Как почистить пк от вируса vault. Vault вирус как восстановить файлы

Во время развития компьютерных технологий не обошлось и без вирусов. Всем известны их формы, которые засоряют память компьютера или телефона, удаляют файлы, подменяют их и многие другие. Но самыми опасными являются вирус шифровальщики. Это могут быть и трояны и особо опасный вирус Vault (дословно переводится, как склеп). Они шифруются под различные письма, которые пользователь открывает и тем самым запускает процесс проникновения вируса. Затем все файлы зашифровываются и вернуть их обратно очень сложно или вообще невозможно. Хакеры на это и рассчитывают, требуют деньги в обмен на возвращение информации.

Вирус шифровальщик Vault — что это

Одним из самых опасных вирусов считается Vault. Некоторые антивирусные программы его попросту не воспринимают. Файл чаще всего приходит с расширением .js. Поэтому прежде, чем открывать элемент с таким расширением дважды присмотритесь к нему. После запуска проходит некоторое время, которое нужно для считывания файлов на ПК и скачивании с сервера разработчиков специальной утилиты для зашифровки информации. Процесс шифрования начинается сразу после скачивания программы . Закодированы будут все данные, которые есть на компьютере на различных дисках, кроме тех, которые нужны для работы Windows.

Кодировщиком Ваулт является бесплатная программа gpg с алгоритмом шифрования RSA 1024. Эта утилита спокойно обходит все защиты антивирусов, так как по сути не является вирусом. Потом создаются открытые и закрытые ключи. Закрытые остаются на сервере разработчиков или злоумышленников, а открытые на компьютере пользователя, заразившегося им.

После определенного времени почти все на компьютере будет зашифровано, вся информация будет иметь расширение *.vault и пользователь полностью потеряет над ними контроль. А утилита создаст специальный ключ, который будут знать только хакеры.

Пути заражения

Этот вирус распространяется с помощью сообщений через почту или социальные сети и даже Скайп, в виде архива, чтобы его не заметили или файла с расширением.js.

Он может приходить сообщением от компаний, с которыми пользователь взаимодействует, под видом оплаты какого-нибудь счета или сверочного документа для бухгалтеров. Поэтому надо быть осторожным и внимательно вчитываться в то, что присылают.

Первые действия

Если компьютер начал тормозить или проявлять излишнюю активность и на дисках часть файлов уже зашифрована, то следует сразу выключить компьютер с кнопки или вообще отсоединить от питания. Тогда удастся сохранить хотя бы часть данных.

Снимаем жесткий диск и подключаем ко второму ПК, заранее отключив интернет. После включения прогнать все антивирусом и попытаться найти нижеперечисленные файлы.

Если ключи найдены , то ищем сервисы дешифраторы в интернете. Расшифровываем информацию и форматируем диск С.

Если ничего не найдено , форматируем диск С и переходим к последующим инструкциям.

Как удалить Vault

Прежде чем пользователь обнаружит у себя этот вирус, его деятельность уже завершится с удачным исходом. Поэтому необходимо сделать следующее, чтобы не потерять свои данные:

• Сохранить файл confirmation.key, он отобразит количество зашифрованных данных. Благодаря ему хакеры могут видеть сколько файлов надо восстановить и потребовать определенную сумму.
• Найти Vault.key. Этот файл является ключом или идентификатором к зашифрованной информации.
• Сохранить Vault.txt. Здесь содержится вся информация о хакерах и их сайте.

Сохранив эти файлы из папки Temp, вы можете ее полностью очистить и пройтись программой CureIT , которую предоставляет антивирус Doctor Web. Затем перезагрузите персональное устройство.

Если в папке Temp ничего из вышеперечисленного не оказалось, можно воспользоваться стандартным поиском на диске С. Вероятность найти Vault.key очень мала, он удаляется после завершения шифрования. Но если он найден – это практически полная гарантия расшифровки информации.

Восстановление зашифрованных файлов

Если Vault вирус все-таки зашифровал ПК, то восстановить зашифрованные файлы можно несколькими способами. На жестком диске некоторое время хранится дешифровальный ключ, который после того, как все будет закончено отправится на сервер хакерам и соответственно удалится с ПК.

Возможно еще есть время его найти. Он называется secring.gpg. Если зайти в Мой компьютер и в строке поиска в правом верхнем углу ввести название и нажать кнопку «Ввод», система попытается отыскать этот файл. Открыв его можно получить логин а пароль от сайта, где хранится дешифратор. Более подробно узнать, как это сделать на видео ниже:

А также можно попытаться самому восстановить данные из резервных копий, если вы их создавали. Кликаете по закодированному элементу правой кнопкой и находите пункт «Свойства ». Ищете раздел «Предыдущие версии » и восстанавливаете. Это сработает, если эта функция включена в системе.

Оплата мошенникам

Конечно, чтобы не терять информацию, если не получилось ее восстановить, можно связаться с самими злоумышленниками и заплатить им. Однако их сервера не работают круглосуточно и придется ждать несколько часов, пока заработает обратная связь. Кроме этого, не факт, что после оплаты денег, создатели Vault расшифруют все файлы.

Хотя судя по многочисленным отзывам мошенники действительно расшифровывают информацию. В этом плане аферисты очень щепетильны – действует гибкая система скидок (если пользователь умудрился опять подцепить подобный вирус) и даже есть техподдержка.

Всю информацию об их сайте и как с ними связаться получаете в блокноте после заражения.

Что предлагают антивирусные лаборатории

Например, антивирусная лаборатория Доктор Веб предлагает не удалять файлы, не чистить систему и оставить все на своих местах после обнаружения заражения. Затем с последующим заявлением обратиться в полицию. Образцы заявлений представлены по ссылке http://legal.drweb.ru/templates .

После этого необходимо обратиться в техническую поддержку антивируса и представить копию зашифрованного элемента. Останется только ждать ответа от службы поддержки. Через некоторое время в ответном письме от Dr.Web придет Vault дешифратор. К сожалению эта возможность доступна только тем пользователям, у кого куплен платный пакет антивируса.

У антивируса Касперского тоже есть для этого специальный дешифратор Vault decryptor. Это программа, которая самостоятельно ищет зашифрованные файлы и раскодирует их.

Если у вас стоит антивирус Esed Nod 32 , то следует сканировать и почистить систему данным антивирусом, а затем обратиться в техническую поддержку — [email protected]. Обращаться в тех.поддержку следует только при наличии лицензионного антивируса.

У антивируса Avast есть специальные утилиты для дешифровки Ваулт вируса. Их можно найти на официальном сайте Avast.

Как обезопасить себя от вируса Vault

Для того, чтобы обезопасить себя от таких вирусов необходимо:

• Не открывать файлы с расширением.js или отсылать их на проверку антивирусу.
• Всю важную информацию с ПК хранить на облачном диске.
• Не скачивать пиратские утилиты и не устанавливать из на компьютер.

Недавно пользователи столкнулись с новой угрозой – вирусом, который шифрует файлы, заменяя стандартные расширения. В результате документы, аудио и видеозаписи, изображения становятся недоступными. За ключ для расшифровки злоумышленники требуют серьезные деньги.

Шифровальщики настолько опасны, что от них не могут спастись даже крупные организации: например, в феврале 2016 года Голливудскому пресвитерианскому медицинскому центру пришлось заплатить злоумышленникам 17000$ за ключ для дешифровки. Доподлинно неизвестно, какой шифровальщик поработал в Голливуде, но пользователи Рунета обычно встречаются с вирусом Vault. Поэтому давайте посмотрим, как восстановить файлы после вируса Vault, если это возможно.

Как восстановить файлы после вируса Vault

Обнаружение вируса

Заражение сложно не заметить: файлы автоматически начнут менять расширение на.vault и перестанут открываться, а на экране появится сообщение типа «Данные заблокированы. Для их восстановления необходимо получить уникальный ключ». Ниже обычно указан адрес сайта и инструкция по оплате и получению кода дешифровки.

Если вы увидели такое сообщение, то необходимо немедленно выключить компьютер и вытащить все съемные носители. Vault шифрует информацию постепенно, поэтому у вас есть время, чтобы спасти некоторые файлы.

Но как вирус попал на компьютер? Вероятнее всего, по электронной почте. Пользователям приходит письмо с важной темой (кредитная задолженность, повестка в суд, подтверждение оплаты и т.д.), они послание открывают, после чего на компьютер скачивается программа для шифрования и баннер Ваулт с инструкцией по оплате кода дешифровки.

Для шифровки используется бесплатная и безобидная программа GPG, применяющая алгоритм RSA-1024. Формально это не вирус, поэтому не срабатывает. Но ключ, необходимый для расшифровки информации, остается у хакера, а взломать код не получится – на это уйдет несколько лет перебора значений. Поэтому не открывайте письма от неизвестных отправителей!

Удаление шифровальщика

Удалить Ваулт достаточно просто: он не глубоко проникает в систему и портит жизнь только тем, что закрывает доступ к информации. Для чистки системы используйте лечащую утилиту Dr.Web CureIt! или Kaspersky Virus Removal Tool. Запускать эти утилиты следует в безопасном режиме Windows.

Порядок простой:

Дополнительно следует удалить компоненты Ваулт, которые хранятся в скрытой папке по адресу C:\Users\Пользователь\AppData\Loca\Temp. Структура вредоносного кода выглядит следующим образом:

• 3c21b8d9.cmd.
• fabac41c.js.
• 04fba9ba_VAULT.KEY.
• VAULT.txt.
• Sdc0.bat.
• CONFIRMATION.KEY.
• VAULT.KEY.

Последние два компонента вам пригодятся, если вы решите заплатить злоумышленникам за расшифровку. В них хранится открытая часть ключа (у хакеров закрытая часть, без которой код не снять) и информация о количестве зашифрованных данных.

Есть и другой вариант – записать на флешку Kaspersky Rescue Disk и загрузить с неё компьютер. Вам понадобится работающий компьютер, флешка, утилита для записи и образ Kaspersky Rescue Disk 10.

Расшифровка файлов

С вредоносным ПО вы быстро справитесь, но дальше возникнет серьезная проблема – не существует дешифратора, который быстро откроет доступ к информации, зашифрованной по алгоритму RSA-1024. Позиция крупных разработчиков антивирусного ПО сводится к тому, что у них нет технической возможности взломать код. Поэтому вариантов остается немного:

• Если утеряна информация, которая не представляет большой ценности, то её проще удалить с компьютера. И запомнить, что не нужно открывать странные письма от неизвестных отправителей.
• Если зашифрованные данные представляют большую ценность, придется заплатить отправителям вирусного ПО. Это крайний вариант, потому что нет уверенности, что вас не обманут. К тому же вы стимулируете злоумышленников продолжать рассылать зараженные письма, ведь это приносит им деньги.

Из доступных способов расшифровки можно попробовать несколько вариантов, но нет гарантии, что они дадут положительный результат:

1. Обратитесь на форум технической поддержки крупных разработчиков антивирусных программ. Лаборатория Касперского, Dr.Web, ESET. База данных шифровальщиков постоянно расширяется. Опишите подробно проблему, возможно, у них найдутся инструменты для её решения.
2. Используйте теневые копии файлов (актуально, если была включена защита системы).

Откройте свойства зашифрованного файла и перейдите на вкладку «Предыдущие версии».

Если есть прежние, незашифрованные редакции, то вы можете их открыть или восстановить. В таком случае данные с расширением.vault нужно удалить с компьютера. К сожалению, других работающих способов нет. Поэтому лучше избегать встречи с шифровальщиком: не открывать странные письма, не скачивать подозрительные программы, не переходить по неизвестным ссылкам.

Vault — это шифровальщик файлов, заменяющий расширение документов и файлов на свое, после чего открыть их нереально. Поэтому мы подробно разберем, как восстановить файлы повреждённые вирусом Vault.

При попадании на компьютер, вирус Ваулт начинает шифровать файлы с расширением .pdf, .doc, .docx, .zip, .jpeg, .xls, .xlsx и многие другие. После заражения файлы так и будут иметь свое расширение, но к ним дополнительно будет прикреплено расширение.vault. Естественно, после встречи с таким интересным вирусом пользователь как минимум впадет в ступор, и начнет искать пути, которые позволят снова открывать зашифрованные файлы и восстанавливать их. К большому сожалению, нам придется вас разочаровать, ведь простого и бесплатного решения по восстановлению Vault файлов не существует в силу технических особенностей самого шифровальщика. В общем, обо всем по порядку.

Как Vault может попасть на компьютер

Обычно вирус Vault попадает на компьютер после того, как пользователь открыл письмо, пришедшее на электронную почту, в заглавии котором говорится, что его нужно срочно открыть и прочитать. Как правило, это письмо, высланное от имени банка, партнеров или просто какой-то спам. Собственно в нем находится скрипт с расширением .js , который инициирует процесс загрузки шифровальщика из хакерских серверов.

Тут важно отметить, что шифровальщик Vault — это не запрещенное криптографическое приложение GPG, использующее алгоритм rsa-1024 для шифрования файлов. Само приложение якобы не является вирусом, поэтому антивирусные программы не будут его перехватывать. После того, как шифровальщик начнет действовать на вашем компьютере, то он сразу же создаст на вашем компьютере открытый ключ шифрования, а на сервере мошенников будет сформирован закрытый ключ. Также заметим, что в ряде случаев ПО способно заражать компьютеры, которые находятся в одной сети с вашим, уже пораженным.

Удаление шифровальщика Vault

Как только вы заметите на ваших файлах расширение .vault , то сразу вырубайте сеть, прекращайте выполнять работу в приложениях, не стоит также открывать папки лишний раз. Перезагрузитесь и войдите через безопасный режим.

Удалить ПО несложно — просто вбейте в поиске Google запрос «популярные программы для удаления шифраторов». Но это не решит проблему — все только начинается, к сожалению.

Сам так называемый вирус прячется в папке Temp , и состоит он из таких файлов:

• 3c21b8d9.cmd;
• fabac41c.js;
• VAULT.txt;
• Sdc0.bat;
• VAULT.KEY;
• CONFIRMATION.KEY.

Все вышеперечисленные файлы, кроме двух последних, можно удалять (об этом далее!). Запустите какой-нибудь клинер, почистите реестр, автозагрузку. Те два файла необходимо оставлять на компьютере потому что:

• VAULT.KEY — это ключ шифрования. Если вы его удалите, то навечно заблокируете свои файлы, то есть удалять этот файл нельзя ни в коем случае!;
• CONFIRMATION.KEY — содержит точную информацию о количестве заблокированных файлов, необходим для злоумышленников.

Восстановление файлов Ваулт

Самое страшное и неприятное — файлы останутся зашифрованными до тех пор, пока вы не заплатите злоумышленникам. Бесплатных дешифраторов Vault просто не существует, а файлы с ключом rsa-1024 открываются только исходной программой (которая, конечно, находится у хакеров).

Способы восстановления ПК от Vault:

• Если у вас активен инструмент восстановления системы, то вы сможете восстановить старые версии файлов. Чтобы это сделать зайдите в свойства файла и перейдите на вкладку «Предыдущие версии»;
• В случае с сетевыми дисками — проверьте корзину — там могут находиться нормальные версии файлов;
• Если вы пользуетесь облачным хранилищем, то просмотрите корзину и там. Вдруг там что-то завалялось из ваших документов или файлов.

Если вы ничего не нашли, у нас плохие новости — для восстановления файлов Vault придется платить злоумышленникам. Тут заметим немаловажный момент: на форумах люди пишут, что мошенники реально восстанавливают файлы, но только нужно заплатить. Было бы это не так, об этом бы сразу же «раскричалось» и люди бы не велись на это.

Как платить мошенникам — вы узнаете из текстового файла (появляется при попытке открыть зашифрованный Vault файл). Вам придется запустить браузер Тоr и перейти на сайт злоумышленников. Тут будет мануал по работе с сайтом и внимание — у них имеется даже гибкая система скидок для восстановления файлов поражённых вирусом Vault.

Если у Вас не получается что то сделать самостоятельно, то советуем обратится в скорую компьютерную помощь — pchelp24.com, приемлемые цены, опытные специалисты, бесплатный вызов и диагностика.

В этой заметке пойдет речь об одном вирусе, и честно говоря, я ничего подобного ранее не встречал. Не спорю, что были мощные вирусы, тот же Kido, который попортил нервы как простым пользователям так и различным организациям. Но вирус Vault (это семейство Trojan.Encoder) использует совсем иной подход, то есть тут как бы ничего не портится, а используются вполне нормальный инструмент для работы с файлами — это шифрование, но только в плохих целях…

Шифрование файлов, это когда сами файлы обрабатываются при помощи специального ключа (не стоит путать с паролем, так как этот ключ в тысячи раз надежнее, и подобрать его просто невозможно), при этом они становятся недоступными, то есть если их не расшифровать, то с ними вообще ничего сделать нельзя — останется только удалить. Сам файл даже в глазах человека, который занимается дешифрацией, выглядит просто как каша из кода, где все перемешано и ничего непонятно. Вирус Vault именно так и работает, он шифрует файлы, и все вернуть обратно можно только если перевести некоторую сумму хакерам, но поразительно то, что это единственный способ вернуть файлы!

Если вам предлагают расшифровать такие файлы, и при этом просят денег, то будьте уверены что это мошенники. Расшифровать файлы могут только те хакеры, которые создали вирус и никак иначе. Подобрать ключ нельзя даже на программном уровне — он слишком сложный. Хотя нет, подобрать его можно и над этим работают, но, для этого нужен не один и не сто компьютеров, а миллион и подбираться он может от нескольких недель до нескольких лет, а то и больше — то есть опять вернемся к тому, что подобрать его простым пользователям нереально.

Как попадает Vault вирус на компьютер?

Но как этот вирус появляется на компе? Ну смотрите сами — вам на почту приходит письмо с вложением в виде документа (как банально то), но заголовок письма такой, что открыть его ну очень хочется (врать не стану, я что-то подобное открывал, но никакие вложения и близко не смотрел!). В итоге вы смотрите документ во вложении, и в это время начинает работать вложенный скрипт в документ, он имеет расширение.js, то есть то java-скрипт. Как вы уже догадались, запускается этот скрипт автоматически при открытии вложения и как можно быстрее старается загрузить модули для запуска процесса шифрования.

Как это все работает? В обычный doc-файл вставляется текст, который или невозможно прочитать, или там какая-то типа ошибка, в общем что-то написано что побуждает к действиям (пример на картинке ниже). Мол нажмите тут, чтобы открыть файл. Тут — это макрос-скрипт, который и загружает сам исполняемый файл вируса во временную папку (так как права на запуск у этой папки есть). Почему Windows молчит? Потому что пользователь сам открыл документ и сам запустил активное содержимое документа, то есть все нормально, пользователь все сам вручную нажал.

Вот пример другого письма с вирусом:

• Тема письма: Акт сверки за 2014 год
  От кого: ООО ПК «МОСТЕМ»

  Тело письма:

  Здравствуйте,

  Прошу ознакомиться с актом сверки за 2014 год — в приложении.
  Наши бухгалтера выявили, что за прошлый году Вас есть перед нами небольшой долг.
  Проверьте данные, указанные в акте, и сообщите о сроках погашения задолженности.

  Прикреплённые файлы:
  1. Акт сверки за 2014г.zip (а внутри может быть и просто скрипт типа Акт сверки за 2014г.doc.js)

  С уважением,
  Зам.главного бухгалтера
  Супрыкина Оксана Игоревна

Сам процесс работы вируса вы можете увидеть на этой картинке:

Шифровальщик не может быть вирусом, ибо это алгоритм RSA-1024, и призван для шифровки файлов. А то, что вирус Vault использует шифрование не по назначению, то это уже другое дело.

После успешного заражения вирусом Vault, после того как он зашифровал почти все ваши файлы, то вы увидите текстовый документ с таким содержанием:

То есть вполне культурно и спокойно написано о том, что ваши файлы тупо заблокированы, и подобрать ключ вы самостоятельно не сможете, что он безопасно хранится у них на сервере, а также то, что хакеры готов торговаться (ну и наглость же).

После работы вируса, файлы обзаводятся вот меткой.vault (второе расширение) в конце своего имени:

Вирус шифрует почти все популярные форматы файлов, и картинки и формат книг pdf, doc и другие документы, и даже архивы zip/rar. Но что самое опасное, что под влияние вируса могут попасть и базы 1C, это уже куда серьезнее, так как обычно это компьютеры организаций, предприятий и даже банков.

Вирус спокойно работает почти во всех современных версиях Windows, при этом поведение его может немного отличатся, например в некоторых случаях заражению также подвергаются файлы в локальной сети.

Удаление вируса Vault

Удалить вирус не особо сложно, здесь не будет подводных камней — вам просто нужно уничтожить все содержимое папки %temp% того пользователя, под которым и произошло заражение файлов.

Что я советую? В интернете скачайте какой-то live-cd диск, где есть антивирус. Запишите все это на флешку (как правило на торрентах, откуда можно скачать live-cd, есть также и инструкция о том, как записать на флешку), потом загрузитесь, перейдите в папку %temp% и очистите ее полностью. После этого можете проверить компьютер на вирусы, мало ли что. Беда еще в том, что вы просто удалите вирус с компа, то есть его не будет — но все последствия то останутся.. увы, как я уже писал, шифрование файлов взломать простым пользователям нереально.

Итак, какие файлы Vault содержатся в папке %temp%:

• 3c21b8d9.cmd
• 04fba9ba_VAULT.KEY
• CONFIRMATION.KEY (в этом файле хранятся записи о количестве файлов, которые имеют метку vault, то есть зашифрованы; именно это количество и определяет конечную цену за получение второго ключа для расшифровки; этот файл нужно сохранить, если вы хотите вернуть доступ к файлам)
• fabac41c.js (основная часть вируса)
• Sdc0.bat
• VAULT.KEY (первый ключ шифрования, при восстановлении файлов его вместе с первым CONFIRMATION.KEY нужно отправить хакерам, а они на основе его выдадут вам второй ключ, который уже пригоден для расшифровки);
• VAULT.txt
• revlt.js
• svchost.exe (имя такое же как у системного процессора, но расположен в папке temp)

Имена фалов могут быть немного изменены, иногда их меньше.

Некоторые версии вируса Vault хранят файлы VAULT.KEY и CONFIRMATION.KEY в папке %appdata%.

Если попробовать открыть какой-то файл с меткой, то скорее всего вы увидите такое сообщение:

Как восстановить файлы после вируса Vault?

Да, действительно, было бы здорово просто воспользоваться таким инструментом как дешифратор Vault, но увы, такого инструмента нет. И нет его потому, что у каждого компьютера свой ключ, и только имея его и файл с записями зараженных обьектов, можно восстановить доступ к файлам, отправивши это все злоумышленникам.

Если у вас включена защита для каждого диска, то это здорово. При такой защите, вы можете восстановить прежнее состояние файла или папки, все это находится в свойствах каждого файла (но некоторые версии Vault удаляют данные для восстановления, только при включенном UAC вы увидите запрос, еще один аргумент что UAC лучше не отключать!). Можно попробовать восстановить предыдущее состояние компьютера при помощи точки восстановления (в панели управления пункт Восстановление).

Если у вас защита не включена, то увы, у меня для вас неутешительные новости. Скорее всего восстановить файлы у вас не получится, если только вы не заплатите круглую сумму злоумышленникам. Да, это реально работает, но для этого вам нужно иметь два файла, я о них писал выше.

Также хочу вас предупредить, что других способов расшифровать файлы — нет. Это ведь не просто вирус, это вирус, который использует вполне нормальные механизмы, которые не вызывают подозрения у антивирусов, поэтому не стоит писать и тех. поддержку им, вам все равно не помогут ничем. Ну, например, это тоже самое если бы архиватор WinRAR антивирусом воспринимался за вирус только потому, что в нем есть возможность поставить архив под пароль.

Так что тут только вариант, это платить. При этом, те хакеры смотрят, какие именно файлы у вас зашифрованы. Ну и на основе этого они могут цену или повысить до достаточно большой, или наоборот — снизить (были случаи как $50 так и $500). При оплате вы получаете только один ключ для дешифратора Vault и для одного компьютера, с которого вы отправляли VAULT.KEY и CONFIRMATION.KEY.

Оплата производится только через BitCoin и только при использовании анонимной сети Tor. Это все, что первое, что второе — анонимные инструменты, самые популярные и самые эффективные на сегодняшний день. Именно поэтому, хакеров и не могут пока (?) поймать. Хотя, опять же, как я уже писал вначале — очень удивлен такому наглому поведению.

Следуя инструкции, вам нужно будет перейти на сайт restoredz4xpmuqr.onion, указать файл VAULT.KEY (о нем писал выше):

После чего вы попадете в личный кабинет:

Какие можно сделать выводы?

Мои мысли так бы сказать:

Надеюсь что написал все доступно и информацией хотя бы вы уже вооружены, так что будьте осторожны и учите фаервол, грамотная его настройка обезопасит вас от подобных вирусов.

16.01.2016

Трояны-вымогатели заметно эволюционировали за год с момента своего появления. Изначальный вариант вируса, который принято называть .vault (по разным классификациям: .xtbl, .cbf, trojan-ransom.win32.scatter ), обнаружили в конце февраля 2015 г. В настоящий момент компьютерной безопасности угрожает очередная версия инфекции. За всю историю существования вируса были доработаны как программный код, так и функционал. В частности, изменялись ареал распространения инфекции, технология обработки файлов, а также ряд внешних представительских атрибутов.

Основные характеристики вируса-шифровальщика vault

Последний выпуск, .vault, функционирует с использованием передового алгоритма обмена ключей шифрования, что усложняет специалистам по компьютерной безопасности задачу подбора ключа расшифровки.

Сценарий шифровщика.vault в ОС Windows выполняется в одном из следующих случаев:
– открытие пользователем инфицирующего вложения к фиктивному уведомлению, рассылаемому мошенниками;
– посещение взломанного веб-сайта со встроенным кодом инфицирования через уязвимости, например, Angler или Neutrino. В любом случая, обнаружить процесс внедрения программного кода без специальных инструментов непросто, а использование эффективных проемов по избежанию антивирусного ПО позволяет зловреду в большинстве случае обойти вирусные ловушки. Этап внедрения окончен, вирус-вымогатель переходит к сканированию жесткого диска, доступных USB-карт памяти, сетевых ресурсов, а также информации на онлайн-ресурсах для хранения и раздачи файлов, например, Dropbox. Программа проходиться по всем буквенным меткам дисков. Сканирование должно обнаружить файлы, расширения которых прописаны в алгоритме вирусной атаки как объекты. В зоне риска находиться более 200 форматов, включая наиболее популярные: документы Microsoft Office, мультимедийные файлы и изображения.
В следующей фазе атаки.vault кодирует обнаруженные в ходе сканирования объекты, используя стандарт AES-256, в то время как основная масса троянцев-вымогателей, свирепствующих на просторах Интернета, использует алгоритм RSA. Далее зловред запускает прикладную программу, которая объясняет пострадавшему пользователю суть происходящего, инструктируя о действиях по восстановлению заблокированных данных. Программа генерирует следующее сообщение:

Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат.vault
Для их восстановления необходимо получить уникальный ключ.

ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:

КРАТКО
1. Зайдите на наш веб-ресурс
2. Получите уникальный ключ
3. Восстановите файлы в прежний вид

ДЕТАЛЬНО
Шаг 1:
Скачайте Tor браузер с официального сайта: https://www.torproject.org
Шаг 2:
Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion
Шаг 3:
Найдите Ваш уникальный VAULT.KEY на компьютере – это Ваш ключ к личной клиент-панели
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё

ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Не забывайте про время, обычно оно играет против Вас
c) Стоимость полного восстановления на ресурсе не окончательная

При заходе на сайт мошенников в сети TOR у Вас будет полноценный личный кабинет c авторизацией, “службой поддержки” и даже партнерской программой, в стиле “получай деньги за каждый зараженный компьютер”. В добавок к зашифровке личных данных жертвы, вымогательское ПО добавляет к файлам новые расширения. Последовательность, присоединяемая к заблокированным объектам, зависит от версии зловреда. Ниже приводится полный печень таких расширений:
.vault, .xtbl, .cbf.
Таким образом, имя любого файла, например, ‘photo.jpg’, изменяется на ‘photo.vault’.

Чтобы возобновить доступ к демонстративно зашифрованным данным, жертву требуют выполнить указания по организации выкупа и выплатить порядка 500 дол. США. Оплата должна быть произведена в валюте биткойн на счет, который является уникальным для каждого инфицированного.

Порядок действий при атаке вымогателя.vault

Очень важно, когда именно Вы обнаружили вторжение. В любом случае, как только вирус был замечен, отключите сетевое соединение и выключите компьютер. Также целесообразно воздержаться от удаления каких либо файлов до разрешения ситуации. Если есть свежая резервная копия данных на не сетевом ресурсе или в облаке, запустите проверенное средство против зловредного ПО и удалите.vault с Вашего ПК, прежде чем перейти к восстановлению из резерва. При неблагоприятном развитии ситуации будет выполнен полный цикл атаки. В таком случае, необходимо установить, какое именно расширение добавлено к закодированным файлам, и проверить возможность лечения с помощью средств расшифровки.

Сайт службы расшифровки.vault

Вымогательский вирус рекомендует пострадавшим открыть переход TOR, созданный для обработки платежа в биткойн. Фактически это страница “Служба расшифровки”, ссылки на которую содержаться в соответствующих оповещениях вымогательского характера. Она предоставляет подробную информацию о том, какие именно файлы были зашифрованы на ПК, излагая порядок действий по восстановлению. Как отмечено выше, преступники запрашивают эквивалент +-500 дол. США в биткойн с каждой зараженной системы. Сайт также предоставляет возможность получить доступ к читабельной версии одного из файлов бесплатно, а также представляет службу поддержки, услугами которой можно воспользоваться, если у плохих парней что-то пойдет не так.

Будут ли файлы расшифрованы в случае передачи выкупа?

Золотое правило: не плати ничего до тех пор, пока нет другого выхода. Если заплатить все же пришлось, имейте в виду, что процесс может затянуться, так как жуликам необходимо получить подтверждение оплаты. В свою очередь, они выдадут пару ключей, которые следует использовать для дешифровки в интерактивном окне программы-вымогателя. Есть информация, что разработчики.vault при получении выкупа создают условия, необходимые для восстановления файлов. Тем не менее, сама идея поддерживать шантажистов финансово определенно отталкивает, да и стоимость расшифровки велика для среднестатистического пользователя.

Автоматическое удаление.vault – вируса-шифровальщика данных

Надежное ПО для компьютерной безопасности эффективно устранит вирус-вымогатель.vault. Автоматическая очистка компьютера гарантирует полную ликвидацию всех элементов инфекции в системе.

1. и проверить наличие вредоносных элементов на компьютере через команду “Начать сканирование” / Start Computer Scan
2. В результате сканирования будет создан перечень выявленных объектов. Чтобы перейти к очистке системы от вируса и сопутствующих инфекций, щелкните “Устранить угрозы” / Fix Threats . Выполнение этого этапа процедуры удаления фактически обеспечивает полное искоренение вируса.vault. Теперь предстоит решить более сложную задачу – получить Ваши данные обратно.

Прочие методы восстановления файлов, зашифрованных вирусом Vault

Решение 1: Выполнить автоматическое восстановление файлов
Необходимо учитывать то факт, что троян.vault создает копии файлов, которые затем зашифровывает. Тем временем, происходит удаление исходных файлов. Имеются прикладные программы, способные восстановить удаленные данные. У Вас есть возможность использовать с этой целью такое средство, как Data Recovery Pro. Наблюдается тенденция применения новейшим вариантом вымогательского ПО безопасного удаления с несколькими перезаписями. Тем не менее, данный метод стоит попробовать.

Решение 2: Процедура резервного копирования
Во-первых и прежде всего, это отличный путь восстановления данных. К сожалению, этот метод работает исключительно при условии выполнения пользователем резервного копирования данных до момента вторжения на компьютер. Если это условие соблюдено, не упустите возможность извлечь выгоду из Вашей предусмотрительности.
Решение 3: Использовать теневые копии томов
Возможно, Вы еще не знаете, но операционная система создает так называемые теневые копии томов каждого файла, если активирован режим “Восстановление системы” (System Restore). Создание точек восстановления происходит с определенным интервалом, синхронно генерируются снимки текущего изображения файлов. Обратите внимание, этот метод не гарантирует восстановление самых последних версий Ваших файлов. Что ж, попытка не пытка! Есть два пути выполнения процедуры: вручную или с помощью автоматического средства. Сперва рассмотрим ручную процедуру.
Решение 4: Использовать опцию “Предыдущая версия”
В ОС Windows встроена функция восстановления предыдущих версий файлов. Она также работает применительно к папкам. Просто щелкните папку правой клавишей мыши, выберите “Свойства” / Properties , далее активируйте вкладку “Предыдущие версии” / Previous Versions . В поле версии представлен перечень резервных копий файла/папки с указанием соответствующего времени и даты. Выберите последнее сохранение и щелкните “Копировать” / Copy , чтобы восстановить объект в новом назначенном Вами месте. Выбрав простое восстановление через команду “Восстановить” / Restore , запустите механизм восстановления данных в исходной папке.

Процедура позволяет восстановить предыдущие версии файлов и папок в автоматическом режиме вместо ручной процедуры. Потребуется загрузить и установить ПО Теневой проводник ShadowExplorer. После запуска Проводника укажите название диска и дату создания версий файла. Щелкните правой клавишей по папке или файлу, который Вас интересует, выбрав команду “Экспорт” / Export . Затем просто укажите путь восстановления данных.

Профилактика

Vault на сегодняшний день является одним из наиболее жизнеспособных вирусов-вымогателей. Индустрия компьютерной безопасности не успевает заблаговременно реагировать на стремительное развитие встроенных функций инфекции. Отдельная группа преступников специализируется на уязвимых звеньях программного кода троянца, отвечая на эпизодической обнаружение таких уязвимостей лабораториями по изучению и устранению зловредов и компьютерными энтузиастами. В новых версиях инфекции-шифровальщика используется усовершенствованный принцип обмена ключей, что нивелирует возможности использования декодировщиков. Учтивая непрерывный характер развития компьютерного вредителя, на первое место выходит работа по предотвращению атаки.
Основное правило - храните резервные копии файлов в безопасном месте. К счастью, существует целый ряд недорогих или даже бесплатных служб безопасного накопления данных. Копировать данные на внешний несетевой накопитель не так удобно, но это также хороший способ защиты информации. Чтобы в корне разрушить планы по внедрению зловреда, не открывайте вложения в электронной почте, если она поступает из подозрительного источника: такая почта является популярным методом распространения программ-вымогателей. Также рекомендуется своевременно обновлять программное обеспечение. Это позволит устранить возможные уязвимости, сняв риск заражения через эксплоит-комплексы (наборы программ, эксплуатирующих уязвимости ПО для атаки на ОС). И последнее, используйте проверенный защитный модуль с возможностями динамического анализа.

Контроль после удаления вируса.vault

Удаление вымогателя.Vault как таковое не позволяет расшифровать личные данные. Приведенные выше восстановительные процедуры часто, но не всегда, помогают решить проблему. К слову, данный вирус нередко устанавливается вместе с другими зловредами, поэтому определенно имеет смысл повторно проверить систему автоматическим противовирусным ПО, чтобы убедится в отсутствии вредных остаточных элементов вируса и сопутствующих угроз в Реестре Windows, а также других разделах компьютерной памяти.