Dekódovanie trezoru. Odstraňovanie šifrovacích vírusov VAULT a obnovenie dát

Vault (tiež známy ako Virus väzeň)  je vírus, ktorý objaví na obrazovke počítača varovnú správu a požiada vás, aby ste zaplatili určitú čiastku na dešifrovanie všetkých uzamknutých súborov. Vault je názov detekcie škodlivého softvéru, ktorý blokuje počítač a šifruje súbory v ňom. Potom priradí súkromný kľúč potrebný na dešifrovanie všetkých súborov.

Infekcia trezoru je často označovaná bezpečnostnými odborníkmi ako ransomware. Môže sa zobraziť zavádzajúce hlásenie o tom, že všetko, čo robíte na odstránenie vírusu, môže zničiť váš súkromný kľúč. Bez tohto kľúča nebude dešifrovanie súborov možné.

Používatelia počítačov by si mali byť vedomí toho, že Vault a väčšina svojho druhu boli vyvinuté online zločincami s cieľom získať zisk prostredníctvom podvodu. Zvyčajne sú ransomware programy, ktoré zablokujú prístup k súborom, programom a počítačom na vyberanie platieb od obetí. Posielanie peňazí týmto druhom útočníkov podobným spôsobom im dáva šancu zjednodušiť zisky prostredníctvom internetových podvodníkov. Preto sa táto aktivita nikdy nezastaví. Ostatní vývojári škodlivého softvéru, ktorí vidia úspech prostredníctvom tejto schémy, môžu čoskoro vykonať ten istý útok.

Ak chcete zastaviť aktivity ransomware, vrátane vírusu Vault, je lepšie odstrániť hrozbu, vírus alebo škodlivý softvér, ktorý ju vniesol do počítača. Ďalej je potrebné zaobchádzať so šifrovanými súbormi pomocou platných nástrojov od renomovaného poskytovateľa zabezpečenia. Jeden z uvedených nástrojov, ktoré sme použili na odstránenie príručky na tejto stránke, vám pomôže odomknúť súbory, ktoré boli šifrované pomocou softvéru Vault Malware.

chovanie trezoru

  • Zobrazuje falošné bezpečnostné upozornenia, vyskakovacie okná a reklamy.
  • Zmení domovskú stránku používateľa
  • Vault deaktivuje nainštalovaný softvér.
  • Kradne alebo používa vaše dôverné údaje
  • Presmerovanie prehliadača na infikované stránky.
  • Vault zobrazuje komerčné reklamy
  • Brzdy pripojenie k internetu
  • General Vault Behavior a nejaký iný text obsahujúci informácie súvisiace s chovaním
  • Distribuuje prostredníctvom platu za inštaláciu alebo je dodávaný so softvérom tretej strany.
  • Zmeňte nastavenia počítača a prehliadača.
  • Inštaluje sa bez povolenia
  • Vault sa bez vášho povolenia pripojí k internetu
  • Integrované vo webovom prehliadači pomocou rozšírenia prehliadača Vault

Vault uskutočnil Windows os

  • Windows 8 29%
  • Windows 7 22%
  • Windows vista 7%
  • Windows XP 42%

Upozornenie: Viaceré antivírusové skenery zistili možný malware vo Vault.

Antivírusový softvérverziaodhalenie
NANO AntiVirus0.26.0.55366 Trojan.Win32.Searcher.bpjlwd
Tencent1.0.0.1 Win32.Trojan.Bprotector.Wlfh
Malwarebytesv2013.10.29.10PUP.Optional.MalSign.Generic
McAfee-GW-Edition2013
K7 AntiVirus9.179.12403 Nežiadaný program (00454f261)
Malwarebytes1.75.0.1 PUP.Optional.Wajam.A
Baidu-International3.5.1.41473 Trojan.Win32.Agent.peo
Dr.Web Adware.Searcher.2467
VIPRE Antivirus22702 Wajam (fs)
Qihoo-3601.0.0.1015 Win32 / Virus.RiskTool.825
McAfee5.600.0.1067 Win32.Application.OptimizerPro.E
ESET NOD32,8894 Win32 / Wajam.A
Kingsoft AntiVirus2013.4.9.267 Win32.Troj.Generic.a. (Kcloud)
VIPRE Antivirus22224 MalSign.Generic

Zemepisná klenba

Odstráňte zo sejfu systému Windows

Odstráňte trezor zo systému Windows XP:

Odstráňte trezor zo systému Windows Vista alebo Windows 7:



Odstráňte trezor z operačného systému Windows 8:



Odstráňte trezor zo svojich prehliadačov

Odstráňte trezor z aplikácie Internet Explorer



Odstráňte trezor z Mozilly Firefox



Zastavte Trezor Chrome



Dobrý deň, drahí čitatelia. Mal som príležitosť zoznámiť sa s jedným veľmi nepríjemným a nebezpečným kryptografom, ktorý šifruje používateľské dáta a nahrádza ho štandardným rozšírením. Po nakazení vírusu kryptografom v trezore sa okamžite vyskytne hlavná otázka - ako obnoviť poškodené súbory a dešifrovať informácie. Bohužiaľ, jednoduché riešenie tohto problému neexistuje kvôli zvláštnosti mechanizmu práce škodlivého softvéru a vynaliezavosti narušiteľov.

Popis vírusu kryptografa klenby

Všetko to začína tým, že náhle otvoríte textový súbor v notebooku s nasledujúcim obsahom:

Vaše pracovné dokumenty a databázy boli zablokované a označené vo formáte .váult.Ak chcete ich obnoviť, musíte získať jedinečný kľúč POSTUP KĽÚČOVÉHO RECÍCIE: KRÁTKE 1. Prejdite na našu webovú stránku 2. Získajte kľúč zaručený 3. Obnovte súbory na predchádzajúcu DETAILED Krok 1: Prevezmite prehliadač Tor z oficiálnej webovej stránky: https://www.torproject.org Krok 2: Pomocou prehliadača Tor navštívte webovú stránku: http://restoredz4xpmuqr.onion Krok 3: Nájdite svoj jedinečný VAULT.KEY v počítači - to je váš kľúč k vášmu klientovi -panels. Neodstraňujte ho Prihláste sa na stránku pomocou klávesu VAULT.KEY Prejdite na sekciu Časté otázky a prečítajte si ďalší postup STEP 4: Po obdržaní kľúča môžete obnoviť súbory pomocou nášho softvéru s otvoreným zdrojovým kódom alebo bezpečne používať softvér VOLITEĽNÉ a) obnoviť súbory bez jedinečného kľúča (ktorý je bezpečne uložený na našom serveri) b) Ak nemôžete nájsť váš VAULT.KEY, pozrite sa do dočasnej zložky TEMP c) Vaše náklady na obnovu nie sú konečné, napíšte do chatu Dátum zámku: 04/08/2015 (11: 14)

Vzhľad takejto správy už to znamená vírus trestu  infikovali počítač a začali šifrovať súbory. V tomto okamihu musíte okamžite vypnúť počítač, odpojiť ho od siete a odstrániť všetky vymeniteľné médiá. Budeme hovoriť o tom, ako s vírusom zaobchádzať neskôr, ale teraz vám poviem, čo sa stalo vo vašom systéme.

S najväčšou pravdepodobnosťou ste dostali list poštou od dôveryhodnej protistrany alebo skrytej ako známa organizácia. Môže to byť požiadavka na vykonanie zúčtovania účtov počas určitého obdobia. Potvrďte prosím platbu faktúry v rámci zmluvy, návrh na oboznámenie sa s úverovým dlhom v sporiteľni alebo niečo iné. Informácie však budú také, že vás určite zaujmú a otvoríte e-mailovú prílohu s vírusom. Toto je výpočet.

Takže otvoríte prílohu, ktorá má príponu .js a je skript Java. Teoreticky by vás to malo upozorniť a zabrániť tomu, aby ste ho otvorili, ale ak ste si prečítali tieto riadky, potom nie ste vystrašení a nezastavili ste. Skript sťahuje trojan alebo bannerovú klenbu z servera útočníkov, ako je to v tomto prípade možné nazvať, a šifrovací program. Pridajte ich všetko do dočasného adresára používateľa. A okamžite začne proces šifrovania súborov na všetkých miestach, kde má používateľ prístup - sieťové jednotky, flash disky, externé pevné disky atď.

Nástroj na šifrovanie trezora je bezplatný nástroj šifrovania. gpg a populárny šifrovací algoritmus - RSA-1024, Keďže v podstate sa tento nástroj používa veľa tam, kde to je, nie je sám o sebe vírusom, antivírusy chýbajú a neblokujú jeho prácu. Na šifrovanie súborov sa generuje verejný a súkromný kľúč. Súkromný kľúč zostáva na serveri hackerov, ktorý sa otvorí na počítači používateľa.

Trvá určitý čas po spustení šifrovacieho procesu. Závisí to od niekoľkých faktorov - rýchlosť prístupu k súborom, výkon počítača. Potom sa v textovom súbore objaví informačné hlásenie, ktorého obsah som dal na samom začiatku. V tomto okamihu sú niektoré informácie už šifrované.

Konkrétne som narazil na zmenu vírusu trezoru, ktorý fungoval iba na 32 bitových systémoch. A v systéme Windows 7 s zahrnutým UAC sa objaví požiadavka na zadanie hesla správcu. Bez hesla vírus nemôže urobiť nič. V systéme Windows XP začne pracovať ihneď po otvorení súboru z pošty, nespýta sa na žiadne otázky.

Vírus nainštaluje rozšírenie trezoru na doc, jpg, xls a ďalšie súbory.

Čo presne robí vírus so súbormi? Na prvý pohľad sa zdá, že to jednoducho mení rozšírenie od normy na .vault, Keď som prvýkrát videli prácu tohto šifrovania vírusov, myslela som si, že je to detské usporiadanie. Premenoval som súbor späť a bol veľmi prekvapený, keď sa neotvoril tak, ako by mal byť, a namiesto obsahu bol nastavený neporiadok nepochopiteľných znakov. Potom som si uvedomil, že všetko nie je tak jednoduché, začal som rozumieť a hľadať informácie.

Vírus prešiel všetkými obľúbenými typmi súborov - doc, docx, xls, xlsx, jpeg, pdf  a ďalšie. Do štandardného názvu súboru bolo pridané nové rozšírenie .vault. Niektoré šifruje a súbory s lokálnymi databázami 1C. Nemal som takéto, takže som to osobne nepozoroval. Jednoducho premenovanie súboru späť, ako viete, nepomôže tu.

Keďže šifrovací proces nie je okamžitý, môže sa stať, že keď zistíte, že máte vírus vo vašom počítači, niektoré súbory budú stále normálne a niektoré budú infikované. No, ak zostane nedotknutá, zostane veľká časť. Ale častejšie nie je potrebné počítať s tým.

Poviem vám, čo leží za zmenou predĺženia. Po zašifrovaní napríklad súboru.doc vedľa neho vytvorí vírus trezoru šifrovaný súbor súbor.doc.gpg, potom sa šifrovaný súbor.doc.gpg presunie do pôvodného umiestnenia s novým názvom súbor.doc a až potom sa premenuje na súbor. doc.vault. Ukazuje sa, že pôvodný súbor nie je vymazaný, ale je prepísaný šifrovaným dokumentom. Potom sa nemôže obnoviť štandardnými prostriedkami na obnovu zmazaných súborov. Tu je časť kódu, ktorý implementuje túto funkciu:

(* .Xls * .doc) do (echo "%% TeMp %% \\ svchost.exe" -r Sklepa --yes - q -no-verbose -vlastný model vždy -encrypt -súbory "%% i" ^ & pohyb "y %% i.gpg" "%% i" ^ a premenovať "%% i" "%% ~ nxi.vault "\u003e\u003e"% temp% \\ cryptlist.lst "echo %% i \u003e\u003e"% temp% \\ conf.list ")

Ako odstrániť vírus trezora a vyliečiť počítač

Po zistení vírusu je potrebné najprv zbaviť sa po ošetrení počítača. Najlepšie je zavádzať z akéhokoľvek zavádzacieho disku a ručne vyčistiť systém. Vírusová klenba z hľadiska korozívnosti v systéme nie je ťažká, ľahko ju čistíte sami. V tomto bode nebudem podrobne analyzovať, pretože štandardné odporúčania na odstránenie vírusov šifrovacích zariadení, bannerov a trójskych koní budú robiť.

Telo samotného vírusu je v dočasnej zložke. temp  používateľ, ktorý ho spustil. Vírus pozostáva z nasledujúcich súborov. Názvy sa môžu líšiť, ale štruktúra bude približne rovnaká:

  • 3c21b8d9.cmd
  • 04fba9ba_VAULT.KEY
  • CONFIRMATION.KEY
  • fabac41c.js
  • Sdc0.bat
  • VAULT.KEY
  • VAULT.txt

VAULT.KEY  - šifrovací kľúč. Ak chcete dešifrovať údaje, musí byť tento súbor uložený. Vysielajú sa útočníkom a na základe toho vám dajú druhú dvojicu kľúčov, s ktorou sa dešifrovanie vyskytne. Ak sa tento súbor stratil, nebude možné obnoviť údaje ani za peniaze.

CONFIRMATION.KEY  - obsahuje informácie o šifrovaných súboroch. Zločinci ho požiadajú, aby vypočítal, koľko peňazí od vás vezme.

Ostatné súbory sú službou, môžu sa vymazať. Po odstránení je potrebné vyčistiť autoload tak, aby pri spúšťaní neboli odkazy na odstránené súbory a chyby. Teraz môžete spustiť počítač a posúdiť rozsah tragédie.

Ako obnoviť a dešifrovať súbory po vírusu trezoru

Tu sa dostávame k najdôležitejšiemu bodu. Ako môžeme získať informácie späť. Vyliečili sme počítač, ktorý sme mohli obnoviť prerušením šifrovania. Teraz sa musíme pokúsiť dešifrovať súbory. Samozrejme, že by bolo jednoduchšie a viac žiaduce pripraviť sa dekódovací klenba  dešifrovať, ale neexistuje. Bohužiaľ, je technicky nemožné vytvoriť nástroj na dešifrovanie šifrovaných údajov pomocou kľúča RSA-1024.

Takže bohužiaľ tu nie je veľa možností:

Ak vám nič pomohlo s uvedenými skutočnosťami a informácie boli zašifrované, je veľmi dôležité, máte len jednu možnosť - zaplatiť peniaze tvorcom vírusu, aby ste získali dekodér trezoru. Podľa recenzií na internete to naozaj funguje, existuje šanca s vysokým stupňom pravdepodobnosti obnovenia súborov. Ak by tomu tak nebolo, potom by nikto po niekoľkých negatívnych komentároch neplatil peniaze.

Vírus vírusu je taký populárny, že sa v sieti objavila reklama, v ktorej niektorí súdnici ponúkajú na vyjednávanie s hackermi peniaze, aby znížili cenu za dešifrovanie údajov. Neviem, ako skutočne nútia cenu znižovať a či ju vôbec nútia, možno sú to len jazdci, ktorí od vás berú peniaze a umyjú. Tu konať na vlastné riziko. Viem, že samotní hackeri skutočne obnovia informácie. Jedna z známych spoločností, kde trpeli sieťové jednotky a zo záloh, nedokázala úplne obnoviť dáta, zaplatila útočníkom a dokázala získať niektoré informácie. Ale len časť, pretože tam bol prekrytie. Pretože niekoľko počítačov bolo takmer súčasne infikovaných, šifrovanie sa vykonávalo nie z jednej, ale od najmenej dvoch naraz. Pri platbe kúpite iba jeden kľúč dekodéra klenby z jedného stroja. Ak chcete dešifrovať súbory šifrované druhým počítačom, musíte si kúpiť súkromný kľúč aj za ne. Neuskutočnili to, spokojní s výsledkom.

Akú cenu máte pridelenú na dešifrovanie, závisí od počtu zašifrovaných súborov a od vašej schopnosti nájsť spoločný jazyk so šifrovacími zariadeniami. Živý rozhovor je možný s hackermi. Informácie o šifrovaných súboroch sú uložené v priečinku CONFIRMATION.KEYSpomenul som sa skôr. Budete tiež musieť dešifrovať VAULT.KEY, Kontaktovanie hackerov je popísané priamo v informačnej správe, ktorú ste dostali po infekcii. Server hackerov nefunguje nepretržite, ale asi 12 hodín denne. Budete musieť z času na čas sedieť a skontrolovať svoju dostupnosť.

Nemám nič viac, čo by som pridal k otázke dešifrovania údajov. Vyskúšajte možnosti. Vo všeobecnosti sa ukazuje čistá kriminalita a množstvo týchto slušných darebákov naháňa. Ale ako nájsť spravodlivosť pre zločincov, neviem. Kde sa sťažovať? Okresný?

Opakujem to znova len v prípade. Pri modifikácii klenby, ktorú som opísal, dekodér neexistuje! Nestrácajte peniaze, ak vám niekto ponúkne kúpiť. Vytvorenie dekodérovej klenby v tomto prípade je technicky nemožné.

Kaspersky, drweb a ďalšie antivírusy v boji s krytom krytu

A aké antivírusy nám môžu ponúknuť v boji proti tejto šifrovanej metode? Osobne som bol svedkom vírusovej infekcie v počítačoch s inštalovanou a plne aktualizovanou licenčnou verziou eset nod32. Neodpovedal na spustenie šifrovateľa. Možno sa niečo zmenilo už teraz, ale v čase hľadania informácií o tejto problematike žiaden z vírusov nezaručoval ochranu používateľa pred takýmito hrozbami. Čítal som populárne antivírusové fóra - Kaspersky, DrWeb a ďalšie. Všetko pokrčí ramenami - nemôžeme pomôcť s dekódovaním, je technicky nemožné.

Po spravodajstve sa Kaspersky prepadol, že orgány činné v trestnom konaní v Holandsku zatkli votrelcov a zabavili ich server so súkromnými šifrovacími kľúčmi. Použitím extrahovaných informácií remeselníci z Kaspersky zlikvidovali dekodér, pomocou ktorého bolo možné obnoviť šifrované súbory. No, bohužiaľ, to neboli hackeri, s ktorými som narazil, a že dešifrotor mi nepomohol. Možno sa raz chytia, ale je tu veľká šanca, že zatiaľ šifrované súbory už nebudú relevantné.

Odpoveď služby technickej podpory spoločnosti Kaspersky Lab je:
Dobrý deň! Nedávno sme často dostávali žiadosti týkajúce sa akcií šifrovacích programov.
Niektoré programy šifrovania škodlivého softvéru používajú technológiu šifrovania s verejným kľúčom. Samotná technológia je spoľahlivým spôsobom, ako bezpečne zdieľať dôležité informácie, ale útočníci ju používajú na poškodenie. Vytvárajú programy, ktoré raz v rámci počítača šifrujú dáta takým spôsobom, že sa môžu dešifrovať iba pomocou špeciálneho šifrovacieho kľúča. Jeho útočníci spravidla zadržiavajú a požadujú peniaze výmenou za kľúč. Bohužiaľ, v takejto situácii je takmer nemožné dešifrovať informácie v primeranom čase bez toho, aby mali "súkromný" šifrovací kľúč. Kaspersky Lab neustále pracuje na boji proti takýmto programom. Obzvlášť niekedy môže byť šifrovací princíp používaný hackermi zisťovaný štúdiom kódu škodlivého softvéru a vytvorením nástroja na dešifrovanie údajov. Existujú však vzorky škodlivého softvéru, ktorých analýza neposkytuje také cenné informácie. Ak chcete dešifrovať súbory, použite naše nástroje (Rektor Decryptor, RakhniDecryptor, RannohDecryptor, ScatterDecptor alebo Xorist Decryptor). Každý nástroj obsahuje stručný opis, malú informáciu o príznakoch infekcie a pokyny na to, ako pracovať. Pokúste sa dekódovať výberom vhodného nástroja podľa popisu. Ak sa súbory nedajú dešifrovať, musíte počkať na ďalšiu aktualizáciu. Dátum aktualizácie pre každý nástroj je explicitne uvedený.
  Bohužiaľ, toto je všetko, čo sa dá urobiť v tomto prípade.
Drweb Odpoveď:
Dobrý deň, bohužiaľ, v tomto prípade dekódovanie nie je v našich silách.
  Samotné šifrovanie súborov sa uskutočňuje prostredníctvom verejne dostupného kryptografického schémy založeného na legitímnom kryptografickom softvéri GPG (GnuPG) RSA-1024. Bohužiaľ, výber dešifrovacieho kľúča nie je možný.
  Primárne odporúčanie:
  požiadať územný úrad "K" Ministerstva vnútra Ruskej federácie o neoprávnený prístup k počítaču, distribúciu škodlivých programov a vydieranie. Príklady vyhlásení, ako aj odkaz na štátny portál ("Postup prijímania správ o incidente v orgánoch pre vnútorné záležitosti Ruskej federácie") nájdete na našej webovej stránke.
  Keďže ide o RSA-1024, bez pomoci autora / hostiteľa Trojana - dobrovoľného alebo nedobrovoľného (zatknutie príslušného ľudu zo strany orgánov činných v trestnom konaní) - dekódovanie nie je prakticky možné.

Metódy ochrany pred trením

Neexistuje žiadna spoľahlivá a 100% metóda ochrany proti týmto vírusom. Môžete zopakovať len štandardné odporúčania, ktoré sú dôležité pre všetky vírusy na internete:

  1. Nespúšťajte neznáme aplikácie, či už poštou alebo stiahnuté z Internetu. Pokúste sa sťahovať alebo spustiť čokoľvek z Internetu vôbec. Teraz je tak veľa záchytov, ktoré sa nachádzajú v zariadeniach na uloženie súborov, že je takmer nemožné brániť sa bez toho, aby ich správne pochopili. Požiadajte kompetentného priateľa, aby našiel niečo na internete a poďakujte mu za to.
  2. Vždy zálohujte dôležité údaje. A musíte ju odpojiť od počítača alebo siete. Uložte pre archívne kópie samostatnú jednotku USB flash alebo externý pevný disk. Pripojte ich raz týždenne k počítaču, kopírujte súbory, odpojte ich a už ich nepoužívajte. Pre každodenné potreby, zakúpte samostatné zariadenia, teraz sú veľmi cenovo dostupné, nešetríte. V modernom veku informačnej technológie sú informácie najcennejšie zdroje, dôležitejšie ako dopravcovia. Je lepšie si kúpiť extra flash disk, než stratiť dôležité dáta.
  3. Zvýšte porozumenie počítačových procesov. Počítače, tablety, notebooky, smartfóny vstúpili do našich životov tak pevne, že ich nedokážeme pochopiť znamená, že zaostávajú za moderným rytmom života. Žiaden antivírus a špecialista nebudú môcť chrániť vaše údaje, ak sa naučíte, ako to urobiť. Strávte čas, prečítajte si aktuálne články o informačnej bezpečnosti, prejdite na príslušné kurzy, vylepšite počítačovú gramotnosť. To je v modernom živote určite príde vhod.

Pred nejakým časom som narazil na inú. Napísal vám článok o tom, pozrite, možno vám s niečím pomôže. Niektoré antivírusové spoločnosti hlásia, že môžu pomôcť dešifrovať tento vírus, ak máte licencovanú kópiu antivírusu. V niektorých prípadoch existuje možnosť, že bude pracovať s vírusom trezoru. Môžete sa pokúsiť získať Kaspersky, podľa môjho názoru je to dnes najlepší antivírus. Používam ho sám na domácich počítačoch av podnikových prostrediach. Pokúste sa získať licenciu, aj keď dešifrovanie vírusu nepomôže, bude to ešte príde vhod.

Mám to všetko. Želám si, aby ste nestratili vaše informácie.

Decentralizátor klenby na video

Nedávno som našiel video, kde osoba dešifruje súbory s dekodérom zakúpeným od votrelcov. Nechcem nutne platiť, tu si každý rozhodne sám. Poznám niekoľko ľudí, ktorí zaplatili za dekódovanie, pretože stratili veľmi dôležité údaje. Posielam video len pre informácie, aby ste pochopili, ako to všetko vyzerá. Téma, žiaľ, je stále dôležitá.

Pomohol článok článok? Je tu príležitosť poďakovať autorovi

  • Hackovanie webového servera pomocou zraniteľnosti.

Nedávno sa čoraz viac používateľov stretáva s novým šifrovacím vírusom, ktorý nahrádza štandardné rozšírenia súborov s trezorom. Niektorí ľudia si myslia, že tento problém je možné vyriešiť manuálne zmenou rozšírenia, ale toto je nesprávna koncepcia - bez jedinečného kľúča (VAULT.KEY) sa nedá obnoviť prístup k súborom.

Detekcia a odstránenie šifrovania

Hlavné nebezpečenstvo vírusu Vault je, že antivírusy ho nerozpoznávajú. Malware prichádza na počítač, zvyčajne ako príloha v liste. Používateľ otvorí e-mail sám a spolu s priloženým súborom spustí šifrovací postup.

Virus je možné odhaliť a odstrániť len pomocou hlbokého skenovania pomocou výkonných antivírusov, ako sú napríklad Nod32 alebo Dr.Web. Okrem toho skenujte systém s liečivým programom Dr. Nástroj Web CureIT alebo Kaspersky Virus Removal Tool (nástroj je bezplatný). Uistite sa, že antivírusový softvér bol aktualizovaný, inak nebude vírus neutralizovaný.

Obnova súborov

Po neutralizácii a odstránení vírusu ostáva obnovenie súborov, ktorých rozšírenie sa zmenilo na trezor. Nemali by ste sa pokúšať hľadať hotový dekodér - neexistuje, nie je ani technická možnosť vytvoriť program, ktorý môže otvoriť prístup k šifrovaným súborom bez jedinečného kľúča (druhá časť súboru VAULT.KEY). Môžete však vyskúšať ďalšie možnosti:

  • Použite tieňovú kópiu.
  • Vyhľadajte súbory v archívnych kópiách.
  • Skontrolujte skladovanie v cloude.

Používanie tieňovej kópie

Prvá vec, ktorú musíte urobiť, aby ste sa pokúsili o obnovenie bezplatných súborov po akcii vírusovej klenby, je skontrolovať, či zostávajú tieňové kópie potrebných údajov. Ak máte aktivovanú ochranu systému, môže táto metóda fungovať.



Archivovať vyhľadávanie kópií

Ak boli uložené dáta zašifrované v úložisku na sieťovej jednotke, vyhľadajte jej záložné kópie. Ak bol košík predtým vytvorený na sieťovej jednotke, môžete sa na to pozrieť - tam môžu byť aj celé súbory. Ak sa priečinky synchronizované s úložiskami v cloude (Yandex.Disk, Google Drive, Dropbox) spadajú pod vplyv vírusového šifrovacieho vírusu Vault, vyhľadajte potrebné informácie o týchto službách.

Stojí za to zaplatiť votrelcov?

Ak žiadna z uvedených metód nepomáhala k prístupu k potrebným informáciám, zostane posledná metóda - kontaktovanie odosielateľov vírusov šifry. Podľa recenzií môžete po šifrovaní vrátiť všetky súbory. Ale pre individuálny kľúč na dešifrovanie musíte platiť peniaze, útočníci poukazujú na konkrétnu sumu na svojich webových stránkach alebo v pokynoch, ktoré sa objavia po infikovaní vírusového trezoru.

Nepoužívajte služby spoločností / jednotlivcov, ktorí ponúkajú obnovu súborov alebo zakúpenie dekodéra z nich. Nemajú žiadny dekodér a ak poskytnú časť vašich súborov ako dôkaz, tieto údaje boli prevzaté z útočníkov, ktorí vám poslali vírus trezoru.

Bez individuálnej hodnoty kľúča nie je možné dešifrovať súbory. Kľúč je uložený na serveri majiteľov vírusu a nemôže byť prístupný žiadnym spôsobom.

Ak sa stále rozhodnete požiadať o obnovenie informácií ľuďom, že boli šifrované, musíte ich dať dvom súborom:

  • VAULT.KEY je prvá časť šifrovacieho kľúča, ktorý je vytvorený na strane užívateľa. Druhá časť kľúča je od votrelcov. Ak omylom zmazate súbor VAULT.KEY, súbory sa obnovia.
  • CONFIRMATION.KEY - obsahuje informácie o tom, koľko informácií je zašifrovaných. Na základe týchto informácií vypočítajú vlastníci vírusu, koľko peňazí požaduje od vás.

Neodporúčame platiť peniaze odosielateľom vírusov. Neexistuje žiadna záruka, že sa nebudú oklamať, navyše ich len motivuje, aby pokračovali v trestnej činnosti. Platba za druhú časť kľúča je extrémne opatrenie, ktoré by malo byť prijaté len vtedy, ak dôjde k strate informácií mimoriadneho významu.

Alternatívna metóda

Môžete sa pokúsiť požiadať o dekódovanie na fórach známych laboratórií, ktoré sa podieľajú na vývoji antivírusového softvéru, ale aj takých trhových gigantov ako Kaspersky, ESET a Dr. Web pripúšťa, že nemôžu dešifrovať údaje po vírusu v primeranom čase bez toho, aby mali druhú časť súboru VAULT.KEY.

Môžete skúsiť utility-descramblers od tých istých firiem na vývoj antivírusového softvéru. Momentálne nemôžu vyzdvihnúť VAULT.KEY, ale databázy sa neustále rozširujú, takže je pravdepodobné, že problém bude vyriešený čoskoro.

Bezpečnostné opatrenia

Je veľmi ťažké dešifrovať informácie sami po tom, ako vírus pôsobil, ale môžete zabrániť tomu, aby sa dostali do systému:

  • Napriek tomu, že je Kaspersky Anti-Virus (odkaz na začiatku článku) zaplatený, verte mi, tieto 1800 rubľov vám ušetrí veľa času a peňazí.
  • Neťahajte neznáme aplikácie.
  • Neotvárajte listy od neznámych príjemcov alebo ich obsah stiahnite do počítača.
  • Uložte dôležité informácie na viacerých vymeniteľných médiách.

Dodržiavanie uvedených bezpečnostných pravidiel nezaručuje úplnú ochranu pred Vaultom. Môžete znížiť pravdepodobnosť infekcie, nemožno ju úplne vylúčiť. Preto je vhodné uchovávať záložné kópie dôležitých súborov na vymeniteľných médiách, takže v prípade potreby nemusíte svoje dokumenty, fotografie a iné potrebné informácie opätovne uplatniť.

V poslednej dobe sa používatelia stretávajú s novou hrozbou - vírusom, ktorý šifruje súbory a nahrádza štandardné rozšírenie. V dôsledku toho sa dokumenty, zvukové a obrazové nahrávky, obrázky stávajú nedostupnými. Kľúč na dešifrovanie útočníkov si vyžaduje vážne peniaze.


Šifrovací operátori sú tak nebezpeční, že ani veľké organizácie z nich nemôžu uniknúť. Napríklad vo februári 2016 muselo hollywoodské presbyteriánske zdravotnícke centrum zaplatiť 17.000 dolárov za kľúč na dešifrovanie. Nie je známe, aký kodér pracoval v Hollywoode, ale užívatelia programu Runet sa zvyčajne stretávajú s vírusom Vault. Pozrime sa teda, ako obnoviť súbory po vírusu trezoru, ak je to možné.

Ako obnoviť súbory po vírusu Vault


Detekcia vírusov

Infekcia je ťažké si nevšimnúť: súbory automaticky začnú meniť rozšírenie na .vault a zastaviť otvorenie a správa ako "Dáta sú zablokované. Ak ich chcete obnoviť, musíte získať jedinečný kľúč. " Nižšie je zvyčajne adresa stránky a pokyny na platbu a prijatie dešifrovacieho kódu.


Ak vidíte takúto správu, musíte okamžite vypnúť počítač a odstrániť všetky vymeniteľné médiá. Vault postupne šifruje informácie, takže máte čas na uloženie niektorých súborov.


Ale ako sa virus dostal do počítača? Najpravdepodobnejšie e-mailom. Používatelia dostanú list s dôležitou témou (úverový dlh, súdne predvolanie, potvrdenie o platbe atď.), Otvoria správu, po ktorej sa šifrovací program a bankový trezor stiahne do počítača s pokynmi na zaplatenie dešifrovacieho kódu.



Pre šifrovanie sa používa bezplatný a neškodný program GPG s použitím algoritmu RSA-1024. Formálne to nie je vírus, takže antivírusová ochrana nefunguje. Ale kľúč, ktorý je potrebný na dešifrovanie informácií, zostáva u hackera a hackovanie kódu nebude fungovať - ​​vyhľadávanie hodnôt bude trvať niekoľko rokov. Preto neotvárajte listy od neznámych odosielateľov!

Vymazanie kryptografu

Je jednoduché vymazať trezor: nepreniká hlboko do systému a zničí život iba zatvorením prístupu k informáciám. Na čistenie systému použite nástroj na ošetrenie Dr.Web CureIt! alebo Kaspersky Virus Removal Tool. Tieto nástroje by mali byť spustené v režime bezpečného systému Windows.



Objednávka je jednoduchá:





Okrem toho by ste mali odstrániť komponenty trezora, ktoré sú uložené v skrytej zložke v priečinku C: \\ Users \\ User \\ AppData \\ Loca \\ Temp. Štruktúra škodlivého kódu je nasledovná:


  • 3c21b8d9.cmd.

  • fabac41c.js.

  • 04fba9ba_VAULT.KEY.

  • VAULT.txt.

  • Sdc0.bat.

  • CONFIRMATION.KEY.

  • VAULT.KEY.

Posledné dve zložky vám budú užitočné, ak sa rozhodnete zaplatiť útočníkom za dekódovanie. Obsahujú otvorenú časť kľúča (hackeri majú uzavretú časť, bez ktorej nemožno kód odstrániť) a informácie o množstve zašifrovaných údajov.


K dispozícii je aj ďalšia možnosť - napíšte záchranný disk Kaspersky na USB flash disk a z neho spustite boot. Budete potrebovať pracovný počítač, flash disk, nástroj na nahrávanie a obrázok programu Kaspersky Rescue Disk 10.



Dešifrovanie súboru

Budete rýchlo riešiť škodlivý softvér, ale neskôr sa objaví vážny problém - neexistuje žiadny dekodér, ktorý by rýchlo otvoril prístup k informáciám šifrovaným pomocou algoritmu RSA-1024. Pozícia hlavných vývojárov antivírusového softvéru spočíva v tom, že nemajú technickú schopnosť crackovať kód. Preto existuje niekoľko možností:


  • Ak dôjde k strate informácií, ktoré nemajú veľkú hodnotu, je ľahšie ich odstrániť z počítača. A pamätajte, že nemusíte otvárať podivné listy od neznámych odosielateľov.

  • Ak sú šifrované údaje veľmi cenné, musíte platiť odosielateľom vírusového softvéru. Toto je extrémna možnosť, pretože neexistuje žiadna istota, že nebudete oklamaní. Okrem toho povzbudíte útočníkov, aby naďalej odosielali infikované e-maily, pretože im prináša peniaze.

Z dostupných spôsobov dešifrovania môžete vyskúšať niekoľko možností, ale nie je zaručená, že prinesú pozitívny výsledok:


  1. Pozrite sa na fórum podpory hlavných vývojárov antivírusov. Kaspersky Lab, Dr.Web, ESET. Šifrovacia databáza sa neustále rozširuje. Opíšte podrobne tento problém, možno nájdu nástroje na jeho vyriešenie.

  2. Použite tieňové kópie súborov (relevantné, ak bola aktivovaná ochrana systému).

Otvorte vlastnosti šifrovaného súboru a prejdite na kartu "Predchádzajúce verzie".


Ak existujú staré, nešifrované vydania, môžete ich otvoriť alebo obnoviť. V tomto prípade musia byť údaje s príponou .vault odstránené z počítača. Bohužiaľ neexistujú žiadne iné pracovné metódy. Preto je lepšie vyhnúť sa stretnutiu s kryptografom: neotvárajte podivné listy, neťahajte podozrivé programy, nesledujte neznáme odkazy.

Šifra VAULT sa prvýkrát objavila v Rusku vo februári 2015 a získala si povesť jeden z najnebezpečnejších  a nevyliečiteľných vírusov. V novembri začala druhá vlna infekcií, ktorá je rozšírenejšia. Tretia vlna je v polovici januára 2016. a prevyšuje predchádzajúci počet infikovaných zariadení.

V tomto článku budeme hovoriť:

    čo je vírus VAULT

    aké typy dokumentov šifruje kódovač?

    ako chrániť počítač pred útokmi šifrovania

    ako odstrániť program VAULT z počítača

    ako obnoviť súbory VAULT

    vAULT descrambler v oblasti počítačových služieb

Čo je šifrovací vírus typu VAULT?

Vírus VAULT je typ Trojan-encoder.

Prienik do počítača pomocou akcií používateľov program šifruje konkrétny dátový typ s desiatkami algoritmov s jedinečným vzorom.

Pôvodné údaje nie sú vymazané, ale nahradené poškodenými údajmi, čo znemožňuje ich obnovenie.

Kľúč, ktorý umožňuje dešifrovanie informácií, sa po skončení šifrovania automaticky odstráni zo systému.

Úlohou útočníkov je vytlačiť peniaze výmenou za dešifrovanie údajov. Pravdepodobnosť dešifrovania súborov ani v tomto prípade nepresiahne 50%.

Príklad počítačovej infekcie vírusom VAULT: pracovný e-mail dostane žiadosť o primárnu dokumentáciu od zmluvnej strany alebo oznámenie o potrebe inštalácie balíka služieb od spoločnosti ConsultantPlus. Priložený je súbor s vysvetľujúcimi informáciami. Po spustení spustiteľných a pomocných súborov začne proces šifrovania údajov.


Aké súbory šifruje VAULT?

Vetřelci majú záujem o komerčné informácie, ako aj fotografie, audio a video materiály. Sú teda ohrozené súbory pod nasledujúcimi rozšíreniami: .rar, .zip, .jpg, .psd, .doc, .xls, .ppt, .pdf, .mp3, .ogg, .avi, .mpeg, .html ,. txt, databáza 1C atď.

Pri infikovaní počítača sa v každom priečinku vytvorí textový dokument s kontaktmi podvodníkov. Cena za dešifrovanie údajov sa pohybuje od 10 do 50 000 USD. Ocenenie uskutočňujú podvodníci po kontakte s používateľom. Výška výkupného závisí od množstva zašifrovaných informácií. Neexistuje však záruka, že údaje budú obnovené aspoň čiastočne.

Ako chrániť počítač pred kodérom VAULT?

Vo väčšine prípadov sa infekcia vyskytne vtedy, keď v počítači nie je žiadny antivírus, ani pomocou bezplatnej verzie softvéru. Najmenej spoľahlivá, podľa nášho názoru, je antivírus Avast.

Majitelia licenčného balík antivírusového softvéru, vrátane firemných verzií, sú však často obeťami.

Odborníci na bezpečnosť IT od ESET a Dr.Web vyvinuli niekoľko všeobecných odporúčaníktoré pomáhajú chrániť počítač alebo prenosný počítač pred vírusom VAULT a podobným šifrovaním trojských koní:

    včas nainštalovať kritické aktualizácie operačného systému

    vyberte antivírusové programy so zabudovaným firewallom

    zakázať príjem a prenos spustiteľných súborov (.exe) na poštovom serveri

    zabrániť spusteniu makier v programe Microsoft Office alebo podobnom softvéri

    pravidelne zálohovať údaje

    zdieľanie dôležitých informácií externým médiám

Ako odstrániť nástroj VAULT z počítača?

V súčasnosti je infekcia vírusom VAULT a šifrovanie údajov jednorazová a neznamená infekciu systémových súborov. Ak chcete odstrániť vírus zo systému, stačí skenovať nástroj Dr.Web CureIt. Je však potrebné pamätať na to, že pokusy vyliečiť alebo vymazať infikované súbory, rovnako ako preinštalovať systém Windows, znížia schopnosť obnoviť zašifrované dáta na nulu.

To znamená, že nie je nič ťažké odstrániť vírus, ak ste pripravení rozlúčiť sa s kódovanými informáciami navždy alebo máte záložné kópie na externých médiách.

Ako obnoviť súbory VAULT?

Len čo vy našiel infekciu Saw zmenil ikony súborov a nový typ rozšírení, napríklad .doc.vault, okamžite vypnite počítač alebo prenosný počítač. Čím dlhšie to beží, tým viac súborov stratíte.

Opakujte: skenovanie antivírusového disku, dezinfekcia súborov, opätovná inštalácia systému a ďalšie štandardné prostriedky znižujú len pravdepodobnosť dešifrovania údajov.

Žiaden z vývojárov  Antivírusový softvér doteraz nedokázal vytvoriť nástroj na dešifrovanie informácií vystavených spoločnosti VAULT.

Body obnovenia systému sú vírusom zničené. Pri práci so systémom Windows Vista / 7/8/10 je možné obnoviť systém Windows z tieňových kópií pomocou nástroja Shadow Editor. Vo väčšine prípadov tieňové kópie tiež zmiznú.

Ak máte licencovaný produkt NOD32 alebo Dr.Web, môžete kontaktovať technickú podporu so žiadosťou o dešifrovanie údajov.

Okrem toho odborníci odporúčajú ísť na políciu s vyhlásením, keďže úkony útočníkov obsahujú známky trestných činov podľa čl. Art. 159.6, 163, 165, 272, 273 Trestného zákona Ruskej federácie.