###
  • Интернет
  • Программы
  • Игры
  • Проблемы
  • Windows
  • Социальные сети
  • Android
  • Ios

    • Ваш компьютер был заражен вирусом vault. Возможна расшифровка файлов, пострадавших от действия последней версии троянца-шифровальщика «Vault

    09.08.2019 Сотовые операторы

    Трояны-вымогатели заметно эволюционировали за год с момента своего появления. Изначальный вариант вируса, который принято называть .vault (по разным классификациям: .xtbl, .cbf, trojan-ransom.win32.scatter ), обнаружили в конце февраля 2015 г. В настоящий момент компьютерной безопасности угрожает очередная версия инфекции. За всю историю существования вируса были доработаны как программный код, так и функционал. В частности, изменялись ареал распространения инфекции, технология обработки файлов, а также ряд внешних представительских атрибутов.

    Основные характеристики вируса-шифровальщика vault

    Последний выпуск, .vault, функционирует с использованием передового алгоритма обмена ключей шифрования, что усложняет специалистам по компьютерной безопасности задачу подбора ключа расшифровки.

    Сценарий шифровщика.vault в ОС Windows выполняется в одном из следующих случаев:
    – открытие пользователем инфицирующего вложения к фиктивному уведомлению, рассылаемому мошенниками;
    – посещение взломанного веб-сайта со встроенным кодом инфицирования через уязвимости, например, Angler или Neutrino. В любом случая, обнаружить процесс внедрения программного кода без специальных инструментов непросто, а использование эффективных проемов по избежанию антивирусного ПО позволяет зловреду в большинстве случае обойти вирусные ловушки. Этап внедрения окончен, вирус-вымогатель переходит к сканированию жесткого диска, доступных USB-карт памяти, сетевых ресурсов, а также информации на онлайн-ресурсах для хранения и раздачи файлов, например, Dropbox. Программа проходиться по всем буквенным меткам дисков. Сканирование должно обнаружить файлы, расширения которых прописаны в алгоритме вирусной атаки как объекты. В зоне риска находиться более 200 форматов, включая наиболее популярные: документы Microsoft Office, мультимедийные файлы и изображения.
    В следующей фазе атаки.vault кодирует обнаруженные в ходе сканирования объекты, используя стандарт AES-256, в то время как основная масса троянцев-вымогателей, свирепствующих на просторах Интернета, использует алгоритм RSA. Далее зловред запускает прикладную программу, которая объясняет пострадавшему пользователю суть происходящего, инструктируя о действиях по восстановлению заблокированных данных. Программа генерирует следующее сообщение:

    Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат.vault
    Для их восстановления необходимо получить уникальный ключ.

    ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:

    КРАТКО
    1. Зайдите на наш веб-ресурс
    2. Получите уникальный ключ
    3. Восстановите файлы в прежний вид

    ДЕТАЛЬНО
    Шаг 1:
    Скачайте Tor браузер с официального сайта: https://www.torproject.org
    Шаг 2:
    Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion
    Шаг 3:
    Найдите Ваш уникальный VAULT.KEY на компьютере – это Ваш ключ к личной клиент-панели
    Авторизируйтесь на сайте используя ключ VAULT.KEY
    Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
    STEP 4:
    После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё

    ДОПОЛНИТЕЛЬНО
    a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
    b) Не забывайте про время, обычно оно играет против Вас
    c) Стоимость полного восстановления на ресурсе не окончательная

    При заходе на сайт мошенников в сети TOR у Вас будет полноценный личный кабинет c авторизацией, “службой поддержки” и даже партнерской программой, в стиле “получай деньги за каждый зараженный компьютер”. В добавок к зашифровке личных данных жертвы, вымогательское ПО добавляет к файлам новые расширения. Последовательность, присоединяемая к заблокированным объектам, зависит от версии зловреда. Ниже приводится полный печень таких расширений:
    .vault, .xtbl, .cbf.
    Таким образом, имя любого файла, например, ‘photo.jpg’, изменяется на ‘photo.vault’.

    Чтобы возобновить доступ к демонстративно зашифрованным данным, жертву требуют выполнить указания по организации выкупа и выплатить порядка 500 дол. США. Оплата должна быть произведена в валюте биткойн на счет, который является уникальным для каждого инфицированного.

    Порядок действий при атаке вымогателя.vault

    Очень важно, когда именно Вы обнаружили вторжение. В любом случае, как только вирус был замечен, отключите сетевое соединение и выключите компьютер. Также целесообразно воздержаться от удаления каких либо файлов до разрешения ситуации. Если есть свежая резервная копия данных на не сетевом ресурсе или в облаке, запустите проверенное средство против зловредного ПО и удалите.vault с Вашего ПК, прежде чем перейти к восстановлению из резерва. При неблагоприятном развитии ситуации будет выполнен полный цикл атаки. В таком случае, необходимо установить, какое именно расширение добавлено к закодированным файлам, и проверить возможность лечения с помощью средств расшифровки.

    Сайт службы расшифровки.vault

    Вымогательский вирус рекомендует пострадавшим открыть переход TOR, созданный для обработки платежа в биткойн. Фактически это страница “Служба расшифровки”, ссылки на которую содержаться в соответствующих оповещениях вымогательского характера. Она предоставляет подробную информацию о том, какие именно файлы были зашифрованы на ПК, излагая порядок действий по восстановлению. Как отмечено выше, преступники запрашивают эквивалент +-500 дол. США в биткойн с каждой зараженной системы. Сайт также предоставляет возможность получить доступ к читабельной версии одного из файлов бесплатно, а также представляет службу поддержки, услугами которой можно воспользоваться, если у плохих парней что-то пойдет не так.

    Будут ли файлы расшифрованы в случае передачи выкупа?

    Золотое правило: не плати ничего до тех пор, пока нет другого выхода. Если заплатить все же пришлось, имейте в виду, что процесс может затянуться, так как жуликам необходимо получить подтверждение оплаты. В свою очередь, они выдадут пару ключей, которые следует использовать для дешифровки в интерактивном окне программы-вымогателя. Есть информация, что разработчики.vault при получении выкупа создают условия, необходимые для восстановления файлов. Тем не менее, сама идея поддерживать шантажистов финансово определенно отталкивает, да и стоимость расшифровки велика для среднестатистического пользователя.

    Автоматическое удаление.vault – вируса-шифровальщика данных

    Надежное ПО для компьютерной безопасности эффективно устранит вирус-вымогатель.vault. Автоматическая очистка компьютера гарантирует полную ликвидацию всех элементов инфекции в системе.

    1. и проверить наличие вредоносных элементов на компьютере через команду “Начать сканирование” / Start Computer Scan
    2. В результате сканирования будет создан перечень выявленных объектов. Чтобы перейти к очистке системы от вируса и сопутствующих инфекций, щелкните “Устранить угрозы” / Fix Threats . Выполнение этого этапа процедуры удаления фактически обеспечивает полное искоренение вируса.vault. Теперь предстоит решить более сложную задачу – получить Ваши данные обратно.

    Прочие методы восстановления файлов, зашифрованных вирусом Vault

    Решение 1: Выполнить автоматическое восстановление файлов
    Необходимо учитывать то факт, что троян.vault создает копии файлов, которые затем зашифровывает. Тем временем, происходит удаление исходных файлов. Имеются прикладные программы, способные восстановить удаленные данные. У Вас есть возможность использовать с этой целью такое средство, как Data Recovery Pro. Наблюдается тенденция применения новейшим вариантом вымогательского ПО безопасного удаления с несколькими перезаписями. Тем не менее, данный метод стоит попробовать.

    Решение 2: Процедура резервного копирования
    Во-первых и прежде всего, это отличный путь восстановления данных. К сожалению, этот метод работает исключительно при условии выполнения пользователем резервного копирования данных до момента вторжения на компьютер. Если это условие соблюдено, не упустите возможность извлечь выгоду из Вашей предусмотрительности.
    Решение 3: Использовать теневые копии томов
    Возможно, Вы еще не знаете, но операционная система создает так называемые теневые копии томов каждого файла, если активирован режим “Восстановление системы” (System Restore). Создание точек восстановления происходит с определенным интервалом, синхронно генерируются снимки текущего изображения файлов. Обратите внимание, этот метод не гарантирует восстановление самых последних версий Ваших файлов. Что ж, попытка не пытка! Есть два пути выполнения процедуры: вручную или с помощью автоматического средства. Сперва рассмотрим ручную процедуру.
    Решение 4: Использовать опцию “Предыдущая версия”
    В ОС Windows встроена функция восстановления предыдущих версий файлов. Она также работает применительно к папкам. Просто щелкните папку правой клавишей мыши, выберите “Свойства” / Properties , далее активируйте вкладку Предыдущие версии” / Previous Versions . В поле версии представлен перечень резервных копий файла/папки с указанием соответствующего времени и даты. Выберите последнее сохранение и щелкните “Копировать” / Copy , чтобы восстановить объект в новом назначенном Вами месте. Выбрав простое восстановление через команду “Восстановить” / Restore , запустите механизм восстановления данных в исходной папке.

    Процедура позволяет восстановить предыдущие версии файлов и папок в автоматическом режиме вместо ручной процедуры. Потребуется загрузить и установить ПО Теневой проводник ShadowExplorer. После запуска Проводника укажите название диска и дату создания версий файла. Щелкните правой клавишей по папке или файлу, который Вас интересует, выбрав команду “Экспорт” / Export . Затем просто укажите путь восстановления данных.

    Профилактика

    Vault на сегодняшний день является одним из наиболее жизнеспособных вирусов-вымогателей. Индустрия компьютерной безопасности не успевает заблаговременно реагировать на стремительное развитие встроенных функций инфекции. Отдельная группа преступников специализируется на уязвимых звеньях программного кода троянца, отвечая на эпизодической обнаружение таких уязвимостей лабораториями по изучению и устранению зловредов и компьютерными энтузиастами. В новых версиях инфекции-шифровальщика используется усовершенствованный принцип обмена ключей, что нивелирует возможности использования декодировщиков. Учтивая непрерывный характер развития компьютерного вредителя, на первое место выходит работа по предотвращению атаки.
    Основное правило - храните резервные копии файлов в безопасном месте. К счастью, существует целый ряд недорогих или даже бесплатных служб безопасного накопления данных. Копировать данные на внешний несетевой накопитель не так удобно, но это также хороший способ защиты информации. Чтобы в корне разрушить планы по внедрению зловреда, не открывайте вложения в электронной почте, если она поступает из подозрительного источника: такая почта является популярным методом распространения программ-вымогателей. Также рекомендуется своевременно обновлять программное обеспечение. Это позволит устранить возможные уязвимости, сняв риск заражения через эксплоит-комплексы (наборы программ, эксплуатирующих уязвимости ПО для атаки на ОС). И последнее, используйте проверенный защитный модуль с возможностями динамического анализа.

    Контроль после удаления вируса.vault

    Удаление вымогателя.Vault как таковое не позволяет расшифровать личные данные. Приведенные выше восстановительные процедуры часто, но не всегда, помогают решить проблему. К слову, данный вирус нередко устанавливается вместе с другими зловредами, поэтому определенно имеет смысл повторно проверить систему автоматическим противовирусным ПО, чтобы убедится в отсутствии вредных остаточных элементов вируса и сопутствующих угроз в Реестре Windows, а также других разделах компьютерной памяти.

    В последнее время всё больше пользователей сталкивается с новым вирусом-шифровальщиком, который заменяет стандартные расширения файлов на vault. Некоторые думают, что можно решить эту проблему, изменив расширение вручную, однако это ошибочное мнение – без уникального ключа (VAULT.KEY) восстановить доступ к файлам не получится.

    Обнаружение и удаление шифровальщика

    Главная опасность вируса Vault в том, что антивирусы его не обнаруживают. Попадает вредоносное ПО на компьютер обычно в виде вложения в письме. Пользователь сам открывает электронное послание, и вместе с приложенным файлом запускает процедуру шифрования.

    Обнаружить и удалить вирус можно только при глубокой проверке с помощью мощных антивирусов типа Nod32 или Dr.Web. Дополнительно просканируйте систему лечащей утилитой Dr. Web CureIT или программой Kaspersky Virus Removal Tool (утилита бесплатна). Проследите, чтобы у антивирусного ПО была обновлена база, иначе вирус не будет обезврежен.

    Восстановление файлов

    После обезвреживания и удаления вируса остается восстановить файлы, расширение которых изменилось на vault. Не стоит пытаться искать готовый дешифратор – его не существует, нет даже технической возможности создать программу, которая сможет открыть доступ к зашифрованным файлам без уникального ключа (второй части файла VAULT.KEY). Но можно попробовать другие варианты:

    • Использование теневой копии.
    • Поиск файлов в архивных копиях.
    • Проверка облачных хранилищ.

    Использование теневой копии

    Первое, что необходимо сделать, чтобы попытаться восстановить бесплатно файлы после действия вируса ваулт – проверить, не осталось ли теневых копий нужных данных. Если у вас была включена защита системы, то этот способ может сработать.


    Поиск архивной копии

    Если зашифрованные вирусом vault данные хранились на сетевом диске, поищите их архивные копии. Если на сетевом диске была предварительно создана корзина, можно заглянуть в неё – там тоже могут остаться целые файлы. Если под действие вируса-шифровальщика Vault попали папки, синхронизированные с облачными хранилищами (Яндекс.Диск, Google Drive, Dropbox), то посмотрите нужную информацию на этих сервисах.

    Стоит ли платить злоумышленникам?

    Если ни один из перечисленных методов не помог получить доступ к нужной информации, то остается последний способ – обращение к отправителям вируса шифровальщика. Если судить по отзывам, можно вернуть все файлы после шифрования. Но за индивидуальный key для расшифровки придется заплатить деньги, конкретную сумму злоумышленники указывают на своих сайтах или в инструкции, которая появляется после заражения системы вирусом vault.

    Не пользуйтесь услугами компаний/частных лиц, которые предлагают восстановить файлы или купить у них дешифратор. Никакого дешифратора у них нет, а если они и предоставляют в качестве доказательства часть ваших файлов, то взяты эти данные у злоумышленников, отправивших вам вирус vault.

    Без индивидуального значения key расшифровать файлы невозможно. Хранится ключ на сервере владельцев вируса, доступ к нему получить никакими средствами нельзя.

    Если вы всё-таки решите обратиться за восстановлением информации к тем людям, что их зашифровали, то вам нужно предоставить им два файла:

    • VAULT.KEY – первая часть ключа шифрования, которая создается на стороне пользователя. Вторая часть key находится у злоумышленников. Если вы случайно удалите VAULT.KEY, то восстановить файлы не удастся.
    • CONFIRMATION.KEY – содержит в себе информацию о том, какой объем информации зашифрован. На основании этих сведений владельцы вируса рассчитывают, сколько денег с вас потребовать.

    Мы не рекомендуем платить деньги отправителям вирусов. Нет гарантии, что они не обманут, к тому же это только стимулирует их на продолжение преступной деятельности. Оплата второй части ключа - это крайняя мера, на которую следует идти лишь в том случае, если утеряна информация чрезвычайной важности.

    Альтернативный метод

    Можно попытаться обратиться за расшифровкой на форумы известных лабораторий, занимающихся разработкой антивирусного ПО, но даже такие гиганты рынка, как Kaspersky, ESET и Dr. Web признают, что они не могут расшифровать данные после вируса за приемлемое время, не имея второй части VAULT.KEY.

    Можно попробовать утилиты-дешифраторы от тех же компаний по разработке антивирусного ПО. На данный момент они не могут подобрать VAULT.KEY, но базы данных постоянно расширяются, так что есть вероятность, что в скором времени проблема будет решена.

    Недавно пользователи столкнулись с новой угрозой – вирусом, который шифрует файлы, заменяя стандартные расширения. В результате документы, аудио и видеозаписи, изображения становятся недоступными. За ключ для расшифровки злоумышленники требуют серьезные деньги.


    Шифровальщики настолько опасны, что от них не могут спастись даже крупные организации: например, в феврале 2016 года Голливудскому пресвитерианскому медицинскому центру пришлось заплатить злоумышленникам 17000$ за ключ для дешифровки. Доподлинно неизвестно, какой шифровальщик поработал в Голливуде, но пользователи Рунета обычно встречаются с вирусом Vault. Поэтому давайте посмотрим, как восстановить файлы после вируса Vault, если это возможно.

    Как восстановить файлы после вируса Vault


    Обнаружение вируса

    Заражение сложно не заметить: файлы автоматически начнут менять расширение на.vault и перестанут открываться, а на экране появится сообщение типа «Данные заблокированы. Для их восстановления необходимо получить уникальный ключ». Ниже обычно указан адрес сайта и инструкция по оплате и получению кода дешифровки.


    Если вы увидели такое сообщение, то необходимо немедленно выключить компьютер и вытащить все съемные носители. Vault шифрует информацию постепенно, поэтому у вас есть время, чтобы спасти некоторые файлы.


    Но как вирус попал на компьютер? Вероятнее всего, по электронной почте. Пользователям приходит письмо с важной темой (кредитная задолженность, повестка в суд, подтверждение оплаты и т.д.), они послание открывают, после чего на компьютер скачивается программа для шифрования и баннер Ваулт с инструкцией по оплате кода дешифровки.


    Для шифровки используется бесплатная и безобидная программа GPG, применяющая алгоритм RSA-1024. Формально это не вирус, поэтому антивирусная защита не срабатывает. Но ключ, необходимый для расшифровки информации, остается у хакера, а взломать код не получится – на это уйдет несколько лет перебора значений. Поэтому не открывайте письма от неизвестных отправителей!

    Удаление шифровальщика

    Удалить Ваулт достаточно просто: он не глубоко проникает в систему и портит жизнь только тем, что закрывает доступ к информации. Для чистки системы используйте лечащую утилиту Dr.Web CureIt! или Kaspersky Virus Removal Tool. Запускать эти утилиты следует в безопасном режиме Windows.



    Порядок простой:




    Дополнительно следует удалить компоненты Ваулт, которые хранятся в скрытой папке по адресу C:\Users\Пользователь\AppData\Loca\Temp. Структура вредоносного кода выглядит следующим образом:


    • 3c21b8d9.cmd.

    • fabac41c.js.

    • 04fba9ba_VAULT.KEY.

    • VAULT.txt.

    • Sdc0.bat.

    • CONFIRMATION.KEY.

    • VAULT.KEY.

    Последние два компонента вам пригодятся, если вы решите заплатить злоумышленникам за расшифровку. В них хранится открытая часть ключа (у хакеров закрытая часть, без которой код не снять) и информация о количестве зашифрованных данных.


    Есть и другой вариант – записать на флешку Kaspersky Rescue Disk и загрузить с неё компьютер. Вам понадобится работающий компьютер, флешка, утилита для записи и образ Kaspersky Rescue Disk 10.



    Расшифровка файлов

    С вредоносным ПО вы быстро справитесь, но дальше возникнет серьезная проблема – не существует дешифратора, который быстро откроет доступ к информации, зашифрованной по алгоритму RSA-1024. Позиция крупных разработчиков антивирусного ПО сводится к тому, что у них нет технической возможности взломать код. Поэтому вариантов остается немного:


    • Если утеряна информация, которая не представляет большой ценности, то её проще удалить с компьютера. И запомнить, что не нужно открывать странные письма от неизвестных отправителей.

    • Если зашифрованные данные представляют большую ценность, придется заплатить отправителям вирусного ПО. Это крайний вариант, потому что нет уверенности, что вас не обманут. К тому же вы стимулируете злоумышленников продолжать рассылать зараженные письма, ведь это приносит им деньги.

    Из доступных способов расшифровки можно попробовать несколько вариантов, но нет гарантии, что они дадут положительный результат:


    1. Обратитесь на форум технической поддержки крупных разработчиков антивирусных программ. Лаборатория Касперского, Dr.Web, ESET. База данных шифровальщиков постоянно расширяется. Опишите подробно проблему, возможно, у них найдутся инструменты для её решения.

    2. Используйте теневые копии файлов (актуально, если была включена защита системы).

    Откройте свойства зашифрованного файла и перейдите на вкладку «Предыдущие версии».


    Если есть прежние, незашифрованные редакции, то вы можете их открыть или восстановить. В таком случае данные с расширением.vault нужно удалить с компьютера. К сожалению, других работающих способов нет. Поэтому лучше избегать встречи с шифровальщиком: не открывать странные письма, не скачивать подозрительные программы, не переходить по неизвестным ссылкам.

    Прежде чем узнать о том, как восстановить файлы после вируса Vault, нужно немного узнать о самом вредоносном коде. Как же действует механизм этого «злого монстра»? Чем же он может так насолить пользователю? Почему нельзя продолжать работу с повреждёнными файлами ? Давайте рассмотрим эту актуальную проблему подробнее.

    Вирус Vault работает по шифровальной системе: он берёт файл, создаёт его копию, шифрует его, подменяя имена, и представляет вам уже заблокированный документ. Процесс шифрования зависит от того, насколько мощный у вас компьютер. Если скорость обмена данных с диском высокая, то и быстрота заражения ваших личных файлов будет велика. Поэтому при уже запущенной атаке рекомендуется сразу отключать компьютер полностью, дабы сократить количество информации, которая будет зашифрована.

    Где можно заразить компьютер Ваултом и как от него защититься?

    Как и большинство вредоносных кодов, этот вирус можно заполучить в интернете. На почту приходят письма разного характера (чаще всего якобы от банковских служб, кредитных отделов, каких-либо государственных учреждений), которое обязательно вас заинтересует и заставит нажать на ту самую ссылку, которая и запустит загрузку вируса Vault на ваш компьютер или ноутбук. После завершения шифровального процесса на вашем устройстве появится текстовый документ. В нём сообщается о том, что ваши документы и данные закодированы и для их разблокировки вам нужно получить специальный ключ.

    Антивирусы практически не реагируют на этот код, так как для его работы использует популярный алгоритм шифрования RSA-1024, который по своей природе не является вирусом. В связи с этим возникает множество проблем: как тогда защититься от вредоносного кода, если даже антивирусы бессильны? Конечно, очень важна бдительность при работе в интернете. Хакеры не сидят сложа руки, а пользователи интернета являются очень лёгкой добычей. А всё из-за невнимательности: пользователи нажимают на всё подряд, особенно это касается рекламных баннеров, под которыми и скрываются «тёмные силы». Всплывающая реклама не только мешает работе в сети, но и может стать причиной ваших будущих технических проблем.

    Как обезопасить себя от вируса Ваулт?

    1. Если ваш компьютер уже им заражён, вы знаете что именно делать не нужно. Но если вы до сих пор не поняли, почему ваши файлы зашифрованы, читайте дальше.
    2. При получении любого письма на электронную почту всегда тщательно проверяйте следующие данные: от кого пришло (часто злоумышленники пишут похожее название электронного адреса с каким-нибудь знакомым брендом, но с небольшими изменениями, чтобы пользователи не заметили), тема письма, его содержание (любое сомнительное письмо сразу должно удаляться из вашего почтового ящика) и оформление письма.
    3. Для начала подумайте: вы подписывались на получение почтовой рассылки от этой компании? Если нет, то тут однозначно можно отправлять в чёрный список. Если да, то всё же ещё раз внимательно посмотрите, кто отправитель письма. Скопируйте этот адрес и найдите его в поисковой системе. Возможно, кто-то сталкивался с подобным и на форумах написал, что же это за отправитель. Можете скопировать и таким же способом найти текст самого письма. Это очень полезная практика, которая позволит вам «выиграть войну» ещё до её начала.
    4. Нигде не пишите свой номер или другие конфиденциальные данные на сайтах, интернет-ресурсах.
    5. Никогда не открывайте ссылки, если не уверены хотя бы в одном пункте.

    Этих рекомендаций должно быть достаточно. Как вы могли заметить, везде здесь основным ключевым моментом является бдительность самого пользователя. Малейшая неосторожность может стать переломной в жизни ваших файлов, документов, фотографий и другой информации.

    Как удалить вирус vault и вылечить компьютер

    Теперь перейдём к тому, как можно вернуть к жизни зашифрованные файлы. Весь процесс восстановления будет разбит на три части:

    1. Удаление троянских файлов.
    2. Лечение повреждённых секторов.
    3. Возвращение потерянных файлов.

    Давайте рассмотрим каждый этап отдельно.

    Удаление троянских файлов

    Вредоносные коды хранятся в системной папке Temp (после работы вируса Vault). Их названия следующие:

    1. 3c21b8d9.cmd
    2. 04fba9ba_VAULT.KEY
    3. CONFIRMATION.KEY
    4. fabac41c.js
    5. Sdc0.bat
    6. VAULT.KEY
    7. VAULT.txt

    Третий, шестой и седьмой файлы нужно сохранить на всякий случай, а вот остальные необходимо удалить. VAULT.KEY обязательно пригодится для расшифровки , ибо без него вы не сможете восстановить потерянную информацию, ведь это есть не что иное, как ключ шифрования. А файл CONFIRMATION.KEY необходим для получения ключа разблокировки. Текстовый файл Vault (седьмой номер) содержит информацию о том, как можно получить ключ к спасению у злоумышленников.

    Небольшое лечение

    Возможно, это и не принесёт каких-либо плодов, но всё равно пройдитесь Антивирусом по компьютеру. Проведите процедуру сканирования и удаления вредоносных файлов, но проследите, чтобы предыдущие документы не были удалены (если вы хотите восстановить информацию на компьютере).

    Восстановление файлов

    Для начала мы попробуем бесплатные способы, без обращения к хакерам.

    1. Восстановление предыдущей версии файла. В Windows 7 есть такая полезная штука, как откат к предыдущей версии того или иного документа (будь то фотография, видео или музыка и так далее). Нажмите правой кнопкой мыши на файл, затем на «Свойства» и последнюю вкладку «Предыдущие версии». Если система обнаружит следы старых версий документа, то считайте, что вам очень повезло. В противном случае этот метод вам не поможет.

    1. Посмотрите, нет ли резервной копии документации на дисках или других источниках. Если вы не настраивали эту функцию, скорее всего, её нет. Резервное копирование производится либо на другой локальный диск компьютера, либо на внешний носитель информации.
    2. Проверьте корзину на всех устройствах (онлайн-сервисы хранения информации, жёсткие диски, компьютеры, ноутбуки). Есть маленькая вероятность, что некоторые данные лежат там.
    3. Если ни один из способов не помог, остаётся лишь заплатить деньги мошенникам. Это единственный вариант, если потерянная информация вам действительно нужна. Так вы сможете узнать, как расшифровать файлы, повреждённые вирусом Vault. Пользователи делятся в сети отзывами о том, что этот способ реально помогает и после ввода ключа данные восстанавливаются . Наверное, если бы хакеры просто вымогали деньги, то никто бы не отправлял их после пары отрицательных отзывов.

    Подведём итоги

    Сегодня вы узнали о том, что такое вирус Vault и как восстановить файлы после его работы. Конечно, способы не самые приятные (особенно четвёртый), но за свою невнимательность надо платить. Надеемся, что в следующий раз вы будете внимательнее и не попадёте в такую неприятную ситуацию. Обязательно делитесь результатами борьбы с вирусом в комментариях.

    Vault — это шифровальщик файлов, заменяющий расширение документов и файлов на свое, после чего открыть их нереально. Поэтому мы подробно разберем, как восстановить файлы повреждённые вирусом Vault.

    При попадании на компьютер, вирус Ваулт начинает шифровать файлы с расширением .pdf, .doc, .docx, .zip, .jpeg, .xls, .xlsx и многие другие. После заражения файлы так и будут иметь свое расширение, но к ним дополнительно будет прикреплено расширение.vault. Естественно, после встречи с таким интересным вирусом пользователь как минимум впадет в ступор, и начнет искать пути, которые позволят снова открывать зашифрованные файлы и восстанавливать их. К большому сожалению, нам придется вас разочаровать, ведь простого и бесплатного решения по восстановлению Vault файлов не существует в силу технических особенностей самого шифровальщика. В общем, обо всем по порядку.

    Как Vault может попасть на компьютер

    Обычно вирус Vault попадает на компьютер после того, как пользователь открыл письмо, пришедшее на электронную почту, в заглавии котором говорится, что его нужно срочно открыть и прочитать. Как правило, это письмо, высланное от имени банка, партнеров или просто какой-то спам. Собственно в нем находится скрипт с расширением .js , который инициирует процесс загрузки шифровальщика из хакерских серверов.

    Тут важно отметить, что шифровальщик Vault — это не запрещенное криптографическое приложение GPG, использующее алгоритм rsa-1024 для шифрования файлов. Само приложение якобы не является вирусом, поэтому антивирусные программы не будут его перехватывать. После того, как шифровальщик начнет действовать на вашем компьютере, то он сразу же создаст на вашем компьютере открытый ключ шифрования, а на сервере мошенников будет сформирован закрытый ключ. Также заметим, что в ряде случаев ПО способно заражать компьютеры, которые находятся в одной сети с вашим, уже пораженным.

    Удаление шифровальщика Vault

    Как только вы заметите на ваших файлах расширение .vault , то сразу вырубайте сеть, прекращайте выполнять работу в приложениях, не стоит также открывать папки лишний раз. Перезагрузитесь и войдите через безопасный режим.

    Удалить ПО несложно — просто вбейте в поиске Google запрос «популярные программы для удаления шифраторов». Но это не решит проблему — все только начинается, к сожалению.

    Сам так называемый вирус прячется в папке Temp , и состоит он из таких файлов:

    • 3c21b8d9.cmd;
    • fabac41c.js;
    • VAULT.txt;
    • Sdc0.bat;
    • VAULT.KEY;
    • CONFIRMATION.KEY.

    Все вышеперечисленные файлы, кроме двух последних, можно удалять (об этом далее!). Запустите какой-нибудь клинер, почистите реестр, автозагрузку. Те два файла необходимо оставлять на компьютере потому что:

    • VAULT.KEY — это ключ шифрования. Если вы его удалите, то навечно заблокируете свои файлы, то есть удалять этот файл нельзя ни в коем случае!;
    • CONFIRMATION.KEY — содержит точную информацию о количестве заблокированных файлов, необходим для злоумышленников.

    Восстановление файлов Ваулт

    Самое страшное и неприятное — файлы останутся зашифрованными до тех пор, пока вы не заплатите злоумышленникам. Бесплатных дешифраторов Vault просто не существует, а файлы с ключом rsa-1024 открываются только исходной программой (которая, конечно, находится у хакеров).

    Способы восстановления ПК от Vault:

    • Если у вас активен инструмент восстановления системы, то вы сможете восстановить старые версии файлов. Чтобы это сделать зайдите в свойства файла и перейдите на вкладку «Предыдущие версии»;
    • В случае с сетевыми дисками — проверьте корзину — там могут находиться нормальные версии файлов;
    • Если вы пользуетесь облачным хранилищем, то просмотрите корзину и там. Вдруг там что-то завалялось из ваших документов или файлов.

    Если вы ничего не нашли, у нас плохие новости — для восстановления файлов Vault придется платить злоумышленникам. Тут заметим немаловажный момент: на форумах люди пишут, что мошенники реально восстанавливают файлы, но только нужно заплатить. Было бы это не так, об этом бы сразу же «раскричалось» и люди бы не велись на это.

    Как платить мошенникам — вы узнаете из текстового файла (появляется при попытке открыть зашифрованный Vault файл). Вам придется запустить браузер Тоr и перейти на сайт злоумышленников. Тут будет мануал по работе с сайтом и внимание — у них имеется даже гибкая система скидок для восстановления файлов поражённых вирусом Vault.

    Если у Вас не получается что то сделать самостоятельно, то советуем обратится в скорую компьютерную помощь — pchelp24.com, приемлемые цены, опытные специалисты, бесплатный вызов и диагностика.