât să pierdeți date importante.

Îmbunătățiți-vă înțelegerea proceselor care au loc într-un computer. În zilele noastre, computerele, tabletele, laptopurile și smartphone-urile au devenit atât de integrate în viața noastră încât a nu putea să le înțelegem înseamnă să rămânem în urmă ritmului modern al vieții. Niciun antivirus sau specialist nu va putea să vă protejeze datele dacă nu învățați singur cum să o faceți. Fă-ți timp, citește articole de actualitate despre securitatea informațiilor, urmează cursuri relevante și îmbunătățește-ți cunoștințele de calculator. Acest lucru va fi cu siguranță util în viața modernă.

În timpul dezvoltării tehnologiei informatice, au existat niște viruși. Toată lumea își cunoaște formele, care blochează memoria unui computer sau telefon, șterg fișiere, le înlocuiesc și multe altele. Dar cei mai periculoși sunt virușii ransomware. Acestea ar putea fi troieni sau un virus Vault deosebit de periculos (tradus literal ca criptă). Ele sunt criptate sub diferite litere pe care utilizatorul le deschide și, prin urmare, începe procesul de penetrare a virușilor. Apoi toate fișierele sunt criptate și recuperarea lor este foarte dificilă sau chiar imposibilă. Hackerii se bazează pe acest lucru și cer bani în schimbul returnării informațiilor.

Virusul ransomware Vault - ce este?

Vault este considerat unul dintre cei mai periculoși viruși. Unele programe antivirus pur și simplu nu îl percep. File cel mai des vine cu extensie.js. Prin urmare, înainte de a deschide un element cu o astfel de extensie, aruncați o privire mai atentă la el. După lansare, trece ceva timp, care este necesar pentru a citi fișierele de pe computer și a descărca un utilitar special pentru criptarea informațiilor de pe serverul dezvoltatorilor. Procesul de criptare începe imediat după descărcarea programului. Toate datele care se află pe computer pe diferite discuri vor fi codificate, cu excepția celor care sunt necesare pentru ca Windows să funcționeze.

Codificatorul Vault este un program gpg gratuit cu algoritmul de criptare RSA 1024. Acest utilitar este ușor ocolește toate protecțiile antivirusuri, deoarece în esență nu este un virus. Apoi sunt create cheile publice și private. Cele închise rămân pe serverul dezvoltatorilor sau atacatorilor, iar cele deschise rămân pe computerul utilizatorului care s-a infectat cu acesta.

După un anumit timp, aproape totul de pe computer va fi criptat, toate informațiile vor avea extensia *.vault și utilizatorul va pierde complet controlul asupra lor. Și utilitarul va crea o cheie specială pe care doar hackerii o vor cunoaște.

Căile de infectare

Acest virus se răspândește prin mesaje prin mail sau rețele sociale și chiar prin Skype, sub forma unei arhive pentru a nu se face observat sau a unui fișier cu extensia .js.

Poate veni ca un mesaj de la companii cu care utilizatorul interacționează, sub pretextul plății un fel de factură sau document de reconciliere pentru contabili. Prin urmare, trebuie să fii atent și să citești cu atenție ceea ce trimit.

Primele acțiuni

Dacă computerul începe să încetinească sau să prezinte activitate excesivă și unele dintre fișierele de pe discuri sunt deja criptate, atunci ar trebui să opriți imediat computerul folosind butonul sau chiar să îl deconectați de la sursa de alimentare. Apoi veți putea salva cel puțin o parte din date.

Scoatem hard disk-ul și îl conectăm la un al doilea computer, oprind în prealabil internetul. După ce îl porniți, rulați totul cu un antivirus și încercați să găsiți fișierele enumerate mai jos.

Dacă cheile găsite, apoi căutăm servicii de decriptare pe Internet. Decriptăm informațiile și formatăm unitatea C.

Dacă Nimic gasit, formatați unitatea C și treceți la instrucțiunile ulterioare.

Cum să eliminați Vault

Înainte ca utilizatorul să descopere acest virus, activitatea sa va fi deja finalizată cu un rezultat de succes. Prin urmare, trebuie să faceți următoarele pentru a evita pierderea datelor:

• Salvează fișierul confirmation.key, va afișa cantitatea de date criptate. Datorită acesteia, hackerii pot vedea câte fișiere trebuie restaurate și pot cere o anumită sumă.
• Găsi Seif.cheie. Acest fișier este cheia sau identificatorul informațiilor criptate.
• Salvați Vault.txt. Acesta conține toate informațiile despre hackeri și site-ul lor.

După ce ați salvat aceste fișiere din folderul Temp, îl puteți șterge complet și rulați prin programul CureIT furnizat de antivirus Doctor Web. Apoi reporniți dispozitivul personal.

Dacă niciuna dintre cele de mai sus nu se află în folderul Temp, puteți utiliza căutare standard pe unitatea C. Probabilitatea de a găsi Vault.key este foarte mică; acesta este șters după finalizarea criptării. Dar dacă se găsește, aceasta este o garanție aproape completă a decodării informațiilor.

Recuperarea fișierelor criptate

Dacă virusul Vault criptează computerul, atunci puteți restaura fișierele criptate în mai multe moduri. Cheia de decriptare este stocată pe hard disk pentru o perioadă de timp, care, după ce totul este terminat, este trimisă la serverul hackerilor și ulterior ștearsă de pe computer.

Poate mai este timp să-l găsim. Se numește secret.gpg. Dacă accesați My Computer și în bara de căutare din colțul din dreapta sus Introdu numeleși apăsați butonul „Enter”, sistemul va încerca să găsească acest fișier. Deschizându-l, puteți obține login și parola pentru site-ul unde este stocat decriptorul. Aflați mai multe despre cum să faceți acest lucru în videoclipul de mai jos:

De asemenea, puteți încerca să restaurați singur datele din backup, dacă le-ați creat. Faceți clic dreapta pe elementul codificat și găsiți elementul „ Proprietăți" Caut sectiunea " Versiuni anterioare„și restaurați. Acest lucru va funcționa dacă această caracteristică este activată pe sistem.

Plată către escroci

Desigur, pentru a nu pierde informații dacă nu le puteți recupera, puteți contacta înșiși atacatorii și le puteți plăti. Cu toate acestea, serverele lor nu funcționează non-stop și va trebui să așteptați câteva ore pentru ca feedback-ul să funcționeze. În plus, nu este un fapt că, după ce plătesc banii, creatorii Vault vor decripta toate fișierele.

Deși judecând după numeroase recenzii, escrocii decriptează de fapt informațiile. În acest sens, escrocii sunt foarte scrupuloși - există un sistem flexibil de reduceri (dacă utilizatorul reușește să capteze din nou un virus similar) și chiar suport tehnic.

Primiți toate informațiile despre site-ul lor și despre cum să-i contactați într-un bloc de note după infectare.

Ce oferă laboratoarele antivirus?

De exemplu, antivirus laborator Doctor Web sugerează să nu ștergeți fișierele, să nu curățați sistemul și să lăsați totul la locul său după detectarea unei infecții. Apoi, cu o declarație ulterioară, contactați poliția. Exemple de aplicații sunt prezentate la linkul http://legal.drweb.ru/templates.

După aceasta, trebuie să contactați asistența tehnică antivirus și să furnizați o copie a elementului criptat. Tot ce trebuie să faceți este să așteptați un răspuns din partea serviciului de asistență. După ceva timp, veți primi un decriptor Vault într-o scrisoare de răspuns de la Dr.Web. Din păcate, această caracteristică este disponibilă numai acelor utilizatori care au achiziționat un pachet antivirus plătit.

U Antivirus Kaspersky Există și un decriptor special pentru aceasta, Vault decryptor. Acesta este un program care caută în mod independent fișiere criptate și le decriptează.

Daca ai antivirusEsed Da din cap 32 , atunci ar trebui să scanați și să curățați sistemul cu acest antivirus și apoi să contactați asistența tehnică - [email protected]. Trebuie să contactați asistența tehnică numai dacă aveți un antivirus licențiat.

U antivirusAvast Există utilități speciale pentru decriptarea virusului Vault. Acestea pot fi găsite pe site-ul oficial Avast.

Cum să te protejezi de virusul Vault

Pentru a vă proteja de astfel de viruși, trebuie să:

• Nu deschideți fișiere cu extensia .js și nu le trimiteți la un antivirus pentru scanare.
• Stocați toate informațiile importante de pe computer pe o unitate cloud.
• Nu descărcați utilitare piratate și nu le instalați pe computer.

Virusul Vault este un criptator de date care ajunge pe computer după deschiderea unei anumite scrisori într-un e-mail. Scrisoarea conține un document cu extensia .doc și scriptul ransomware în sine cu extensia .js. Documentul conține instrucțiuni detaliate și un link despre unde să mergeți și cât să plătiți pentru a decripta fișierele infectate.

Fișierele afectate au extensia .vault adăugată la extensia .doc, .xls, .pdf sau .jpeg.

Virusul seifului – ce să faci dacă este detectat

Primul lucru de făcut după detectarea unei infecții de fișier este să vă deconectați de la rețea și să scanați sistemul folosind un program antivirus instalat pe computer sau Windows Defender.

Virusul în sine se află de obicei în folderul Temp (C:/Windows/Temp) și are următoarea structură:

Toate acestea sunt șterse, cu excepția ultimelor două fișiere:

• VAULT.KEY este cheia de criptare.
• CONFIRMATION.KEY - conține informații exacte despre numărul de fișiere blocate.

Vault virus - cum să recuperați fișierele. Metoda nr. 1

• Faceți clic dreapta pe fișierul infectat și selectați „Proprietăți” în partea de jos.
• În fereastra care apare, accesați fila „Versiuni anterioare”.
• Aici, în fereastra „Versiuni fișier”, selectați fișierul salvat anterior și faceți clic pe „Restaurare”.
• Gata, fișierul este restaurat și gata pentru utilizare ulterioară.
• Sau meniul Start / Control Panel / System / Recovery / iar în meniul din dreapta selectați „File Recovery”.

Și în fereastra care apare, faceți clic pe „Recuperați fișierele mele”.

Această metodă are un lucru, funcționează atunci când nu uitați să creați „Puncte de restaurare a sistemului” pe computer.

Vault virus - cum să recuperați fișierele. Metoda nr. 2

Constă în faptul că poți apela la laboratoarele antivirus pentru ajutor. Cum ar fi Kaspersky Lab sau Dr. Web. De obicei, au soluții gata făcute. Kaspersky are RectorDecryptor, o aplicație care caută și corectează automat fișierele afectate.

Dr. Web oferă decriptorul său Dr web VAULT.

• După ce îl descărcați și îl executați, trebuie să introduceți fișierul criptat cu extensia .vault în fereastra de căutare.
• Și după câteva căutări obținem fișierul decriptat.

Dar, din păcate, această metodă nu este universală. Deoarece dezvoltatorii virusului nu stau pe loc și schimbă cheia, iar aceste soluții de la Kaspersky și Dr. WEB poate pur și simplu să nu fie potrivit.

Vault virus - cum să recuperați fișierele. Metoda nr. 3

Această metodă este potrivită pentru utilizatorii avansați. Esența sa este de a găsi cheia de decriptare în scriptul ransomware în sine. Numele fișierului cheie este secring.gpg.

Problema acestei metode este că este posibil ca acest fișier să nu existe pe sistem, adică poate fi șters de ransomware-ul însuși.

Deci, principalul lucru este să nu fii provocat și să nu intri în panică și mai ales să nu te grăbești să plătești bani. Ar trebui să încercați să utilizați toate metodele disponibile de recuperare a fișierelor.

Articolul nostru este dedicat unei alte „capodopera” a hackerilor - virusul ransomware Vault. Vă vom spune ce fel de virus Vault este și cum afectează acesta sistemul. Să ne uităm la opțiunile în care puteți restaura fișierele.

Virusul seifului - ce să faci?!

Într-o zi „frumoasă” în care ai deschis desktopul și ai văzut un bloc de note care rulează cu următorul text:

Pe baza acestui lucru, devine clar că ați devenit „proprietarul dezastrului” al virusului Vault. Acest virus vă infectează computerul și începe să vă cripteze fișierele. Astfel, fișierele cu extensia .pdf, .doc, .docx, .xls, .xlsx, .jpeg, .zip etc. sunt criptate După ce virusul funcționează, la numele fișierului este adăugată extensia .vault. De asemenea, virusul, în unele cazuri, afectează bazele de date locale 1C. După cum puteți vedea, seif criptează toate documentele populare pentru muncă.

Probabil vă întrebați: Cum a ajuns seiful pe computerul meu? Totul aici este la fel de simplu ca decojirea perelor, atacatorii au trimis o scrisoare pe e-mailul tău. Titlul scrisorii vorbea despre importanța ei și despre necesitatea urgentă de a o deschide și citi. Ar putea fi o scrisoare de la o bancă, parteneri sau o ofertă profitabilă. Această scrisoare conținea un document atașat cu extensia .js (script Java).

Când a fost lansată (și ați lansat-o!), această extensie de virus descarcă un program ransomware de pe serverele hackerilor. În cazul dvs., virusul ransomware Vault este un software criptografic GPG (GnuPG) legitim, folosind popularul algoritm de criptare rsa-1024. Programul nu este un virus, așa că antivirusurile nu îl blochează și îi permit să funcționeze. GPG generează chei de criptare publice (pe PC) și private (pe serverul atacatorilor).

Există multe modificări ale virusului Vault, de exemplu, pentru sistemele Windows 7/8, 32 sau 64 de biți. Și când virusul intră în fiecare, acționează în felul său. Virusul poate cripta și computerele care se află în aceeași rețea cu a ta.

Cum să eliminați virusul Vault de pe computer?

Virusul funcționează în așa fel încât în ​​folderul cu fișierul sursă să fie creat unul similar cu extensia .gpg. Apoi, acest fișier înlocuiește fișierul original și adaugă extensia seifului. Simpla redenumire a documentului nu va rezolva această problemă. Prin urmare, să ne dăm seama cum să restaurăm fișierele și să eliminăm virusul seifului.

Eliminarea virusului în sine

De îndată ce găsiți extensia seifului pe documente, opriți imediat rețeaua și nu mai lucrați cu toate aplicațiile, nu deschideți din nou folderele de pe discuri. Conectați-vă prin Safe Mode.

În ceea ce privește eliminarea, virusul Vault nu este complicat. Eliminarea nu pare dificilă, utilizați cele mai populare programe pentru eliminarea virușilor de criptare, a anunțurilor banner și a troienilor. Dar vor mai fi probleme :(.

Ceea ce trebuie să știți este că corpul virusului în sine este ascuns în folderul Temp. Virusul este format din următoarele fișiere:

• 3c21b8d9.cmd;
• fabac41c.js;
• VAULT.txt;
• Sdc0.bat;
• VULT.KEY;
• CONFIRMARE.CHEIE.

Toate aceste fișiere, cu excepția ultimelor două (!), trebuie șterse. Apoi, rulați curățarea, ștergeți pornirea, verificați registry pentru erori (principiul este același pentru Windows 7/8/10). Ultimele 2 fișiere trebuie lăsate pe computer deoarece:

1. VAULT.KEY - cheia de criptare în sine. Nu trebuie sters sub nicio forma! Acesta este transmis atacatorilor după ce îl analizează, ei vă vor oferi a doua parte a cheii de decriptare.
2. CONFIRMATION.KEY este un fișier cu informații complete despre numărul de fișiere criptate de pe computer. este necesar și pentru hackeri.

Recuperați gratuit fișierele cu extensia .vault

Astfel, ajungem la partea cea mai rea - fișierele rămân criptate. Nu există decriptoare gratuite pentru virusul seifului. Numai programul original în sine poate decripta fișierele cu cheia rsa-1024.

Care sunt modalitățile de a recupera fișiere:

Dacă nu ați găsit nimic în Coșurile de reciclare și nu există puncte de restaurare a sistemului, atunci va trebui să plătiți atacatorii. Nu poți face nimic în privința asta. Analizând dialogurile de pe forumuri, rezultă concluzia că atacatorii decriptează de fapt fișierele, dar trebuie să plătiți pentru asta. Dacă acest lucru nu ar fi fost adevărat, zvonurile de pe internet s-ar fi răspândit cu mult timp în urmă, iar oamenii nu s-ar fi îndrăgostit de el. Ar trebui să înțelegeți că acesta este un întreg „sistem de afaceri” - ați fost prins, acum plătiți și totul va fi bine.

S-a ajuns în punctul în care deja există super-agenți pe Internet! Adică intermediari care vor contacta atacatorii pentru tine și îți vor rezolva toate problemele. Indiferent dacă mergi sau nu, depinde de tine. Dacă nu doriți să o faceți singur, plătiți mai mult.

Urmând instrucțiunile din fișierul text, vei lansa browserul Tor (în special pentru ștergerea IP), apoi vei fi dus pe unul dintre site-urile atacatorilor. Există un manual de lucru cu site-ul și chiar un sistem de reduceri :(.

Ce zici de antivirus?

Din păcate, așa cum am menționat mai sus, programele antivirus Dr Web, Kaspersky, Avast etc. nu pot face nimic. La urma urmei, programul nu este în esență un virus. Solicitările oficiale către asistența tehnică Kaspersky Lab se încheie cu povești detaliate despre seif și oferă de a folosi decriptatoarele RannohDecryptor, ScatterDecryptor, Rector Decryptor, RakhniDecryptor sau Xorist Decryptor. Dr. Web sfătuiește, în general, să contactați poliția în cazul accesului neautorizat la computer. Ei bine, mulțumesc doctore.

După cum puteți vedea, nu există multe opțiuni, iar dacă fișierele sunt cu adevărat importante pentru dvs., va trebui să plătiți. Nici asta nu poți amâna, serverele cu baze de date și site-uri se mișcă constant - cele vechi sunt șterse și apar altele noi.

Și iată un scurt videoclip în care puteți vedea cum acționează virusul Vault asupra sistemului. Acest videoclip nu este o reclamă :).

Experții de la compania de antivirus Doctor Web au dezvoltat o tehnică de decriptare a fișierelor care au devenit inaccesibile ca urmare a acțiunii unui troian periculos de codificare. Trojan.Encoder.2843, cunoscut de utilizatori sub numele de „Seif”.

Această versiune a codificatorului, care conform clasificării Dr.Web a primit numele Trojan.Encoder.2843, este distribuit în mod activ de către atacatori folosind mailing-uri în masă. Un fișier mic care conține un script JavaScript este folosit ca atașament la litere. Acest fișier extrage aplicația, care efectuează acțiunile rămase necesare pentru a asigura funcționarea codificatorului. Această versiune a troianului ransomware a fost distribuită din 2 noiembrie 2015.

Principiul de funcționare al acestui program rău intenționat este, de asemenea, foarte interesant. O bibliotecă de linkuri dinamice criptate (.DLL) este scrisă în registrul de sistem Windows, iar troianul încorporează un mic cod în procesul explorer.exe care rulează, care citește fișierul din registry în memorie, îl decriptează și îi transferă controlul. .

Lista fișierelor criptate Trojan.Encoder.2843 de asemenea, stochează în registrul de sistem și folosește o cheie unică pentru fiecare dintre ele, constând din majuscule latine. Criptarea fișierelor se realizează folosind algoritmi Blowfish-ECB, cheia de sesiune este criptată folosind RSA folosind interfața CryptoAPI. Fiecărui fișier criptat i se atribuie o extensie .vault.

Specialiștii Doctor Web au dezvoltat o tehnică specială care, în multe cazuri, vă permite să decriptați fișierele deteriorate de acest troian. Dacă sunteți victima unui malware Trojan.Encoder.2843, utilizați următoarele recomandări:

• depune o plângere corespunzătoare la poliție;
• Nu încercați în niciun caz să reinstalați sistemul de operare, să îl „optimizați” sau să îl „curățați” folosind orice utilitate;
• nu ștergeți niciun fișier de pe computer;
• nu încercați să recuperați singur fișierele criptate;
• contactați suportul tehnic Doctor Web (acest serviciu este gratuit pentru utilizatorii licențelor comerciale Dr.Web);
• Atașați la bilet orice fișier criptat cu troian;
• așteptați un răspuns de la un specialist în suport tehnic; Din cauza numărului mare de solicitări, acest lucru poate dura ceva timp.

Vă reamintim că serviciile de decriptare a fișierelor sunt furnizate numai deținătorilor de licențe comerciale pentru produsele antivirus Dr.Web. Doctor Web nu garantează pe deplin decriptarea tuturor fișierelor deteriorate ca urmare a codificatorului, totuși, specialiștii noștri vor depune toate eforturile pentru a salva informațiile criptate.