Вирус, който променя файловото разширение на трезор. Премахване на вируса рансъмуер VAULT и възстановяване на данни

Наскоро потребителите се натъкнаха на нова заплаха - вирус, който криптира файлове, като замества стандартните разширения. В резултат на това документите, аудио- и видеозаписите и изображенията стават недостъпни. Нападателите искат сериозни пари за ключа за дешифриране.

Шифровачите са толкова опасни, че дори големи организации не могат да им избягат: например през февруари 2016 г. Холивудският презвитериански медицински център трябваше да плати на нападателите 17 000 долара за ключ за дешифриране. Не е известно със сигурност кой ransomware е работил в Холивуд, но потребителите на Runet обикновено се сблъскват с вируса Vault. Така че нека видим как да възстановим файлове след вируса Vault, ако е възможно.

Как да възстановите файлове след вируса Vault

Откриване на вируси

Инфекцията е трудно да се пропусне: файловете автоматично ще променят разширението си на .vault и ще спрат да се отварят, а съобщение като „Данните са блокирани. За да ги възстановите, трябва да получите уникален ключ. Обикновено по-долу е адресът на уебсайта и инструкциите за плащане и получаване на кода за дешифриране.

Ако видите такова съобщение, трябва незабавно да изключите компютъра си и да премахнете всички преносими носители. Vault криптира информацията постепенно, така че имате време да запазите някои файлове.

Но как вирусът е попаднал на компютъра? Най-вероятно по имейл. Потребителите получават писмо с важна тема (кредитен дълг, призовка, потвърждение за плащане и т.н.), отварят съобщението, след което на компютъра се изтеглят програма за криптиране и банер на Vault с инструкции за плащане на кода за дешифриране.

За криптиране използваме безплатната и безвредна програма GPG, която използва алгоритъма RSA-1024. Формално това не е вирус, така че не работи. Но ключът, необходим за дешифриране на информацията, остава при хакера и няма да е възможно да се разбие кодът - ще отнеме няколко години търсене в стойностите. Затова не отваряйте имейли от непознати податели!

Премахване на ransomware

Премахването на Vault е съвсем просто: не прониква дълбоко в системата и разваля живота само като блокира достъпа до информация. За да почистите системата, използвайте Dr.Web CureIt! или Kaspersky Virus Removal Tool. Тези помощни програми трябва да се изпълняват в безопасен режим на Windows.

Процедурата е проста:

Освен това трябва да премахнете компонентите на Vault, които се съхраняват в скрита папка в C:\Users\User\AppData\Loca\Temp. Структурата на злонамерения код е следната:

3c21b8d9.cmd.
fabac41c.js.
04fba9ba_VAULT.KEY.
VAULT.txt.
Sdc0.bat.
ПОТВЪРЖДЕНИЕ.КЛЮЧ.
VAULT.KEY.

Последните два компонента ще ви бъдат полезни, ако решите да платите на нападателите за дешифриране. Те съхраняват публичната част на ключа (хакерите имат частна част, без която кодът не може да бъде премахнат) и информация за количеството криптирани данни.

Има и друг вариант - запишете Kaspersky Rescue Disk на флашка и стартирайте компютъра от нея. Ще ви трябва работещ компютър, флаш устройство, програма за запис и образ на Kaspersky Rescue Disk 10.

Дешифриране на файлове

Бързо ще се справите със злонамерения софтуер, но тогава ще възникне сериозен проблем - няма декриптор, който бързо да отвори достъп до информация, криптирана с помощта на алгоритъма RSA-1024. Позицията на големите разработчици на антивирусен софтуер е, че те нямат техническа възможност да разбият кода. Следователно остават няколко опции:

Ако се загуби информация, която не е от голяма стойност, тогава е по-лесно да я изтриете от компютъра. И не забравяйте, че не е нужно да отваряте странни писма от непознати податели.
Ако криптираните данни са с голяма стойност, ще трябва да платите на подателите на вирусния софтуер. Това е краен вариант, защото няма сигурност, че няма да бъдете измамени. Освен това насърчавате нападателите да продължат да изпращат заразени имейли, защото това им носи пари.

От наличните методи за дешифриране можете да опитате няколко опции, но няма гаранция, че те ще дадат положителен резултат:

Посетете форумите за техническа поддръжка на големите разработчици на антивирусен софтуер. Kaspersky Lab, Dr.Web, ESET. Базата данни за ransomware непрекъснато се разширява. Опишете подробно проблема, може би те ще имат инструменти за разрешаването му.
Използвайте скрити копия на файлове (уместно, ако защитата на системата е активирана).

Отворете свойствата на шифрования файл и отидете в раздела „Предишни версии“.

Ако има предишни, некриптирани издания, можете да ги отворите или възстановите. В този случай данните с разширение .vault трябва да бъдат изтрити от компютъра. За съжаление няма други методи на работа. Затова е по-добре да избягвате среща с ransomware: не отваряйте странни писма, не изтегляйте подозрителни програми, не следвайте неизвестни връзки.

Здравейте, скъпи читатели. Случайно срещнах един много неприятен и опасен шифратор, който криптира потребителските данни, като ги замени със стандартно разширение. След заразяване с вируса ransomware на трезора веднага възниква основният въпрос - как да възстановите повредени файлове и да дешифрирате информация. За съжаление, няма просто решение на този проблем поради особеностите на механизма на работа на зловреден софтуер и находчивостта на нападателите.

Описание на вируса ransomware на трезора

Всичко започва с факта, че внезапно отваряте текстов файл в Notepad със следното съдържание:

Вашите работни документи и бази данни са блокирани и маркирани във формат .vault. За да ги възстановите, трябва да получите уникален ключ. ПРОЦЕДУРА ЗА ПОЛУЧАВАНЕ НА КЛЮЧ: НАКРАТКО 1. Отидете на нашия уеб ресурс 2. Гарантирано ще получите своя ключ 3 , Възстановете файловете в предишната им форма ПОДРОБНО Стъпка 1: Изтеглете браузъра Tor от официалния уебсайт: https://www.torproject.org Стъпка 2: Използвайки браузъра Tor, посетете сайта: http://restoredz4xpmuqr.onion Стъпка 3: Намерете вашия уникален VAULT.KEY на вашия компютър - това е вашият ключ към вашите лични клиентски панели. Не го изтривайте Влезте в сайта с помощта на ключа VAULT.KEY Отидете в секцията с често задавани въпроси и прочетете по-нататъшната процедура СТЪПКА 4: След като получите ключа, можете да възстановите файлове с помощта на нашия софтуер с отворен код или безопасно да използвате вашия собствен софтуер ДОПЪЛНИТЕЛНО a ) Няма да можете да възстановите файлове без уникален ключ (който се съхранява сигурно на нашия сървър) b) Ако не можете да намерите своя VAULT.KEY, погледнете във временната папка TEMP c) Цената ви за възстановяване не е окончателна, пишете на чата Дата на блокиране: 04/08/2015 (11: 14)

Появата на такова съобщение вече означава това трезорен вирусзарази компютъра ви и започна да криптира вашите файлове. В този момент трябва незабавно да изключите компютъра, да го изключите от мрежата и да премахнете всички преносими носители. Ще говорим за това как да лекуваме вируса по-късно, но засега ще ви кажа какво се е случило във вашата система.

Най-вероятно сте получили писмо по пощата от доверен контрагент или маскирано като добре известна организация. Това може да бъде искане за извършване на счетоводно изравняване за определен период, искане за потвърждаване на плащането на фактура по споразумение, предложение за запознаване с кредитния дълг в Сбербанк или нещо друго. Но информацията ще бъде такава, че със сигурност ще ви бъде интересно и ще отворите прикачения имейл с вируса. На това разчитаме.

И така, отваряте прикачен файл, който има разширение .js и е Java скрипт. На теория това вече трябва да ви предупреди и да ви спре да отворите, но ако четете тези редове, това означава, че не ви е предупредило и не ви е спряло. Скриптът изтегля троянски кон или Banner Vault, както може да се нарече в този случай, и програма за криптиране от сървъра на нападателя. Поставя всичко във временната директория на потребителя. И процесът на криптиране на файлове веднага започва на всички места, където потребителят има достъп - мрежови устройства, флаш памети, външни твърди дискове и т.н.

Vault е безплатна помощна програма за криптиране, която действа като рансъмуер. gpgи популярен алгоритъм за криптиране - RSA-1024. Тъй като по същество тази помощна програма се използва на много места и сама по себе си не е вирус, антивирусите я пропускат и не блокират работата й. Генерират се публичен и частен ключ за криптиране на файлове. Частният ключ остава на сървъра на хакерите, отворен на компютъра на потребителя.

След началото на процеса на криптиране минава известно време. Зависи от няколко фактора - скорост на достъп до файлове, производителност на компютъра. След това се появява информационно съобщение в текстов файл, чието съдържание предоставих в самото начало. В този момент част от информацията вече е криптирана.

По-конкретно, попаднах на модификация на вируса vault, която работеше само на 32-битови системи. Освен това в Windows 7 с активиран UAC се появява заявка за въвеждане на администраторска парола. Без въвеждане на паролата вирусът не може да направи нищо. В Windows XP започва да работи веднага след отваряне на файл от пощата, без да задава въпроси.

Вирусът поставя разширението на трезора на doc, jpg, xls и други файлове

Какво точно прави вирусът с файловете? На пръв поглед изглежда, че просто променя разширението от стандартно на .свод. Когато за първи път видях работата на този вирусен шифратор, помислих, че това е детска измама. Преименувах файла обратно и бях много изненадан, когато не се отвори според очакванията, но вместо необходимото съдържание се отвори каша от неразбираеми символи. Тогава разбрах, че всичко не е толкова просто, започнах да го разбирам и да търся информация.

Вирусът атакува всички популярни типове файлове - док, docx, xls, xlsx, jpeg, pdfи други. Към стандартното име на файла е добавено ново разширение .vault. За някои той също криптира файлове с локални бази данни 1C. Нямах нито едно от тези, така че аз лично не го наблюдавах. Простото преименуване на файла обратно, както разбирате, не помага тук.

Тъй като процесът на криптиране не е мигновен, може да се случи, че когато разберете, че имате вирус на компютъра си, някои от файловете все още ще бъдат нормални, а някои ще бъдат заразени. Добре е по-голямата част да остане недокосната. Но най-често не можете да разчитате на това.

Ще ви кажа какво се крие зад промяната на разширението. След като шифрова например файла file.doc до него, вирусът трезор създава криптиран файл file.doc.gpg, след което криптираният файл.doc.gpg се премества на мястото на оригиналния файл с ново име .doc и едва след това се преименува на file.doc.vault. Оказва се, че оригиналният файл не е изтрит, а е презаписан с криптиран документ. След това той не може да бъде възстановен с помощта на стандартни инструменти за възстановяване на изтрити файлове. Ето част от кода, който реализира подобна функционалност:

Dir /B "%1:"&& for /r "%1:" %%i in (*.xls *.doc) do (echo "%%TeMp%%\svchost.exe" -r Cellar --yes - q --no-verbose --trust-model винаги --encrypt-files "%%i"^& преместете /y "%%i.gpg" "%%i"^& преименувайте "%%i" "%% ~nxi.vault">> "%temp%\cryptlist.lst" echo %%i>> "%temp%\conf.list")

Вирусът Vault е криптатор на данни, който влиза в компютъра ви след отваряне на определено писмо в имейл. Писмото съдържа документ с разширение .doc и самия скрипт за рансъмуер с разширение .js. Документът съдържа подробни инструкции и връзка за това къде да отидете и колко да платите, за да дешифрирате заразените файлове.

Засегнатите файлове имат разширение .vault, добавено към тяхното разширение .doc, .xls, .pdf или .jpeg.

Vault вирус – какво да направите, ако бъде открит

Първото нещо, което трябва да направите след откриване на инфекция на файл, е да прекъснете връзката с мрежата и да сканирате системата с помощта на антивирусна програма, инсталирана на вашия компютър или Windows Defender.

Самият вирус обикновено се намира в папката Temp (C:/Windows/Temp) и има следната структура:

Всичко това е изтрито, с изключение на последните два файла:

VAULT.KEY е ключът за криптиране.
CONFIRMATION.KEY - съдържа точна информация за броя на блокираните файлове.

Vault вирус - как да възстановим файлове. Метод №1

Щракнете с десния бутон върху заразения файл и изберете „Свойства“ най-долу.
В прозореца, който се показва, отидете на раздела „Предишни версии“.
Тук, в прозореца „Версии на файлове“, изберете предишния записан файл и щракнете върху „Възстановяване“.
Това е всичко, файлът е възстановен и готов за по-нататъшна употреба.
Или менюто Старт / Контролен панел / Система / Възстановяване / и в менюто вдясно изберете “Възстановяване на файлове”.

И в прозореца, който се показва, щракнете върху „Възстановяване на моите файлове“.

Този метод има едно нещо, работи, когато не забравите да създадете „Точки за възстановяване на системата“ на компютъра.

Vault вирус - как да възстановим файлове. Метод № 2

Това се крие във факта, че можете да се обърнете за помощ към антивирусни лаборатории. Като Kaspersky Lab или Dr. Мрежа. Обикновено имат готови решения. Kaspersky има RectorDecryptor, приложение, което автоматично търси и коригира засегнатите файлове.

д-р Web предлага своя декриптор Dr web VAULT.

След като го изтеглите и стартирате, трябва да вмъкнете шифрования файл с разширение .vault в прозореца за търсене.
И след известно търсене получаваме дешифрирания файл.

Но за съжаление този метод също не е универсален. Тъй като разработчиците на вируса също не стоят неподвижни и променят ключа, и тези решения от Kaspersky и Dr. WEB може просто да не е подходящ.

Vault вирус - как да възстановим файлове. Метод No3

Този метод е подходящ за напреднали потребители. Същността му е да намери ключа за декриптиране в самия скрипт за рансъмуер. Името на ключовия файл е secring.gpg.

Уловката на този метод е, че този файл може да не съществува в системата, тоест може да бъде изтрит от самия ransomware.

Така че най-важното е да не се провокирате и да не се паникьосвате и особено да не бързате да плащате пари. Трябва да опитате да използвате всички налични методи за възстановяване на файлове.

Експерти от антивирусната компания Doctor Web разработиха техника за декриптиране на файлове, които са станали недостъпни в резултат на действието на опасен кодиращ троянски кон Trojan.Encoder.2843, известен на потребителите като „Vault“.

Тази версия на шифратора, която според класификацията на Dr.Web получи името Trojan.Encoder.2843, се разпространява активно от нападатели, използващи масови съобщения. Като прикачен файл към писмата се използва малък файл, съдържащ JavaScript скрипт. Този файл извлича приложението, което извършва останалите действия, необходими за осигуряване на работата на енкодера. Тази версия на троянския кон за рансъмуер се разпространява от 2 ноември 2015 г.

Принципът на работа на тази злонамерена програма също е много интересен. Криптирана библиотека с динамични връзки (.DLL) се записва в системния регистър на Windows и троянският кон вгражда малък код в работещия процес explorer.exe, който чете файла от регистъра в паметта, декриптира го и му прехвърля контрола .

Списък с криптирани файлове Trojan.Encoder.2843също съхранява в системния регистър и използва уникален ключ за всеки от тях, състоящ се от главни латински букви. Криптирането на файлове се извършва с помощта на алгоритми Blowfish-ECB, ключът на сесията се криптира с помощта на RSA с помощта на интерфейса CryptoAPI. На всеки шифрован файл се присвоява разширение .vault.

Специалистите на Doctor Web са разработили специална техника, която в много случаи ви позволява да дешифрирате файлове, повредени от този троянски кон. Ако сте жертва на зловреден софтуер Trojan.Encoder.2843, използвайте следните препоръки:

подайте съответна жалба в полицията;
В никакъв случай не се опитвайте да преинсталирате операционната система, да я „оптимизирате“ или „почистите“ с помощта на помощни програми;
не изтривайте никакви файлове на вашия компютър;
не се опитвайте сами да възстановите криптирани файлове;
свържете се с техническата поддръжка на Doctor Web (тази услуга е безплатна за потребители на търговски лицензи на Dr.Web);
Прикачете произволен троянски кодиран файл към билета;
изчакайте отговор от специалист по техническа поддръжка; Поради големия брой заявки, това може да отнеме известно време.

Напомняме ви, че услугите за дешифриране на файлове се предоставят само на притежатели на търговски лицензи за антивирусни продукти Dr.Web. Doctor Web не гарантира напълно дешифрирането на всички файлове, повредени в резултат на енкодера, но нашите специалисти ще положат всички усилия, за да запазят криптираната информация.

подайте съответна жалба в полицията;
В никакъв случай не се опитвайте да преинсталирате операционната система, да я „оптимизирате“ или „почистите“ с помощта на помощни програми;
не изтривайте никакви файлове на вашия компютър;
не се опитвайте сами да възстановите криптирани файлове;
свържете се с техническата поддръжка на Doctor Web (тази услуга е безплатна за потребители на търговски лицензи на Dr.Web);
Прикачете произволен троянски кодиран файл към билета;
изчакайте отговор от специалист по техническа поддръжка; Поради големия брой заявки, това може да отнеме известно време.