Восстановление vault. Восстанавливаем файлы после вируса Vault

Недавно пользователи столкнулись с новой угрозой – вирусом, который шифрует файлы, заменяя стандартные расширения. В результате документы, аудио и видеозаписи, изображения становятся недоступными. За ключ для расшифровки злоумышленники требуют серьезные деньги.

Шифровальщики настолько опасны, что от них не могут спастись даже крупные организации: например, в феврале 2016 года Голливудскому пресвитерианскому медицинскому центру пришлось заплатить злоумышленникам 17000$ за ключ для дешифровки. Доподлинно неизвестно, какой шифровальщик поработал в Голливуде, но пользователи Рунета обычно встречаются с вирусом Vault. Поэтому давайте посмотрим, как восстановить файлы после вируса Vault, если это возможно.

Как восстановить файлы после вируса Vault

Обнаружение вируса

Заражение сложно не заметить: файлы автоматически начнут менять расширение на.vault и перестанут открываться, а на экране появится сообщение типа «Данные заблокированы. Для их восстановления необходимо получить уникальный ключ». Ниже обычно указан адрес сайта и инструкция по оплате и получению кода дешифровки.

Если вы увидели такое сообщение, то необходимо немедленно выключить компьютер и вытащить все съемные носители. Vault шифрует информацию постепенно, поэтому у вас есть время, чтобы спасти некоторые файлы.

Но как вирус попал на компьютер? Вероятнее всего, по электронной почте. Пользователям приходит письмо с важной темой (кредитная задолженность, повестка в суд, подтверждение оплаты и т.д.), они послание открывают, после чего на компьютер скачивается программа для шифрования и баннер Ваулт с инструкцией по оплате кода дешифровки.

Для шифровки используется бесплатная и безобидная программа GPG, применяющая алгоритм RSA-1024. Формально это не вирус, поэтому не срабатывает. Но ключ, необходимый для расшифровки информации, остается у хакера, а взломать код не получится – на это уйдет несколько лет перебора значений. Поэтому не открывайте письма от неизвестных отправителей!

Удаление шифровальщика

Удалить Ваулт достаточно просто: он не глубоко проникает в систему и портит жизнь только тем, что закрывает доступ к информации. Для чистки системы используйте лечащую утилиту Dr.Web CureIt! или Kaspersky Virus Removal Tool. Запускать эти утилиты следует в безопасном режиме Windows.

Порядок простой:

Дополнительно следует удалить компоненты Ваулт, которые хранятся в скрытой папке по адресу C:\Users\Пользователь\AppData\Loca\Temp. Структура вредоносного кода выглядит следующим образом:

• 3c21b8d9.cmd.
• fabac41c.js.
• 04fba9ba_VAULT.KEY.
• VAULT.txt.
• Sdc0.bat.
• CONFIRMATION.KEY.
• VAULT.KEY.

Последние два компонента вам пригодятся, если вы решите заплатить злоумышленникам за расшифровку. В них хранится открытая часть ключа (у хакеров закрытая часть, без которой код не снять) и информация о количестве зашифрованных данных.

Есть и другой вариант – записать на флешку Kaspersky Rescue Disk и загрузить с неё компьютер. Вам понадобится работающий компьютер, флешка, утилита для записи и образ Kaspersky Rescue Disk 10.

Расшифровка файлов

С вредоносным ПО вы быстро справитесь, но дальше возникнет серьезная проблема – не существует дешифратора, который быстро откроет доступ к информации, зашифрованной по алгоритму RSA-1024. Позиция крупных разработчиков антивирусного ПО сводится к тому, что у них нет технической возможности взломать код. Поэтому вариантов остается немного:

• Если утеряна информация, которая не представляет большой ценности, то её проще удалить с компьютера. И запомнить, что не нужно открывать странные письма от неизвестных отправителей.
• Если зашифрованные данные представляют большую ценность, придется заплатить отправителям вирусного ПО. Это крайний вариант, потому что нет уверенности, что вас не обманут. К тому же вы стимулируете злоумышленников продолжать рассылать зараженные письма, ведь это приносит им деньги.

Из доступных способов расшифровки можно попробовать несколько вариантов, но нет гарантии, что они дадут положительный результат:

1. Обратитесь на форум технической поддержки крупных разработчиков антивирусных программ. Лаборатория Касперского, Dr.Web, ESET. База данных шифровальщиков постоянно расширяется. Опишите подробно проблему, возможно, у них найдутся инструменты для её решения.
2. Используйте теневые копии файлов (актуально, если была включена защита системы).

Откройте свойства зашифрованного файла и перейдите на вкладку «Предыдущие версии».

Если есть прежние, незашифрованные редакции, то вы можете их открыть или восстановить. В таком случае данные с расширением.vault нужно удалить с компьютера. К сожалению, других работающих способов нет. Поэтому лучше избегать встречи с шифровальщиком: не открывать странные письма, не скачивать подозрительные программы, не переходить по неизвестным ссылкам.

Утилита Kaspresky RakhniDecryptor расшифрует файлы, расширения которых изменились по следующим шаблонам:

• Trojan-Ransom.Win32.Rakhni:
  • <имя_файла>.<оригинальное_расширение>.locked;
  • <имя_файла>.<оригинальное_расширение>.kraken;
  • <имя_файла>.<оригинальное_расширение>.darkness;
  • <имя_файла>.<оригинальное_расширение>.oshit;
  • <имя_файла>.<оригинальное_расширение>.nochance;
  • <имя_файла>.<оригинальное_расширение>.oplata@qq_com;
  • <имя_файла>.<оригинальное_расширение>.relock@qq_com;
  • <имя_файла>.<оригинальное_расширение>.crypto;
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>.p***a@qq_com;
  • <имя_файла>.<оригинальное_расширение>.dyatel@qq_com;
  • <имя_файла>.<оригинальное_расширение>.nalog@qq_com;
  • <имя_файла>.<оригинальное_расширение>.chifrator@gmail_com;
  • <имя_файла>.<оригинальное_расширение>.gruzin@qq_com;
  • <имя_файла>.<оригинальное_расширение>.troyancoder@gmail_com;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id373;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id371;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id372;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id374;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id375;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id376;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id392;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id357;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id356;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id358;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id359;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id360;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id20.

Trojan-Ransom.Win32.Rakhni создает файл exit.hhr.oshit, в котором в зашифрованном виде содержится пароль от файлов пользователя. Если на зараженном компьютере сохранился этот файл, расшифровка произойдет значительно быстрее. Если же файл exit.hhr.oshit был удален, восстановите его при помощи программ восстановления удаленных файлов, а затем поместите в папку %APPDATA% и заново запустите проверку утилитой. Файл exit.hhr.oshit вы можете найти по следующему пути: C:\Users<имя_пользователя>\AppData\Roaming

• Trojan-Ransom.Win32.Mor: <имя_файла>.<оригинальное_расширение>_crypt.
• Trojan-Ransom.Win32.Autoit: <имя_файла>.<оригинальное_расширение>.<[email protected]_.буквы>.
• Trojan-Ransom.MSIL.Lortok:
  • <имя_файла>.<оригинальное_расширение>.cry;
  • <имя_файла>.<оригинальное_расширение>.AES256.
• Trojan-Ransom.AndroidOS.Pletor: <имя_файла>.<оригинальное_расширение>.enc.
• Trojan-Ransom.Win32.Agent.iih: <имя_файла>.<оригинальное_расширение>+.
• Trojan-Ransom.Win32.CryFile: <имя_файла>.<оригинальное_расширение>.encrypted.
• Trojan-Ransom.Win32.Democry:
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
• Trojan-Ransom.Win32.Bitman версии 3:
  • <имя_файла>.xxx;
  • <имя_файла>.ttt;
  • <имя_файла>.micro;
  • <имя_файла>.mp3.
• Trojan-Ransom.Win32.Bitman версии 4: <имя_файла>.<оригинальное_расширение> (имя и расширение файла не меняется).
• Trojan-Ransom.Win32.Libra:
  • <имя_файла>.encrypted;
  • <имя_файла>.locked;
  • <имя_файла>.SecureCrypted.
• Trojan-Ransom.MSIL.Lobzik:
  • <имя_файла>.fun;
  • <имя_файла>.gws;
  • <имя_файла>.btc;
  • <имя_файла>.AFD;
  • <имя_файла>.porno;
  • <имя_файла>.pornoransom;
  • <имя_файла>.epic;
  • <имя_файла>.encrypted;
  • <имя_файла>.J;
  • <имя_файла>.payransom;
  • <имя_файла>.paybtcs;
  • <имя_файла>.paymds;
  • <имя_файла>.paymrss;
  • <имя_файла>.paymrts;
  • <имя_файла>.paymst;
  • <имя_файла>.paymts;
  • <имя_файла>.gefickt;
  • <имя_файла>[email protected].
• Trojan-Ransom.Win32.Mircop: .<имя_файла>.<оригинальное_расширение>.
• Trojan-Ransom.Win32.Crusis (Dharma):
  • <имя_файла>.ID<…>.@..xtbl;
  • <имя_файла>.ID<…>.@..CrySiS;
  • <имя_файла>.id-<…>.@..xtbl;
  • <имя_файла>.id-<…>.@..wallet;
  • <имя_файла>.id-<…>.@..dhrama;
  • <имя_файла>.id-<…>.@..onion;
  • <имя_файла>.@..wallet;
  • <имя_файла>.@..dhrama;
  • <имя_файла>.@..onion.

Примеры некоторых вредоносных адресов-распространителей:

• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected].
• Trojan-Ransom.Win32.Nemchig: <имя_файла>.<оригинальное_расширение>[email protected].
• Trojan-Ransom.Win32.Lamer:
  • <имя_файла>.<оригинальное_расширение>.bloked;
  • <имя_файла>.<оригинальное_расширение>.cripaaaa;
  • <имя_файла>.<оригинальное_расширение>.smit;
  • <имя_файла>.<оригинальное_расширение>.fajlovnet;
  • <имя_файла>.<оригинальное_расширение>.filesfucked;
  • <имя_файла>.<оригинальное_расширение>.criptx;
  • <имя_файла>.<оригинальное_расширение>.gopaymeb;
  • <имя_файла>.<оригинальное_расширение>.cripted;
  • <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
  • <имя_файла>.<оригинальное_расширение>.criptiks;
  • <имя_файла>.<оригинальное_расширение>.cripttt;
  • <имя_файла>.<оригинальное_расширение>.hithere;
  • <имя_файла>.<оригинальное_расширение>.aga.
• Trojan-Ransom.Win32.Cryptokluchen:
  • <имя_файла>.<оригинальное_расширение>.AMBA;
  • <имя_файла>.<оригинальное_расширение>.PLAGUE17;
  • <имя_файла>.<оригинальное_расширение>.ktldll.
• Trojan-Ransom.Win32.Rotor:
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected]_.crypt;
  • <имя_файла>.<оригинальное_расширение>[email protected]____.crypt;
  • <имя_файла>.<оригинальное_расширение>[email protected]_______.crypt;
  • <имя_файла>.<оригинальное_расширение>[email protected]___.crypt;
  • <имя_файла>.<оригинальное_расширение>[email protected]==.crypt;
  • <имя_файла>.<оригинальное_расширение>[email protected]=--.crypt.

Если файл зашифрован с расширением CRYPT, расшифровка может длиться долго. Например, на процессоре Intel Core i5-2400 она может занять около 120 суток.

• Trojan-Ransom.Win32.Chimera:
  • <имя_файла>.<оригинальное_расширение>.crypt;
  • <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
• Trojan-Ransom.Win32.AecHu:
  • <имя_файла>.aes256;
  • <имя_файла>.aes_ni;
  • <имя_файла>.aes_ni_gov;
  • <имя_файла>.aes_ni_0day;
  • <имя_файла>.lock;
  • <имя_файла>.decrypr_helper@freemail_hu;
  • <имя_файла>[email protected];
  • <имя_файла>.~xdata.
• Trojan-Ransom.Win32.Jaff:
  • <имя_файла>.jaff;
  • <имя_файла>.wlu;
  • <имя_файла>.sVn.

• Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>.

• Версия вредоносной программы	Адрес электронной почты злоумышленников
  	[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
  	[email protected]_graf1 [email protected]_mod [email protected]_mod2
  	[email protected] [email protected]
  	[email protected]
  	[email protected] [email protected][email protected] [email protected]

Как расшифровать файлы утилитой Kaspersky RakhniDecryptor

1. Скачайте архив RakhniDecryptor.zip и распакуйте его. Инструкция в статье .
2. Перейдите в папку с файлами из архива.
3. Запустите файл RakhniDecryptor.exe.
4. Нажмите Изменить параметры проверки .

1. Выберите объекты для проверки: жесткие диски, сменные диски или сетевые диски.
2. Установите флажок Удалять зашифрованные файлы после успешной расшифровки . В этом случае утилита будет удалять копии зашифрованных файлов с присвоенными расширениями LOCKED, KRAKEN, DARKNESS и т.д.
3. Нажмите ОК .

1. Нажмите Начать проверку .

1. Выберите зашифрованный файл и нажмите Открыть .

1. Прочитайте предупреждение и нажмите ОК .

Файлы будут расшифрованы.

Файл может быть зашифрован с расширением CRYPT более одного раза. Например, если файл тест.doc зашифрован два раза, первый слой утилита RakhniDecryptor расшифрует в файл тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись: «Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR». Этот файл необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием тест.doc.

Параметры для запуска утилиты из командной строки

Для удобства и ускорения процесса расшифровки файлов Kaspersky RakhniDecryptor поддерживает следующие параметры командной строки:

Имя команды	Значение	Пример
–threads	Запуск утилиты с подбором пароля в несколько потоков. Если параметр не задан, количество потоков равно количеству процессорных ядер.	RakhniDecryptor.exe –threads 6
–start <число> –end <число>	Возобновление подбора пароля с определенного состояния. Минимальное число 0. Остановка подбора пароля на определенном состоянии. Максимальное число 1 000 000. Подбор пароля в диапазоне между двумя состояниями.	RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000
-l <название файла с указанием полного пути к нему>	Указание пути к файлу, где должен сохраняться отчет о работе утилиты.	RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt
-h	Вывод справки о доступных параметрах командной строки	RakhniDecryptor.exe -h

Наша статья посвящена очередному «шедевру» хакеров — вирусу-шифровальщику Vault. Мы расскажем что это за вирус Ваулт и как он действует на систему. Рассмотрим варианты, при которых можно восстановить файлы.

Вирус Vault — что делать?!

Одним «прекрасным» днем вы открыли свой рабочий стол и увидели запущенный блокнот со следующим текстом:

Исходя из этого, становится ясно — вы стали «горе-обладателем» вируса Ваулт. Этот вирус заражает компьютер и начинает шифровать ваши файлы. Так под шифрование попадают файлы с расширением.pdf, .doc, .docx, .xls, .xlsx, .jpeg, .zip и др. После работы вируса, к имени файла прибавляется расширение.vault. Также вирус, в некоторых случаях, действует на локальные базы 1C. Как видите, vault шифрует все популярные для работы документы.

Наверное вы зададитесь вопросом: А как же vault попал на мой компьютер? Тут все проще простого, злоумышленники выслали на вашу электронную почту письмо. Название письма говорило о его важности и необходимости срочно открыть и прочитать его. Это могло быть письмо от банка, партнеров или какое-нибудь выгодное предложение. В этом письме имелся вложенный документ с расширением.js (ява скрипт).

При запуске (а вы его запустили!) это вирус-расширение скачивает из хакерских серверов программу шифровальщик. В вашем случае, вирус шифровальщик Vault — это легитимное криптографическое ПО GPG (GnuPG) , использующая популярный алгоритм шифрования rsa-1024. Программа не является вирусом, поэтому антивирусы её не блокируют и допускают её работу. GPG формирует открытый (на вашем ПК) и закрытый (на сервере злоумышленников) ключи шифрования.

Есть много модификаций вируса Vault , к примеру, для Windows 7/ 8, 32-х или 64-х битных систем. И попадая в каждую, вирус действует по своему. Также вирус может шифровать компьютеры находящиеся в одной сети с вашим.

Как убрать вирус Vault из компьютера?

Вирус действует таким образом, что в папке с исходным файлом, создается аналогичный с расширением.gpg. Далее этот файл встает заменяет исходный файл и добавляет расширение vault. Простым переименованием документа тут не отделаться. Поэтому давайте разбираться, как восстановить файлы и убрать вирус vault.

Удаление самого вируса

Как только вы обнаружили расширение vault на ваших документах, то сразу отключите сеть, и прекратите работу со всеми приложениями, не открывайте папки на дисках лишний раз. Войдите в систему через безопасный режим.

В плане удаления, вирус Ваулт не сложный. Удалить его не представляется трудным, для этого воспользуйтесь самыми популярными программами для удаления таких вирусов шифраторов, банерной рекламы, троянов. Но проблемы будут дальше:(.

Что нужно знать — так это то, что само тело вируса спрятано в папке Temp. Состоит вирус из следующих файлов:

• 3c21b8d9.cmd;
• fabac41c.js;
• VAULT.txt;
• Sdc0.bat;
• VAULT.KEY;
• CONFIRMATION.KEY.

Все эти файлы, кроме двух последних (!), нужно удалить. Далее запустите клинер, очистите автозагрузку, проверьте реестр на наличие ошибок (для Windows 7/8/10 принцип одинаков). Последние 2 файла нужно оставить на компьютере, так как:

1. VAULT.KEY — непосредственно сам ключ шифрования. Его удалять нельзя ни в коем случае! Он передается злоумышленникам, анализируя его, они выдадут вам вторую часть ключа для расшифровки.
2. CONFIRMATION.KEY — файл с полной информацией о количестве зашифрованных файлов на ПК. он тоже необходим для хакеров.

Восстановление файлов с расширением.vault бесплатно

Таким образом, мы подошли к самому страшному — файлы остались зашифрованными. бесплатных дешифраторов для вируса vault не существует. Расшифровать файлы с ключом rsa-1024 может только сама исходная программа.

Какие есть способы для восстановления файлов:

Если вы ничего не нашли в Корзинах и нет точек восстановления системы, то вам придется платить злоумышленникам. Тут ничего не поделаешь. Анализируя диалоги на форумах, следует вывод — что злоумышленники реально расшифровывают файлы, но за это нужно платить. Будь это неправда, молва в интернете давно бы это разнесла, и люди бы не велись на это. Следует понимать, что это целая «бизнес-система» — вы попались, теперь платите и все будет хорошо.

Дошло до того, что в интернете уже есть супер-агенты! То есть посредники, которые свяжутся за вас со злоумышленниками и решат все ваши проблемы. Вестись на это или нет, ваше дело. Не хотите сами делать — платите больше.

Следуя инструкциям из текстового файла, вы запустите браузер Tor (специально для затирания IP), далее вы попадете на один из сайтов злоумышленников. Здесь есть мануал по работе с сайтом и даже система скидок:(.

А как же антивирус?

К сожалению, как писалось выше, антивирусные программы Dr Web, Kaspersky, Avast и др. — ничего сделать не могут. Ведь программа не является вирусом по сути. Официальные запросы в техподдержку Лаборатории Касперского заканчиваются развернутыми рассказами о vault и предложениями воспользоваться их дешифраторами RannohDecryptor , ScatterDecryptor , Rector Decryptor , RakhniDecryptor или Xorist Decryptor. Доктор Веб вообще советует обратиться в полицию, по факту несанкционированного доступа к компьютеру. Ну что ж, спасибо Доктор.

Как видите вариантов не много, и если файлы вам действительно важны, придется платить. Тянуть с этим тоже нельзя, сервера с базами и сайты постоянно перемещаются — удаляются старые и появляются новые.

И вот небольшое видео, где можно увидеть как действует вирус Vault на систему. Это видео не является рекламой:).

В этой заметке пойдет речь об одном вирусе, и честно говоря, я ничего подобного ранее не встречал. Не спорю, что были мощные вирусы, тот же Kido, который попортил нервы как простым пользователям так и различным организациям. Но вирус Vault (это семейство Trojan.Encoder) использует совсем иной подход, то есть тут как бы ничего не портится, а используются вполне нормальный инструмент для работы с файлами — это шифрование, но только в плохих целях…

Шифрование файлов, это когда сами файлы обрабатываются при помощи специального ключа (не стоит путать с паролем, так как этот ключ в тысячи раз надежнее, и подобрать его просто невозможно), при этом они становятся недоступными, то есть если их не расшифровать, то с ними вообще ничего сделать нельзя — останется только удалить. Сам файл даже в глазах человека, который занимается дешифрацией, выглядит просто как каша из кода, где все перемешано и ничего непонятно. Вирус Vault именно так и работает, он шифрует файлы, и все вернуть обратно можно только если перевести некоторую сумму хакерам, но поразительно то, что это единственный способ вернуть файлы!

Если вам предлагают расшифровать такие файлы, и при этом просят денег, то будьте уверены что это мошенники. Расшифровать файлы могут только те хакеры, которые создали вирус и никак иначе. Подобрать ключ нельзя даже на программном уровне — он слишком сложный. Хотя нет, подобрать его можно и над этим работают, но, для этого нужен не один и не сто компьютеров, а миллион и подбираться он может от нескольких недель до нескольких лет, а то и больше — то есть опять вернемся к тому, что подобрать его простым пользователям нереально.

Как попадает Vault вирус на компьютер?

Но как этот вирус появляется на компе? Ну смотрите сами — вам на почту приходит письмо с вложением в виде документа (как банально то), но заголовок письма такой, что открыть его ну очень хочется (врать не стану, я что-то подобное открывал, но никакие вложения и близко не смотрел!). В итоге вы смотрите документ во вложении, и в это время начинает работать вложенный скрипт в документ, он имеет расширение.js, то есть то java-скрипт. Как вы уже догадались, запускается этот скрипт автоматически при открытии вложения и как можно быстрее старается загрузить модули для запуска процесса шифрования.

Как это все работает? В обычный doc-файл вставляется текст, который или невозможно прочитать, или там какая-то типа ошибка, в общем что-то написано что побуждает к действиям (пример на картинке ниже). Мол нажмите тут, чтобы открыть файл. Тут — это макрос-скрипт, который и загружает сам исполняемый файл вируса во временную папку (так как права на запуск у этой папки есть). Почему Windows молчит? Потому что пользователь сам открыл документ и сам запустил активное содержимое документа, то есть все нормально, пользователь все сам вручную нажал.

Вот пример другого письма с вирусом:

• Тема письма: Акт сверки за 2014 год
  От кого: ООО ПК «МОСТЕМ»

  Тело письма:

  Здравствуйте,

  Прошу ознакомиться с актом сверки за 2014 год — в приложении.
  Наши бухгалтера выявили, что за прошлый году Вас есть перед нами небольшой долг.
  Проверьте данные, указанные в акте, и сообщите о сроках погашения задолженности.

  Прикреплённые файлы:
  1. Акт сверки за 2014г.zip (а внутри может быть и просто скрипт типа Акт сверки за 2014г.doc.js)

  С уважением,
  Зам.главного бухгалтера
  Супрыкина Оксана Игоревна

Сам процесс работы вируса вы можете увидеть на этой картинке:

Шифровальщик не может быть вирусом, ибо это алгоритм RSA-1024, и призван для шифровки файлов. А то, что вирус Vault использует шифрование не по назначению, то это уже другое дело.

После успешного заражения вирусом Vault, после того как он зашифровал почти все ваши файлы, то вы увидите текстовый документ с таким содержанием:

То есть вполне культурно и спокойно написано о том, что ваши файлы тупо заблокированы, и подобрать ключ вы самостоятельно не сможете, что он безопасно хранится у них на сервере, а также то, что хакеры готов торговаться (ну и наглость же).

После работы вируса, файлы обзаводятся вот меткой.vault (второе расширение) в конце своего имени:

Вирус шифрует почти все популярные форматы файлов, и картинки и формат книг pdf, doc и другие документы, и даже архивы zip/rar. Но что самое опасное, что под влияние вируса могут попасть и базы 1C, это уже куда серьезнее, так как обычно это компьютеры организаций, предприятий и даже банков.

Вирус спокойно работает почти во всех современных версиях Windows, при этом поведение его может немного отличатся, например в некоторых случаях заражению также подвергаются файлы в локальной сети.

Удаление вируса Vault

Удалить вирус не особо сложно, здесь не будет подводных камней — вам просто нужно уничтожить все содержимое папки %temp% того пользователя, под которым и произошло заражение файлов.

Что я советую? В интернете скачайте какой-то live-cd диск, где есть антивирус. Запишите все это на флешку (как правило на торрентах, откуда можно скачать live-cd, есть также и инструкция о том, как записать на флешку), потом загрузитесь, перейдите в папку %temp% и очистите ее полностью. После этого можете проверить компьютер на вирусы, мало ли что. Беда еще в том, что вы просто удалите вирус с компа, то есть его не будет — но все последствия то останутся.. увы, как я уже писал, шифрование файлов взломать простым пользователям нереально.

Итак, какие файлы Vault содержатся в папке %temp%:

• 3c21b8d9.cmd
• 04fba9ba_VAULT.KEY
• CONFIRMATION.KEY (в этом файле хранятся записи о количестве файлов, которые имеют метку vault, то есть зашифрованы; именно это количество и определяет конечную цену за получение второго ключа для расшифровки; этот файл нужно сохранить, если вы хотите вернуть доступ к файлам)
• fabac41c.js (основная часть вируса)
• Sdc0.bat
• VAULT.KEY (первый ключ шифрования, при восстановлении файлов его вместе с первым CONFIRMATION.KEY нужно отправить хакерам, а они на основе его выдадут вам второй ключ, который уже пригоден для расшифровки);
• VAULT.txt
• revlt.js
• svchost.exe (имя такое же как у системного процессора, но расположен в папке temp)

Имена фалов могут быть немного изменены, иногда их меньше.

Некоторые версии вируса Vault хранят файлы VAULT.KEY и CONFIRMATION.KEY в папке %appdata%.

Если попробовать открыть какой-то файл с меткой, то скорее всего вы увидите такое сообщение:

Как восстановить файлы после вируса Vault?

Да, действительно, было бы здорово просто воспользоваться таким инструментом как дешифратор Vault, но увы, такого инструмента нет. И нет его потому, что у каждого компьютера свой ключ, и только имея его и файл с записями зараженных обьектов, можно восстановить доступ к файлам, отправивши это все злоумышленникам.

Если у вас включена защита для каждого диска, то это здорово. При такой защите, вы можете восстановить прежнее состояние файла или папки, все это находится в свойствах каждого файла (но некоторые версии Vault удаляют данные для восстановления, только при включенном UAC вы увидите запрос, еще один аргумент что UAC лучше не отключать!). Можно попробовать восстановить предыдущее состояние компьютера при помощи точки восстановления (в панели управления пункт Восстановление).

Если у вас защита не включена, то увы, у меня для вас неутешительные новости. Скорее всего восстановить файлы у вас не получится, если только вы не заплатите круглую сумму злоумышленникам. Да, это реально работает, но для этого вам нужно иметь два файла, я о них писал выше.

Также хочу вас предупредить, что других способов расшифровать файлы — нет. Это ведь не просто вирус, это вирус, который использует вполне нормальные механизмы, которые не вызывают подозрения у антивирусов, поэтому не стоит писать и тех. поддержку им, вам все равно не помогут ничем. Ну, например, это тоже самое если бы архиватор WinRAR антивирусом воспринимался за вирус только потому, что в нем есть возможность поставить архив под пароль.

Так что тут только вариант, это платить. При этом, те хакеры смотрят, какие именно файлы у вас зашифрованы. Ну и на основе этого они могут цену или повысить до достаточно большой, или наоборот — снизить (были случаи как $50 так и $500). При оплате вы получаете только один ключ для дешифратора Vault и для одного компьютера, с которого вы отправляли VAULT.KEY и CONFIRMATION.KEY.

Оплата производится только через BitCoin и только при использовании анонимной сети Tor. Это все, что первое, что второе — анонимные инструменты, самые популярные и самые эффективные на сегодняшний день. Именно поэтому, хакеров и не могут пока (?) поймать. Хотя, опять же, как я уже писал вначале — очень удивлен такому наглому поведению.

Следуя инструкции, вам нужно будет перейти на сайт restoredz4xpmuqr.onion, указать файл VAULT.KEY (о нем писал выше):

После чего вы попадете в личный кабинет:

Какие можно сделать выводы?

Мои мысли так бы сказать:

Надеюсь что написал все доступно и информацией хотя бы вы уже вооружены, так что будьте осторожны и учите фаервол, грамотная его настройка обезопасит вас от подобных вирусов.

16.01.2016

Вирусы могут создавать назойливую рекламу и использовать ваш трафик для своих нужд. Но вдвойне неприятно, когда хакеры опускаются к шантажу, ограничивая доступ к вашим файлам и требуют деньги. Если вы потеряли доступ к документам, и для нормальной работы нужно заплатить, то вы стали жертвой опасного вируса Vault который активно распространяется по сети.

Что представляет собой вирус Vault?

Данный вирус относится к программам-шифровальщикам. Он загружает на ваш компьютер простую программу, которая зашифровывает файлы Word, Excel, mp3-файлы, графические изображения, присваивая им расширение *.Vault.

После шифровки, пользователь полностью теряет доступ к данным. Для возобновления доступа, программой создается специальный ключ. Он остается в руках хакеров. За предоставление ключа, шантажисты требуют деньги.

Пути распространения

Вирус распространяется в замаскированном виде через электронную почту, Skype или социальные сети. Представляет собой исполняемый скрипт с расширением.js. В ряде случаев злоумышленники запаковывают вирус в архив, чтобы его сложнее можно было отследить.

После того, как пользователь запускает скрипт, вирус скачивается с серверов хакеров, а затем поселяется в папке TEMP и шифрует файлы. Антивирусы не блокируют Vault, т.к. видят в нем безопасный шифровальщик, - полезную утилиту, которую используют для защиты данных от взломщиков.

Удаление

К тому моменту, когда вы обнаружили вирус, он уже успел сделать грязную работу. Поэтому, хакеры особо не заморачиваются над тем, чтобы создавать какую-либо защиту для своего детища. Файлы трояна расположены в папке TEMP .

Удалять все подряд ни в коем случае нельзя. Перед тем как удалить вирус Vault с компьютера, обязательно сохраните следующие файлы:

1. CONFIRMATION.KEY — отображает количество зашифрованных файлов. Это своеобразная «смета» для злоумышленников. Благодаря ей, они определяют количество средств, которые они готовы потребовать за возобновление доступа.
2. Vault.KEY — ключ к данным. Он содержит идентификатор, который используют хакеры, чтобы подобрать ключ доступа к именно вашим файлам.
3. Vault.txt — общая информация о порядке возобновления и сайте взломщиков.

Не факт, что эти файлы вам понадобятся. Но на всякий случай лучше их хранить.

После того как вы очистили папку, сканируйте систему бесплатной программой CureIT от DrWeb , и антивирусом . Затем нужно перезагрузить компьютер и запустить диспетчер задач. Если среди процессов нет подозрительных, значит, все прошло правильно, и самая легкая часть пути осталась позади.

Расшифровка файлов после заражения

В своих обращениях к жертвам, хакеры пишут: «Поспешите, у вас мало времени», или «Время работает против вас». Злоумышленникам нужно, чтобы вы паниковали, чтобы приняли спонтанное решение, не думая расстались с деньгами за доступ к важным файлам. Действовать нужно строго наоборот. У вас есть зашифрованные файлы, и способы вернуть к ним доступ:

1. Купить ключ у вымогателей.
2. Попытаться найти следы ключа на своем компьютере.
3. Восстановить резервные копии файлов.
4. Воспользоваться решениями от антивирусных лабораторий.

Покупка ключа у хакеров

Покупать ключ у хакеров, это как выполнять требования террористов. С моральной точки зрения – очевидно, худшая затея. Деньги, которыми вы спонсируете собственный обман позже потратят на усовершенствованные виды мошенничества. Но этот вариант имеет место, ведь есть подтвержденные случаи возвращения доступа после оплаты.

Поиск дешифратора в системе

Гораздо лучше – попытаться восстановить файлы самостоятельно. Есть простой способ как восстановить файлы после Vault вируса. Поскольку в основе вредоносного ПО лежит безопасная программа-шифровщик, дешифровальный ключ создается изначально на жестком диске компьютера. Затем он отправляется на сервер взломщиков. А уже потом – удаляется. Поэтому первым делом ищите ключ. Возможно, он еще не удален. Имя ключа secring.gpg. Если удастся найти его в системе – вам повезло.

Восстановление сохраненных копий

Можно также восстановить копии файлов. Если у вас активирована защита системы, Windows применяет к файлам процедуру резервного копирования. Жмем на файл правой кнопкой, открываем вкладку «Свойства». В открывшемся окне нажимаем «Предыдущие версии». Восстанавливаем их, и пользуемся.

Совет! Старайтесь не забывать о создании точек восстановления системы . Они могут выручить вас там, где не работают обычные методы устранения проблемы.

Решения от антивирусных лабораторий

И «Лаборатория Касперского» и DrWeb признают, что бороться с шифровальными вирусами тяжело. Также трудно и определить их в системе. Но у антивирусных лабораторий есть дешифраторы, которые в ряде случаев помогают в ситуации. У «Касперского» это RectorDecryptor. Утилита сама ищет и исправляет пораженные файлы.

Если этот вариант не помог, отправляйте файл на анализ в DrWeb, и там подберут дешифратор к конкретному случаю. Запрос с описанием проблемы пишите в поддержку на официальном сайте лаборатории. Ознакомившись с проблемой, специалисты предложат отправить 3 файла:

• CONFIRMATION.KEY;
• Vault.KEY;
• Пример зашифрованного файла.

В результате, вы получите или настроенную под конкретный случай утилиту для разблокировки всех файлов либо существующего файла.

Услуги сторонних компаний

В связи с распространением вируса, участилось количество веб-сервисов, предлагающих разблокировку за деньги. Пользоваться такими услугами нельзя ни в коем случае. Как предупреждают в «Лаборатории Касперского», в случае, когда прогрессивные аналитические центры не способны решить проблему, надеяться на спасение от сомнительной организации не стоит.

Не стоит пользоваться и программами, которые предлагают установить такие организации. Vault часто использует открытый способ шифровки RSA-1024 , и технически, разблокировать его машинным способом просто невозможно.

Как уберечь себя от вируса в будущем

Vault-вирус крайне редко определяется антивирусными программами. Поэтом, есть ряд правил, руководствуясь которыми можно уберечь себя от шифровальщиков в будущем:

1. Проверяйте файлы. Документы с расширением.js, которые приходят вам на почту или в социальные сети, априори опасны. Открывать их не стоит, а если вы хотите принять участие в борьбе с хакерами – лучше сразу отправлять на анализ в антивирусные лаборатории.
2. Копируйте данные. Храните резервные копии там, где вирус не сможет их повредить. Используйте съемные носители. Синхронизируйте с облачными сервисами, такими как OneCloud, DropBox, GoogleDrive, или Я.Диск.
3. Доверяйте проверенным источником. Отказывайтесь от программ, в источниках которых вы не уверены. Если у приложения доступен официальный поставщик – лучше пользоваться им, а не решениями от неизвестных организаций.
4. Откажитесь от пиратской продукции. Мошенники не приходят одни. Когда вы скачиваете взломанную игру, или программное обеспечение, то рискуете получить вшитый вирус. Лицензия - это растраты. Вместе с тем и безопасность.