Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, ставших недоступными в результате действия опасного троянца-энкодера Trojan.Encoder.2843 , известного пользователям под именем «Vault».
Данная версия шифровальщика, получившая по классификации Dr.Web наименование Trojan.Encoder.2843 , активно распространяется злоумышленниками при помощи массовых почтовых рассылок. В качестве вложения в письма используется небольшой файл, содержащий сценарий на языке JavaScript. Этот файл извлекает из себя приложение, которое и выполняет остальные действия, необходимые для обеспечения работы энкодера. Данная версия троянца-шифровальщика распространяется со 2 ноября 2015 года.
Принцип работы этой вредоносной программы также весьма любопытен. В системный реестр Windows записывается зашифрованная динамическая библиотека (.DLL), а в запущенный процесс explorer.exe троянец встраивает небольшой код, который считывает файл из реестра в память, расшифровывает и передает на него управление.
Список шифруемых файлов Trojan.Encoder.2843 также хранит в системном реестре и для каждого из них использует уникальный ключ, состоящий из заглавных латинских букв. Шифрование файлов осуществляется с использованием алгоритмов Blowfish-ECB, сессионный ключ шифруется с использованием RSA при помощи интерфейса CryptoAPI. Каждому зашифрованному файлу присваивается расширение.vault.
Специалисты компании «Доктор Веб» разработали специальную методику, во многих случаях позволяющую расшифровывать поврежденные этим троянцем файлы. Если вы стали жертвой вредоносной программы Trojan.Encoder.2843 , воспользуйтесь следующими рекомендациями:
Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.
Недавно пользователи столкнулись с новой угрозой – вирусом, который шифрует файлы, заменяя стандартные расширения. В результате документы, аудио и видеозаписи, изображения становятся недоступными. За ключ для расшифровки злоумышленники требуют серьезные деньги.
Шифровальщики настолько опасны, что от них не могут спастись даже крупные организации: например, в феврале 2016 года Голливудскому пресвитерианскому медицинскому центру пришлось заплатить злоумышленникам 17000$ за ключ для дешифровки. Доподлинно неизвестно, какой шифровальщик поработал в Голливуде, но пользователи Рунета обычно встречаются с вирусом Vault. Поэтому давайте посмотрим, как восстановить файлы после вируса Vault, если это возможно.
Как восстановить файлы после вируса Vault
Обнаружение вируса
Заражение сложно не заметить: файлы автоматически начнут менять расширение на.vault и перестанут открываться, а на экране появится сообщение типа «Данные заблокированы. Для их восстановления необходимо получить уникальный ключ». Ниже обычно указан адрес сайта и инструкция по оплате и получению кода дешифровки.
Если вы увидели такое сообщение, то необходимо немедленно выключить компьютер и вытащить все съемные носители. Vault шифрует информацию постепенно, поэтому у вас есть время, чтобы спасти некоторые файлы.
Но как вирус попал на компьютер? Вероятнее всего, по электронной почте. Пользователям приходит письмо с важной темой (кредитная задолженность, повестка в суд, подтверждение оплаты и т.д.), они послание открывают, после чего на компьютер скачивается программа для шифрования и баннер Ваулт с инструкцией по оплате кода дешифровки.
Для шифровки используется бесплатная и безобидная программа GPG, применяющая алгоритм RSA-1024. Формально это не вирус, поэтому антивирусная защита не срабатывает. Но ключ, необходимый для расшифровки информации, остается у хакера, а взломать код не получится – на это уйдет несколько лет перебора значений. Поэтому не открывайте письма от неизвестных отправителей!
Удаление шифровальщика
Удалить Ваулт достаточно просто: он не глубоко проникает в систему и портит жизнь только тем, что закрывает доступ к информации. Для чистки системы используйте лечащую утилиту Dr.Web CureIt! или Kaspersky Virus Removal Tool. Запускать эти утилиты следует в безопасном режиме Windows.
Порядок простой:
Дополнительно следует удалить компоненты Ваулт, которые хранятся в скрытой папке по адресу C:\Users\Пользователь\AppData\Loca\Temp. Структура вредоносного кода выглядит следующим образом:
- 3c21b8d9.cmd.
- fabac41c.js.
- 04fba9ba_VAULT.KEY.
- VAULT.txt.
- Sdc0.bat.
- CONFIRMATION.KEY.
- VAULT.KEY.
Последние два компонента вам пригодятся, если вы решите заплатить злоумышленникам за расшифровку. В них хранится открытая часть ключа (у хакеров закрытая часть, без которой код не снять) и информация о количестве зашифрованных данных.
Есть и другой вариант – записать на флешку Kaspersky Rescue Disk и загрузить с неё компьютер. Вам понадобится работающий компьютер, флешка, утилита для записи и образ Kaspersky Rescue Disk 10.
Расшифровка файлов
С вредоносным ПО вы быстро справитесь, но дальше возникнет серьезная проблема – не существует дешифратора, который быстро откроет доступ к информации, зашифрованной по алгоритму RSA-1024. Позиция крупных разработчиков антивирусного ПО сводится к тому, что у них нет технической возможности взломать код. Поэтому вариантов остается немного:
- Если утеряна информация, которая не представляет большой ценности, то её проще удалить с компьютера. И запомнить, что не нужно открывать странные письма от неизвестных отправителей.
- Если зашифрованные данные представляют большую ценность, придется заплатить отправителям вирусного ПО. Это крайний вариант, потому что нет уверенности, что вас не обманут. К тому же вы стимулируете злоумышленников продолжать рассылать зараженные письма, ведь это приносит им деньги.
Из доступных способов расшифровки можно попробовать несколько вариантов, но нет гарантии, что они дадут положительный результат:
- Обратитесь на форум технической поддержки крупных разработчиков антивирусных программ. Лаборатория Касперского, Dr.Web, ESET. База данных шифровальщиков постоянно расширяется. Опишите подробно проблему, возможно, у них найдутся инструменты для её решения.
- Используйте теневые копии файлов (актуально, если была включена защита системы).
Откройте свойства зашифрованного файла и перейдите на вкладку «Предыдущие версии».
Если есть прежние, незашифрованные редакции, то вы можете их открыть или восстановить. В таком случае данные с расширением.vault нужно удалить с компьютера. К сожалению, других работающих способов нет. Поэтому лучше избегать встречи с шифровальщиком: не открывать странные письма, не скачивать подозрительные программы, не переходить по неизвестным ссылкам.
Вирус Vault – это шифровальщик данных, который попадает на компьютер после открытия определенного письма в электронной почте. Письмо содержит в себе документ с расширением.doc и сам скрипт шифровальщика с расширением.js. В документе находится подробная инструкция и ссылка, куда перейти и сколько заплатить для того, чтобы расшифровать зараженные файлы.
Пораженным файлам, к их расширению.doc, .xls, .pdf, или.jpeg добавляется расширение.vault.
Первое, что нужно сделать после обнаружения заражения файлов – это отключиться от сети и просканировать систему с помощью антивирусной программы, установленной на компьютере или Защитника Windows.
Сам вирус как правило располагается в папке Temp (C:/Windows/Temp) и имеет следующую структуру:
Это все удаляется, кроме последних дух файлов:
И в появившемся окне нажимаем «Восстановить мои файлы».
У этого способа есть одно но, он работает тогда, когда на компьютере не забывают создавать «Точки восстановления системы».
Он заключается в том, что можно обратиться за помощью к антивирусным лабораториям. Таким как Лаборатория Касперского или Dr. Web. У них как правило есть готовые решения. У «Касперского» это RectorDecryptor, приложение, которое само ищет и исправляет пораженные файлы.
Dr. Web предлагает свой дешифровщик Dr web VAULT.
Но к сожалению, этот способ тоже не является универсальным. Так как разработчики вируса тоже не стоят на месте и изменяют ключ, и данные решения от Касперского и Dr. WEB могут просто не подойти.
Этот способ подойдет для продвинутых пользователей. Суть его заключается в том, чтобы в самом скрипте шифровальщика найти ключ для расшифровки. Имя файла ключа secring.gpg.
Загвоздка этого метода заключается в том, что может в системе и не быть этого файла, то есть, он может быть удален самим шифровальщиком.
Итак, главное, это не вестись на провокацию и не паниковать, и тем более не торопиться платить деньги. Нужно постараться использовать все имеющиеся способы восстановления файлов.
Сегодня мы поговорим с вами на тему: "Подхватили "Vault"-вирус: что делать?". Данная тема очень важна, особенно в современном мире, где разнообразная компьютерная зараза буквально на каждом шагу. Что это такое? Где можно встретить данную гадость? Как она действует? Обо всем этом сейчас и пойдет речь.
Первым делом стоит начать с того, что мы с вами узнаем, что же это за дрянь такая: "Vault"-вирус. Что делать с ним и как бороться, поговорим чуть позже.
Как уже было сказано, нам придется иметь дело с так называемым шифровальщиком данных. Он проникает в операционную систему и начинает менять (зашифровывать) расширения всех ваших данных. Хорошо, если это только личная информация. А если компьютерная зараза добралась до системных файлов, то дела совсем плохи.
Если вы поймали вирус "Vault", что делать - не знаете, то первым делом потребуется понять, откуда этот "зверь" взялся на компьютере. Дело все в том, что выглядит данная вещица по-разному. У кого-то это программа для архивирования данных, а у кого-то он кажется специальным расширением для браузера. Итог один - у вас "угоняют" выход во да еще и ваши файлы потихоньку шифруются. Вот такой хитрый "Vault"-вирус. Что делать с ним? Сейчас мы с этим разберемся.
Что ж, первый этап борьбы с абсолютно любой заразой на компьютере - это ничто иное, как проверка вашей системы на наличие вредоносных файлов и шпионов. Для этого потребуется Если вы думаете над вопросом: "Vault"-вирус: как лечить?", то лучше всего использовать Dr.Web или Nod32. Если они вам не по вкусу, то можно вполне воспользоваться и "Авастом".
Обновите базу данных с вирусами, а затем запустите глубокую проверку. Этот процесс может занять у вас довольно много времени. Тем не менее придется подождать. После завершения взгляните на результаты. Среди них обязательно будет проявляться вирус-шифровальщик "Vault". Что делать с полученными данными? Достаточно просто попытаться вылечить все вредоносное программное обеспечение. Что не поддается лечению - удалите. Это делается при помощи специальной кнопки в антивирусе. Теперь, когда вы просканировали компьютер, можно приступить к следующему этапу.
Итак, настало время для того, чтобы начать наводить порядок на компьютере. Если вы думаете над вопросом: "Vault"-вирус: как лечить?", то постарайтесь избавить операционную систему от разнообразного странного контента и программ, которые вы давно уже не используете, как можно скорее.
Дело все в том, что и угонщики браузеров, и шифровальщики очень любят прописывать в компьютер разного рода бесполезный контент, которые помогает зашифровывать данные. Избавление от таких программ упростит задачу лечения операционной системы.
Для того, чтобы ответить на вопрос: раз и навсегда?", перейдите в а оттуда пройдите в "Установку и Подождите, пока сформируется список установленного контента, а потом удалите все программы, которые вам незнакомы. Заодно очистите систему от тех приложений, что уже долгое время "пылятся" в сторонке. Готово? Тогда можете закрывать появившееся окошко и приступать к следующим мерам, которые обязательно помогут вам справиться с поставленной задачей.
Когда пользователи сталкиваются с вопросом: "Vault"-вирус: что делать при инфицировании?", многие забывают о такой важной вещи, как реестр компьютера. Именно в него "прописывается" компьютерная зараза, от которой потом бывает довольно трудно избавиться.
Значит, давайте думать, каким именно можно очистить реестр. Для этого придется выполнить специальную команду (она помогает попасть в необходимую нам службу). Нажмите Win + R, а затем выполните команду "regedit". После того как вы нажмете на "Ввод", у вас откроется реестр компьютера. Можно продолжать думать над темой: ""Vault"-вирус: как удалить?".
Что ж, после того как мы попадем в нужную нам службу, придется подумать, куда требуется "залезть", дабы справиться с поставленной задачей. Слева вы увидите много папок с длинными названиями. Мастерски обходим их и направляемся в "правку". Там находим "поиск" и набираем в строчке "Vault". Запустите сканирование и дождитесь, пока вам будут показаны результаты проверки.
Все, что только обнаружит ваш компьютер, придется удалить. Не стоит бояться - после этого у вас не "слетит" операционная система, а файлы не будут повреждены. Так что просто кликайте по строчкам правой кнопкой мышки, а затем выбирайте команду "удалить". Готово? Тогда двигаемся дальше. Остается всего лишь несколько простых шагов, которые помогут решить проблему с нашим сегодняшним шифровальщиком.
Наверное, при борьбе с любой вредоносной программой нельзя обойтись без так называемых сторонних программ, которые помогают найти и "обезвредить" вирусы. Например, прекрасным выбором будет Cclener. Это приложение, которое очищает реестр компьютера (наиболее эффективна после ручной очистки данной службы) и помогает освободить местечко на системном диске C.
Вам достаточно просто скачать Ccleaner и установить его. После запуска в левой части окна просто выставите желаемые настройки сканирования (какие разделы "обыскивать"), а затем нажмите на кнопочку "Сканировать". Всего несколько секунд - и результаты уже в ваших руках. Остается кликнуть по "Очистить" и посмотреть на итог.
Кроме того, если вы думаете над темой: "Vault"-вирус: что делать?", можете воспользоваться еще и так называемым SpyHunter. Это контент, помогающий обнаружить вредоносное ПО и шпионские программы, а также удаляющий подобного рода заразу. После установки и сканирования можно будет перезагрузить компьютер. В конечном итоге вирус больше не будет беспокоить вас.
Но теперь у вас должен появиться вопрос: "Что же делать с зашифрованными личными данными?". На самом деле, можно выбрать один из нескольких доступных способов.
Первый подходит особо осторожным пользователям. Такие, как правило, все свои файлы записывают на сторонние носители. Им можно предложить совершить удаление поврежденного контента, после чего произвести замену на "нормальные" данные.
Второй вариант - это использование специальных служб от антивирусных программ. Им отсылаются зашифрованные данные, после чего вам в ответ придет расшифровка. Довольно большим успехом пользуется Dr.Web в этом непросто деле. Вот и все. Теперь вы знаете, что делать, если вы подхватили вирус "Vault".
Утилита Kaspresky RakhniDecryptor расшифрует файлы, расширения которых изменились по следующим шаблонам:
Trojan-Ransom.Win32.Rakhni создает файл exit.hhr.oshit, в котором в зашифрованном виде содержится пароль от файлов пользователя. Если на зараженном компьютере сохранился этот файл, расшифровка произойдет значительно быстрее. Если же файл exit.hhr.oshit был удален, восстановите его при помощи программ восстановления удаленных файлов, а затем поместите в папку %APPDATA% и заново запустите проверку утилитой. Файл exit.hhr.oshit вы можете найти по следующему пути: C:\Users<имя_пользователя>\AppData\Roaming
Примеры некоторых вредоносных адресов-распространителей:
Если файл зашифрован с расширением CRYPT, расшифровка может длиться долго. Например, на процессоре Intel Core i5-2400 она может занять около 120 суток.
Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>.
| Версия вредоносной программы | Адрес электронной почты злоумышленников |
|---|---|
|
[email protected]_graf1 [email protected]_mod2 |
|
Файлы будут расшифрованы.
Файл может быть зашифрован с расширением CRYPT более одного раза. Например, если файл тест.doc зашифрован два раза, первый слой утилита RakhniDecryptor расшифрует в файл тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись: «Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR». Этот файл необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием тест.doc.
Для удобства и ускорения процесса расшифровки файлов Kaspersky RakhniDecryptor поддерживает следующие параметры командной строки:
| Имя команды | Значение | Пример |
|---|---|---|
| –threads | Запуск утилиты с подбором пароля в несколько потоков. Если параметр не задан, количество потоков равно количеству процессорных ядер. | RakhniDecryptor.exe –threads 6 |
| –start <число> –end <число> |
Возобновление подбора пароля с определенного состояния. Минимальное число 0. Остановка подбора пароля на определенном состоянии. Максимальное число 1 000 000. Подбор пароля в диапазоне между двумя состояниями. |
RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000 |
| -l <название файла с указанием полного пути к нему> | Указание пути к файлу, где должен сохраняться отчет о работе утилиты. | RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt |
| -h | Вывод справки о доступных параметрах командной строки | RakhniDecryptor.exe -h |
