Честный компьютерный мастер - ваш знакомый компьютерщик
тел.(МТС Москва): +7-985-173-84-19
скажите, что случилось и спросите, что делать
vault cryptor файлы зашифрованы  Обычное будничное утро среды трудового дня и звонок от клиента, с последующим письмом и описанием общих признаков заражения компьютера вирусом-шифровальщиком файлы зашифрованы vault.

  Беглый просмотр компьютера с неутешительными выводами, похоже очередной волной прокатились вредоносные почтовые рассылки, с множественными упоминаниями нового трояна-шифровальщика файлы зашифрованы vault, на форумах антивирусных вендоров. Что можно противопоставить в предотвращении заражения компьютера вирусом файлы зашифрованы vault и существуют ли надежные методы самостоятельной попытки дешифрации файлов, после отработки вируса vault файлы зашифрованы на компьютере?

  Провести анализ возможности восстановления файлов из теневых копий на компьютере и оказать содействие в получении дешифратора возможно удаленно, см. контакты.

Внимание! Участились случаи злоупотреблений, когда по рекламе в поисковиках ( и по многим сообщениям клиентов), некоторые сайты предлагают якобы разработку персональных дешифраторов, по факту связываясь со злоумышленниками, по их инструкции, за приобретением дешифратора, и заявляющие клиентам суммы в 2-3 раза выше!


  В первую очередь нужно отметить, что по результатам анализа и ответам на форумах разработчиков ведущих антивирусных продуктов, прогнозы самостоятельной дешифрации файлов от последствий «работы» вируса vault файлы зашифрованы неутешительны и содержат следующее в результатах:

  1. «На данный момент расшифровка нашими силами видится невозможной.»,  forum.drweb.com
  2. «Насколько мне известно, .vault расшифровать не можем», forum.kaspersky.com
  3. «Будет ли решение проблемы и расшифровка??
    - В ближайшее время скорее всего нет», forum.kaspersky.com
  4. «С расшифровкой не поможем», virusinfo.info
  5. «Без шансов», cyberforum.ru
  6. «С расшифровкой не поможем», forum.kasperskyclub.ru
  7. Отсутствие положительных заключений с решениями на прочих официальных форумах с разработчиками антивирусных решений


Как можно попытаться самостоятельно восстановить исходные файлы до шифрации?

  Можно попробовать восстановить файлы из теневых копий. Несмотря на то, что вирус Vault файлы зашифрованы пытается отключить и удалить теневые копии, у него это не всегда получается, а тем более, если вирус Vault файлы зашифрованы отрабатывал под обычной учетной непривилегированной записью пользователя.

Данный метод попытки восстановления исходных файлов до отработки и шифрации файлов вирусом Vault файлы зашифрованы изначально возможен для операционных систем выше версии Windows XP (для версий Vista, 7, 8, 8.1, 10), т.к. на XP пользовательские данные не включены в создаваемые теневые копии, а на серверных операционных системах линейки Windows теневое копирование не задействовано по умолчанию, его возможно только включить и настроить вручную для "расшаренных" ресурсов данного сервера.

Предварительная оценка наличия теневых копий на компьютере

Оценить наличие теневых копий на компьютере, для восстановления исходных файлов до шифрации вирусом Vault файлы зашифрованы, возможно следующим образом...
  1. В командной строке, запущенной с правами администратора, ("Пуск" - "Все программы" - "Стандартные", правой кнопкой мышки по "Командная строка" и "Запуск от имени Администратора") выполнить и оценить наличие теневых копий по результату вывода команды:
    vssadmin.exe List Shadows
  2. Либо второй вариант, кликом правой кнопки мышки по ярлыку "Компьютер" на рабочем столе или из меню "Пуск", далее "Свойства" - "Защита системы" и у системного диска, возможно других дисков,  щелкнуть "Настроить", далее оценить используемое пространство для теневых копий. Если значение равно 0, значит вирус Vault файлы зашифрованы удалил теневые копии и данный метод восстановления задействовать на компьютере не удастся, т.к. исходных данных попросту нет и они удалены вирусом-шифровальщиком (но далеко не всегда вирусу шифровальщику удается отключить и очистить точки восстановления системы, это зависит от нескольких составляющих, поэтому нужно оценивать наличие теневых копий индивидуально в каждом случае).


  Если параметры работы операционной системы были оставлены по умолчанию, с созданием теневых копий, а файлы сохранялись в "Документах" и "Рабочем столе", в структуре каталогов профиля пользователя, то автоматизировать восстановление незашифрованных версий документов возможно с помощью двух бесплатных программ, подключающих точки восстановления как отдельные папки, с возможностью просмотра, копирования папок из теневых копий целиком и списками. Программы:
  1. ShadowExplorer - ссылка на страницу сайта и скачивания: shadowexplorer.com/downloads.html
    Краткое описание и скриншоты программы
    shadowexplorer manualshadowexplorer manual

    "ShadowExplorer allows you to browse the Shadow Copies created by the Windows Vista / 7 / 8 Volume Shadow Copy Service. It's especially thought for users of the home editions, who don't have access to the shadow copies by default, but it's also useful for users of the other editions.
    Shadow Copy

    From time to time, Windows Vista / 7 / 8 creates point-in-time copies of your files. This allows you to retrieve older versions from files you accidentally deleted or altered. This service is turned on by default on all versions of Windows Vista/7, but Microsoft grants access to these copies only in Ultimate, Business, and Enterprise editions. This is where ShadowExplorer comes into play. For more information on Shadow Copy, visit Microsofts website.
    ShadowExplorer

    Since the Volume Shadow Copy Service is included, and turned on by default, in all editions of Windows Vista / 7 / 8, why not take advantage of it? All it takes is an additional tool like ShadowExplorer, that can access the shadow storage and make the point-in-time copies accessible to the user.
    Features

        Show available point-in-time copies
        Browse through Shadow Copies
        Retrieve versions of files and folders" ...
    Источник: shadowexplorer.com
  2. System Restore Explorer - ссылка на страницу проекта nicbedford.co.uk/software/systemrestoreexplorer/. Проект заморожен автором и прилично не обновлялся. Но помогал ранее, вытаскивать предыдущие версии директорий, файлов, документов из профилей.
    Краткое описание и скриншоты программы
    system restore explorersystem restore explorer

    System Restore Explorer дает возможность монтировать любую точку восстановления системы в обычную папку, из которой после этого можно извлечь любые файлы или папки. Программа также показывает размер каждой точки восстановления и позволяет выборочно удалять их для экономии места на жестком диске.

    System Restore Explorer is a tool which allows you to browse system restore points on your computer and select individual ones for deletion should you wish to free up some disk space. It also allows you to mount the contents of a restore point into a folder so that you can browse and copy individual files, without the need to perform a full system restore.

    System Restore Explorer

    When you select a restore point and mountit the tool will create a shortcut to that particular restore point which will allow you to browse the contents and copy files. Once you have finished with a particular restore point you can either use the tool to unmount it or simply delete the shortcut (deleting the shortcut will not delete the restore point).

    Mounted system restore point

    I have tested this tool on Windows XP, Windows Vista and Windows 7 beta, unfortunately the SRRemoveRestorePoint function didn’t appear to function as described on Windows XP, so I have had to restrict the use of this tool to Windows Vista and newer (and there is a check in the install and the app :) )

    System Restore Explorer uses AlphaVSS, which is a .net library which allows access to the Volume Shadow Copy Service. The Volume Shadow Copy Service (VSS) is a set of COM interfaces, delivered with various versions of Microsoft Windows, that implements a framework to allow volume backups to be performed while applications on a system continue to write to the volumes. Hence how system restore points are created!

    If you’d like to give System Restore Explorer a try then you can download it here, please feel free to leave feedback via the comments section.

    History

        0.0.1-Internal release
        0.0.2-Alpha release, initially just a blog posting (and only allowed restore points to be deleted, not browsed)
        0.0.3-Alpha release, this was the first version to allow a restore point to be mounted and the contents to be browsed. Zip file only, no install and only worked on x86 systems.
        0.0.4-Beta release, now with installer, and AlphaVSS support for both x86 and x64 versions of Windows.
        0.0.5-Beta release, updated AlphaVSS components, made changes to auto-update system, there is now a menu option to disable the server check (Some people appear to be paranoid about apps that make an outgoing connection!)
    Источник: nicbedford.co.uk/software/systemrestoreexplorer/



Важное описание последовательности и последствий заражения компьютера вирусом vault

Заражение вирусом Vault файлы зашифрованы
Сначала пользователь получает письмо с сообщением о выписке из налоговой / счетчика воды / счета за консультант плюч.
В письме была ссылка на вложенный файл с ресурса download-attach.com. (хостинг вроде оплачен биткоином) В архиве по этой ссылке самое интересное имеется обфусцированный js файл, с очень подробным именем.
При его запуске в %TEMP% пользователя появляется несколько файлов и в автозагрузку прописывается скрипт для запуска revault.js
 
Вот некоторые файлы, которые удалось идентифицировать:
svchost.exe - основной бинарник gnupg
iconv.dll - общая библиотека для работы gnupg
audiodg.exe -  sDelete из комплекта Sysinternals Suite
Исполнение вируса Vault файлы зашифрованы
В нашем случае при запуске компьютера запустился скрипт revault.js который запустил bat файл cryptlist.cmd. Здесь небольшая нить потерялась
Потом запустился secured.bat в нем и творится все самое темное.
Сначала программа генерирует сертификат для шифрования файлов на компьютере с именем gk.vlt (Cellar / RSA / 1024 bit)
Потом экспортирует из него закрытый ключ, необходимый для расшифровки файлов в файл vaultkey.vlt
Потом создает публичный ключ pk.vlt, он предопределен в самом bat файле. С помощью этого файла в дальнейшем будет зашифрован ключ, необходимый для расшифровки ваших данных.

Далее в vaultkey.vlt записываются
BDATE - текущая дата
UNAME - текущее имя пользователя
CNAME - имя компьютера
ULANG - язык системы (в данном случае он прописан RU)
И несколько случайных хэшей 01HSH 02HSH 03HSH 04HSH 05HSH FHASH
Шифрование вирусом Vault файлы зашифрованы
Далее начинается шифрование файлов.
Файлы шифруются ключом, который сгенерирован на Вашей машине, и пока еще есть возможность расшифровать данные.
Диски обходятся по алфавиту от A до Z

Шифрование файла с заменой выглядит так
1 - Шифрование файла
2 - Перемещение шифрованного файла на место ориганала
3 - Добавление расширения .vault к файлу

На 1 этапе шифруются *.xls и *.doc файлы.
На 2 этапе создается и запускается файлы win.vbs, sdwrase.js, sdwrase.cmd, которые отключает теневое копирование в системе, если система Vista и выше
И шифруются *.pdf *.rtf файлы.
На 3 этапе шифруются *.psd *.dwg *.cdr файлы.
На 4 этапе шифруются *.cd *.mdb *.1cd *.dbf *.sqlite файлы.
На 5 этапе шифруются *.jpg *.zip файлы.

Каждый файл считается, потом количество зашифрованных файлов каждого типа файлов записывается в vaultkey.vlt
(Видимо для общей оценки зашифрованных данных)

Далее ключом злоумышленника шифруется ваш приватный ключ и собранная информация о количестве данных.
После чего ваш ключ, необходимый для расшифровки данных удаляется с 16 (!) кратной перезаписью.

Далее на рабочий стол помещается ваш закрытый ключ, зашифрованный ключем злоумышленника.
Круг замкнулся.

Ваши файлы зашифрованы, вашим ключем, а ваш ключ зашифрован ключем злоумышленника.

Потом создаются файлики с оповещениями.
Сайт вируса Vault файлы зашифрованы
Сайт злоумышленников хостится в анонимной сети TOR и отличается высокой технологичностью, для такого рода "проектов"
Здесь есть полноценный личный кабинет и "демо версия" на 3 файла, которая со стороны злоумышленника расшифровать загруженный вами файл и скачать его с их сервера. НО, перед открытием Вам доступак файлу, его в ручном режиме просмотрит злоумышленник и если посчитает файл важным, то доступа к тему вы не получите, об этом Вам сообщат.

Есть даже раздел помощи.

Оплата только биткоинами.
Также можно поговорить с автором. Уговоры и угрозы бесполезны. Злоумышленник может закрыть вам возможность чата.
Пароли с браузеров - методика хищения паролей с браузеров на зараженном вирусом Vault файлы зашифрованы компьютере
После создания файликов с обовещениями идет "бонус"
Создаются скрипты ultra.js и up.vbs.
Первый скачивает файл с шлюза tor2web по ссылке hxxp_//tj2es2lrxelpknfp.onion.city/p.vlt  и переименовывается в ssl.exe
Это дампер паролей Browser Password Dump v2.6 by SecurityXploded
Он сохраняет все ваши пароли с браузеров в файл cookie.vlt
Далее, второй файл запускает выгрузку ваших паролей на тот же сервер (POST скрипту /x.php)
Этот сервер обезличен так же, как и сервер для восстановления и оплаты (ничего лишнего в заголовках, строка Server: Anon)
По информации с источника, forum.drweb.com (prog4food)



По описанию становится понятно, что клиент запустил вирус-шифровальщик vault файлы зашифрованы

Произошла шифрация, в нашем случае он был вынужден платить злоумышленникам?
Нет, за восстановление не пришлось никому и ничего платить.

Почему? Потому что система на компьютере клиента была построена полностью по рекомендациям и все файлы были восстановлены из автоматически создаваемой резервной копии, с откатом самой системы на более ранний образ. С учетом, что количество зашифрованных файлов вирусом vault файлы зашифрованы превышало 58 тысяч и восстановление было оценено злоумышленниками в сумму эквивалента 394 USD.



Каким образом произошло заражение компьютера вирусом vault файлы зашифрованы?

  Обычно и на примере проанализированного заражения происходило это методом рассылки вирусных файлов во вложениях к письмам, с провоцирующим на открытие характером описания. В рассмотренном случае письмо имело следующие признаки:
Заголовок:«Сверка взаиморасчетов»
Текст письма: «День добрый,
Руководством было дано распоряжение провести сверки со всеми контрагентами.
Высылаю Акт (во вложении).
Если расхождений с Вашей стороны не будет, я отправлю подписанный экземпляр курьерской почтой.»
Имя архива вложения: «Акт сверки.zip»
Файл внутри архива: «Акт сверки за март 2015 года_ составлено зам главного бухгалтера согласовано руководителем предпр_САЛЬДО на 24.03.2015 doсx.js»



Почему антивирусы пропустили подобный вирус vault файлы зашифрованы?

  На момент анализа картина обнаружения данного вируса имела следующий вид:
vault detect virustotal файлы зашифрованы

https://www.virustotal.com/ru/file/6e7bb87bfb9a8a97a15c2a6f71af79e43bf768fc133f27bf8a62b7316fa163e4/analysis/

Причем Dr.Web при первоначальной проверке так же не находил файл вредоносным, в процессе разбора и при последующих проверках уже стал обнаруживать прикрепленный файл как вредоносный, т.о. они включили его сигнатуту и в базы «в живую», в процессе разбора. Поэтому, при выстраивании линий защиты от вирусов, нужно осознавать, что злоумышленники так же могут пользоваться проверками своих проделок на обнаружение антивирусными продуктами, внося в них изменения и усложняя обнаружения.



Что происходит после «отработки» вируса vault файлы зашифрованы на компьютере?

Внимание! С прошлой недели, конца октября 2015 года, зафиксирована новая мощная эпидемия и вирусная активность шифровальщика Vault, с измененным кодом отработки на компьютере управляющего скрипта, формирования файлов с требованиями в виде hta файлов VAULT.hta по структуре каталогов и новым адресом в сегменте сети TOR: http://333e45lpjqrebknr.onion

  Офисные документы, сканы и изображения, а так же прочие рабочие файлы шифруются, расширение зашифрованных вирусом vault файлов заменяется на .vault, в автозагрузку прописывается скрипт с уведомлением и инструкцией вымогателей, в частности, в данном случае, было прописано открытие появившегося файла VAULT.txt следующего содержания:
«Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vаult
Для их восстановления необходимо получить уникальный ключ

ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:
КРАТКО
1. Зайдите на наш веб-ресурс
2. Гарантированно получите Ваш ключ
3. Восстановите файлы в прежний вид

ДЕТАЛЬНО
Шаг 1:
Скачайте Tor браузер с официального сайта: https://www.torproject.org
Шаг 2:
Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion
Шаг 3:
Найдите Ваш уникальный VAULT.KEY на компьютере - это Ваш ключ к личной клиент-панели. Не потеряйте его
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё

ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке
c) Ваша стоимость восстановления не окончательная
Дата блокировки: 25.03.2015 ( 9:**)
»


И далее по инструкции злоумышленником предлагался следующий интерфейс к восстановлению:
vault cryptor файлы зашифрованыvault cryptor файлы зашифрованыvault cryptor файлы зашифрованыvault cryptor файлы зашифрованыvault cryptor файлы зашифрованы

С примечательным пунктом-описанием в вопросах:
«Стоимость восстановления определяется на основании нескольких показателей, а именно: - Количество заблокированных файлов,
- Расширения файлов,
- Размер заблокированных файлов
- Интеллектуально определенный уровень важности Вашей информации.
- Был ли прерван процесс и на каком этапе.
Вы можете быть уверены, что стоимость восстановления определяется не случайно. Цены варьируются от 100 до 9000 USD.
Цена по каждому клиенту индивидуальна.
Для того что бы уточнить сумму и обосновать её - напишите нам о просьбе скорректировать стоимость и загрузите Confirmation.Key. Детальнее ниже.»



Каким образом можно избежать заражения компьютера вирусом vault файлы зашифрованы?

  К сожалению, какие бы правильные и объективные советы не были выданы с общими рекомендациями, на самом деле широко и давно известными, пользователи за компьютером и как правило обязательно будут их нарушать, все самые правильные рекомендации.
  Поэтому единственным способом максимально обезопасить свои данные является правильная настройка комплекса как по предотвращению заражения различными вирусами, так и резервного копирования, как самой системы, так и всех значимых данных на компьютере. В противном случае и как правило срабатывает принцип: «что системно не запрещено, то обязательно происходит».
Поэтому важно доверить настройку Вашего компьютера именно профессионалам в IT области, с настройками и обновлениями, антивирусной программы, разграничением доступа и резервным копированием.



Компьютерная помощь предлагает провести комплекс мер по настройке Вашего компьютера и систем для минимизации рисков заражения различными вирусами и вредоносными программами, среди которых рассмотренный криптор vault файлы зашифрованы является только единичным представителем из семейства вредоносов. Предлагаем настроить операционную систему со всеми обновлениями как самой системы, так и дополнений с приложениями до актуальных версий, с закрытием известных уязвимостей - лазеек по проникновению вирусов на Ваш компьютер, и разграничением доступа к данным. Предлагаем установить и настроить хороший антивирус, с методиками противодействия вирусам файлы зашифрованы, настроить автоматическое резервное копирование системы и данных в недоступное по умолчанию для вирусов дисковое пространство или сетевое хранилище.

Мы минимизируем риски Вашим данным, когда даже инциденты станут только легким недоразумением.

Если Вы находите данную публикацию весьма полезной и познавательной, пожалуйста, проголосуйте за неё. Это поможет определять значимость материалов для дальнейших публикаций и сориентироваться другим посетителям.
4.620535714285711111Рейтинг 4.62 (112 Голосов)

Комментарии   

0#Shari14.04.2018 23:11
Wells Fargo , which paid $185 million in fines to be in government charges of fraud, now faces a case by
three customers who claim we were holding victimized.
Wells fargo mortgage sign in wells fargo hsa
login: https://loginto.us.com/ wells fargo 401k login Vetr lowered Thor Industries
from the strong-buy” rating with a buy” rating as well as set a $95.
Barclays PLC reaffirmed a high pick” rating as well as set a $71.

Wells fargo online login [url="https://loginto.us.com/"]wells
fargo online account login wells fargo login mortgage Wells
Fargo is building them to the various mobile
systems, plus they're all designed to enable plenty of customer feedback.
Ответить | Ответить с цитатой | Цитировать

Добавить комментарий

Ваша безопасность

Проверка безопасности браузера
SurfPatrol
Онлайн-сервис и статус-баннер от компании "Positive Technologies" проведенной проверки безопасности Вашего браузера и компонентов на уязвимые, устаревшие версии и на возможность проникновения вирусов через данные уязвимости, при серфинге и посещении Интернет страниц на просторах сети. Пожалуйста, обратите внимание на статус проверки и заблаговременно проводите обновление компонентов, для обеспечения собственной безопасности от различных активных Интернет-угроз, вирусов, червей, баннеров, блокировщиков, шифраторов и прочих представителей Интернет-фауны.