Шифрование данных - это новый способ с помощью которого мошенники пытаются получить денежные средства с обманутых людей. По сети, уже очень давно ходит такие вирусы, которые шифруют все документы, картинки и прочее файлы, устанавливая им различные не понятные , после чего появляется сообщение о том, что для расшифровки нужно отправить 5000 рублей, и только тогда вы сможете получить обратно свои файлы.

Как бы это не было грустно, но многие ведутся на эти обманны и попросту из-за безысходности, да бы сохранить свои фотки или вордовские документы, платят этим мошенникам деньги, чем и мотивируют их на продолжение своей беззаконной деятельности.

Так вот, сейчас расскажу вам, что такое Vault вирус и как можно восстановить файлы, после заражения . Именно этот вирус последнее время начал бродить по сети. Распространялся он по почте (E-Mail ), в виде письма от бухгалтерии, типа: “Очень важные документы за ноябрь, обязательно посмотрите”. И как только пользователь открывал архив запускался процесс шифрования файлов в формат Vault. После этого, как правило, уже не один нужный файл больше не открывался корректно.

Видимо это была какая-то очередная массовая рассылка, потому что данную проблему я обнаружил у двух моих знакомых, как оказалось позже, что и на работе вирусом Vault заразилось ещё одиннадцать компьютеров.

Как я пробовал побороть вирус Vault и восстановить поврежденные файлы

Итак, как я думаю, вы уже поняли, что мои друзья обратились ко мне, да бы я помог им вернуть эти файлы, так как на компьютере лежали фотографии, рабочие документы, и много другой полезной информации. Когда я посмотрел на оба компьютера, ситуация была абсолютно одинаковой, одно и тоже письмо от бухгалтерии, и документы все зашифрованы в формат vault.

Как и все, сначала я конечно запустил , сканирование прошло и нашло несколько файлов, которые по окончанию были успешно удалены. Таким образом, возможно, я удалили вирус Vault, и вероятней всего при создание новых файлов они не будут изменены, но зашифрованные файлы в Vault остались в том же формате, а это не то что нам нужно.

В интернете рекомендовали найти ключи в определенных папках. Но, как только я туда полез, там ничего обнаружено не было, причем отрицательный результат касался обоих компьютеров. Потом, ещё рекомендовали восстановить данные, которые были повреждены вирусом Vault, с помощью теневых файлов, но с этим к сожалению как-то тоже не сложилось.

Дальше, я попробовал воспользоваться различными дешифраторами, но они никак не могли справится со свой задачей и не расшифровали файлы с расширением Vault. Причиной этому скорей всего было то, что данные дешифраторы были созданы ещё до появления такого расширения, поэтому скорей всего они не могли распознать новый формат вируса.

Потом, мной было принято следующее решение, я написал в службу поддержки Dr. Web с просьбой помочь удалить вирус Vault и восстановить файлы . Пообщавшись некоторое время в конце концов, я все таки получил ответ на вопрос, как расшифровать файлы в Vault, в виде ещё одного дешифратора.

Запустив его, моей радости не было придела, данный утилита вернула все файлы на свое место причём на обоих компьютера. Да что там я, видели бы вы лица моих знакомых, когда я вернул им их компьютеры.

Лечение вируса Vault и восстановление файлов

Сначала качаем дешифратор вот по и сохраняем куда душа пожелает.

Теперь, запустив его жмем на кнопку «Сontinue ».

После этого появится окно поиска, в котором нужно подставить хотя бы один зашифрованный файл в формате vault .

Пройдет некоторое время поиска подобных данных и их дешифровка обратно в нормальный вид.

Закончив свою работу, вы сможете рядом с зашифрованными увидеть такие же файлы, только в нормальном рабочем состояние.

Как бы на этом всё, вот таким вот образом было найдено решение на вопрос, как лечить вирус Vault и потом восстановить зашифрованные файлы. Отмечу, что должное нужно отдать Dr. Web и сказать им за это огромное спасибо.

Vault — это шифровальщик файлов, заменяющий расширение документов и файлов на свое, после чего открыть их нереально. Поэтому мы подробно разберем, как восстановить файлы повреждённые вирусом Vault.

При попадании на компьютер, вирус Ваулт начинает шифровать файлы с расширением .pdf, .doc, .docx, .zip, .jpeg, .xls, .xlsx и многие другие. После заражения файлы так и будут иметь свое расширение, но к ним дополнительно будет прикреплено расширение.vault. Естественно, после встречи с таким интересным вирусом пользователь как минимум впадет в ступор, и начнет искать пути, которые позволят снова открывать зашифрованные файлы и восстанавливать их. К большому сожалению, нам придется вас разочаровать, ведь простого и бесплатного решения по восстановлению Vault файлов не существует в силу технических особенностей самого шифровальщика. В общем, обо всем по порядку.

Как Vault может попасть на компьютер

Обычно вирус Vault попадает на компьютер после того, как пользователь открыл письмо, пришедшее на электронную почту, в заглавии котором говорится, что его нужно срочно открыть и прочитать. Как правило, это письмо, высланное от имени банка, партнеров или просто какой-то спам. Собственно в нем находится скрипт с расширением .js , который инициирует процесс загрузки шифровальщика из хакерских серверов.

Тут важно отметить, что шифровальщик Vault — это не запрещенное криптографическое приложение GPG, использующее алгоритм rsa-1024 для шифрования файлов. Само приложение якобы не является вирусом, поэтому антивирусные программы не будут его перехватывать. После того, как шифровальщик начнет действовать на вашем компьютере, то он сразу же создаст на вашем компьютере открытый ключ шифрования, а на сервере мошенников будет сформирован закрытый ключ. Также заметим, что в ряде случаев ПО способно заражать компьютеры, которые находятся в одной сети с вашим, уже пораженным.

Удаление шифровальщика Vault

Как только вы заметите на ваших файлах расширение .vault , то сразу вырубайте сеть, прекращайте выполнять работу в приложениях, не стоит также открывать папки лишний раз. Перезагрузитесь и войдите через безопасный режим.

Удалить ПО несложно — просто вбейте в поиске Google запрос «популярные программы для удаления шифраторов». Но это не решит проблему — все только начинается, к сожалению.

Сам так называемый вирус прячется в папке Temp , и состоит он из таких файлов:

• 3c21b8d9.cmd;
• fabac41c.js;
• VAULT.txt;
• Sdc0.bat;
• VAULT.KEY;
• CONFIRMATION.KEY.

Все вышеперечисленные файлы, кроме двух последних, можно удалять (об этом далее!). Запустите какой-нибудь клинер, почистите реестр, автозагрузку. Те два файла необходимо оставлять на компьютере потому что:

• VAULT.KEY — это ключ шифрования. Если вы его удалите, то навечно заблокируете свои файлы, то есть удалять этот файл нельзя ни в коем случае!;
• CONFIRMATION.KEY — содержит точную информацию о количестве заблокированных файлов, необходим для злоумышленников.

Восстановление файлов Ваулт

Самое страшное и неприятное — файлы останутся зашифрованными до тех пор, пока вы не заплатите злоумышленникам. Бесплатных дешифраторов Vault просто не существует, а файлы с ключом rsa-1024 открываются только исходной программой (которая, конечно, находится у хакеров).

Способы восстановления ПК от Vault:

• Если у вас активен инструмент восстановления системы, то вы сможете восстановить старые версии файлов. Чтобы это сделать зайдите в свойства файла и перейдите на вкладку «Предыдущие версии»;
• В случае с сетевыми дисками — проверьте корзину — там могут находиться нормальные версии файлов;
• Если вы пользуетесь облачным хранилищем, то просмотрите корзину и там. Вдруг там что-то завалялось из ваших документов или файлов.

Если вы ничего не нашли, у нас плохие новости — для восстановления файлов Vault придется платить злоумышленникам. Тут заметим немаловажный момент: на форумах люди пишут, что мошенники реально восстанавливают файлы, но только нужно заплатить. Было бы это не так, об этом бы сразу же «раскричалось» и люди бы не велись на это.

Как платить мошенникам — вы узнаете из текстового файла (появляется при попытке открыть зашифрованный Vault файл). Вам придется запустить браузер Тоr и перейти на сайт злоумышленников. Тут будет мануал по работе с сайтом и внимание — у них имеется даже гибкая система скидок для восстановления файлов поражённых вирусом Vault.

Если у Вас не получается что то сделать самостоятельно, то советуем обратится в скорую компьютерную помощь — pchelp24.com, приемлемые цены, опытные специалисты, бесплатный вызов и диагностика.

Наша статья посвящена очередному «шедевру» хакеров — вирусу-шифровальщику Vault. Мы расскажем что это за вирус Ваулт и как он действует на систему. Рассмотрим варианты, при которых можно восстановить файлы.

Вирус Vault — что делать?!

Одним «прекрасным» днем вы открыли свой рабочий стол и увидели запущенный блокнот со следующим текстом:

Исходя из этого, становится ясно — вы стали «горе-обладателем» вируса Ваулт. Этот вирус заражает компьютер и начинает шифровать ваши файлы. Так под шифрование попадают файлы с расширением.pdf, .doc, .docx, .xls, .xlsx, .jpeg, .zip и др. После работы вируса, к имени файла прибавляется расширение.vault. Также вирус, в некоторых случаях, действует на локальные базы 1C. Как видите, vault шифрует все популярные для работы документы.

Наверное вы зададитесь вопросом: А как же vault попал на мой компьютер? Тут все проще простого, злоумышленники выслали на вашу электронную почту письмо. Название письма говорило о его важности и необходимости срочно открыть и прочитать его. Это могло быть письмо от банка, партнеров или какое-нибудь выгодное предложение. В этом письме имелся вложенный документ с расширением.js (ява скрипт).

При запуске (а вы его запустили!) это вирус-расширение скачивает из хакерских серверов программу шифровальщик. В вашем случае, вирус шифровальщик Vault — это легитимное криптографическое ПО GPG (GnuPG) , использующая популярный алгоритм шифрования rsa-1024. Программа не является вирусом, поэтому антивирусы её не блокируют и допускают её работу. GPG формирует открытый (на вашем ПК) и закрытый (на сервере злоумышленников) ключи шифрования.

Есть много модификаций вируса Vault , к примеру, для Windows 7/ 8, 32-х или 64-х битных систем. И попадая в каждую, вирус действует по своему. Также вирус может шифровать компьютеры находящиеся в одной сети с вашим.

Как убрать вирус Vault из компьютера?

Вирус действует таким образом, что в папке с исходным файлом, создается аналогичный с расширением.gpg. Далее этот файл встает заменяет исходный файл и добавляет расширение vault. Простым переименованием документа тут не отделаться. Поэтому давайте разбираться, как восстановить файлы и убрать вирус vault.

Удаление самого вируса

Как только вы обнаружили расширение vault на ваших документах, то сразу отключите сеть, и прекратите работу со всеми приложениями, не открывайте папки на дисках лишний раз. Войдите в систему через безопасный режим.

В плане удаления, вирус Ваулт не сложный. Удалить его не представляется трудным, для этого воспользуйтесь самыми популярными программами для удаления таких вирусов шифраторов, банерной рекламы, троянов. Но проблемы будут дальше:(.

Что нужно знать — так это то, что само тело вируса спрятано в папке Temp. Состоит вирус из следующих файлов:

• 3c21b8d9.cmd;
• fabac41c.js;
• VAULT.txt;
• Sdc0.bat;
• VAULT.KEY;
• CONFIRMATION.KEY.

Все эти файлы, кроме двух последних (!), нужно удалить. Далее запустите клинер, очистите автозагрузку, проверьте реестр на наличие ошибок (для Windows 7/8/10 принцип одинаков). Последние 2 файла нужно оставить на компьютере, так как:

1. VAULT.KEY — непосредственно сам ключ шифрования. Его удалять нельзя ни в коем случае! Он передается злоумышленникам, анализируя его, они выдадут вам вторую часть ключа для расшифровки.
2. CONFIRMATION.KEY — файл с полной информацией о количестве зашифрованных файлов на ПК. он тоже необходим для хакеров.

Восстановление файлов с расширением.vault бесплатно

Таким образом, мы подошли к самому страшному — файлы остались зашифрованными. бесплатных дешифраторов для вируса vault не существует. Расшифровать файлы с ключом rsa-1024 может только сама исходная программа.

Какие есть способы для восстановления файлов:

Если вы ничего не нашли в Корзинах и нет точек восстановления системы, то вам придется платить злоумышленникам. Тут ничего не поделаешь. Анализируя диалоги на форумах, следует вывод — что злоумышленники реально расшифровывают файлы, но за это нужно платить. Будь это неправда, молва в интернете давно бы это разнесла, и люди бы не велись на это. Следует понимать, что это целая «бизнес-система» — вы попались, теперь платите и все будет хорошо.

Дошло до того, что в интернете уже есть супер-агенты! То есть посредники, которые свяжутся за вас со злоумышленниками и решат все ваши проблемы. Вестись на это или нет, ваше дело. Не хотите сами делать — платите больше.

Следуя инструкциям из текстового файла, вы запустите браузер Tor (специально для затирания IP), далее вы попадете на один из сайтов злоумышленников. Здесь есть мануал по работе с сайтом и даже система скидок:(.

А как же антивирус?

К сожалению, как писалось выше, антивирусные программы Dr Web, Kaspersky, Avast и др. — ничего сделать не могут. Ведь программа не является вирусом по сути. Официальные запросы в техподдержку Лаборатории Касперского заканчиваются развернутыми рассказами о vault и предложениями воспользоваться их дешифраторами RannohDecryptor , ScatterDecryptor , Rector Decryptor , RakhniDecryptor или Xorist Decryptor. Доктор Веб вообще советует обратиться в полицию, по факту несанкционированного доступа к компьютеру. Ну что ж, спасибо Доктор.

Как видите вариантов не много, и если файлы вам действительно важны, придется платить. Тянуть с этим тоже нельзя, сервера с базами и сайты постоянно перемещаются — удаляются старые и появляются новые.

И вот небольшое видео, где можно увидеть как действует вирус Vault на систему. Это видео не является рекламой:).

Утилита Kaspresky RakhniDecryptor расшифрует файлы, расширения которых изменились по следующим шаблонам:

• Trojan-Ransom.Win32.Rakhni:
  • <имя_файла>.<оригинальное_расширение>.locked;
  • <имя_файла>.<оригинальное_расширение>.kraken;
  • <имя_файла>.<оригинальное_расширение>.darkness;
  • <имя_файла>.<оригинальное_расширение>.oshit;
  • <имя_файла>.<оригинальное_расширение>.nochance;
  • <имя_файла>.<оригинальное_расширение>.oplata@qq_com;
  • <имя_файла>.<оригинальное_расширение>.relock@qq_com;
  • <имя_файла>.<оригинальное_расширение>.crypto;
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>.p***a@qq_com;
  • <имя_файла>.<оригинальное_расширение>.dyatel@qq_com;
  • <имя_файла>.<оригинальное_расширение>.nalog@qq_com;
  • <имя_файла>.<оригинальное_расширение>.chifrator@gmail_com;
  • <имя_файла>.<оригинальное_расширение>.gruzin@qq_com;
  • <имя_файла>.<оригинальное_расширение>.troyancoder@gmail_com;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id373;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id371;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id372;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id374;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id375;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id376;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id392;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id357;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id356;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id358;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id359;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id360;
  • <имя_файла>.<оригинальное_расширение>.coderksu@gmail_com_id20.

Trojan-Ransom.Win32.Rakhni создает файл exit.hhr.oshit, в котором в зашифрованном виде содержится пароль от файлов пользователя. Если на зараженном компьютере сохранился этот файл, расшифровка произойдет значительно быстрее. Если же файл exit.hhr.oshit был удален, восстановите его при помощи программ восстановления удаленных файлов, а затем поместите в папку %APPDATA% и заново запустите проверку утилитой. Файл exit.hhr.oshit вы можете найти по следующему пути: C:\Users<имя_пользователя>\AppData\Roaming

• Trojan-Ransom.Win32.Mor: <имя_файла>.<оригинальное_расширение>_crypt.
• Trojan-Ransom.Win32.Autoit: <имя_файла>.<оригинальное_расширение>.<[email protected]_.буквы>.
• Trojan-Ransom.MSIL.Lortok:
  • <имя_файла>.<оригинальное_расширение>.cry;
  • <имя_файла>.<оригинальное_расширение>.AES256.
• Trojan-Ransom.AndroidOS.Pletor: <имя_файла>.<оригинальное_расширение>.enc.
• Trojan-Ransom.Win32.Agent.iih: <имя_файла>.<оригинальное_расширение>+.
• Trojan-Ransom.Win32.CryFile: <имя_файла>.<оригинальное_расширение>.encrypted.
• Trojan-Ransom.Win32.Democry:
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.777>;
  • <имя_файла>.<оригинальное_расширение>+<._дата-время_$почта@домен$.legion>.
• Trojan-Ransom.Win32.Bitman версии 3:
  • <имя_файла>.xxx;
  • <имя_файла>.ttt;
  • <имя_файла>.micro;
  • <имя_файла>.mp3.
• Trojan-Ransom.Win32.Bitman версии 4: <имя_файла>.<оригинальное_расширение> (имя и расширение файла не меняется).
• Trojan-Ransom.Win32.Libra:
  • <имя_файла>.encrypted;
  • <имя_файла>.locked;
  • <имя_файла>.SecureCrypted.
• Trojan-Ransom.MSIL.Lobzik:
  • <имя_файла>.fun;
  • <имя_файла>.gws;
  • <имя_файла>.btc;
  • <имя_файла>.AFD;
  • <имя_файла>.porno;
  • <имя_файла>.pornoransom;
  • <имя_файла>.epic;
  • <имя_файла>.encrypted;
  • <имя_файла>.J;
  • <имя_файла>.payransom;
  • <имя_файла>.paybtcs;
  • <имя_файла>.paymds;
  • <имя_файла>.paymrss;
  • <имя_файла>.paymrts;
  • <имя_файла>.paymst;
  • <имя_файла>.paymts;
  • <имя_файла>.gefickt;
  • <имя_файла>[email protected].
• Trojan-Ransom.Win32.Mircop: .<имя_файла>.<оригинальное_расширение>.
• Trojan-Ransom.Win32.Crusis (Dharma):
  • <имя_файла>.ID<…>.@..xtbl;
  • <имя_файла>.ID<…>.@..CrySiS;
  • <имя_файла>.id-<…>.@..xtbl;
  • <имя_файла>.id-<…>.@..wallet;
  • <имя_файла>.id-<…>.@..dhrama;
  • <имя_файла>.id-<…>.@..onion;
  • <имя_файла>.@..wallet;
  • <имя_файла>.@..dhrama;
  • <имя_файла>.@..onion.

Примеры некоторых вредоносных адресов-распространителей:

• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected].
• Trojan-Ransom.Win32.Nemchig: <имя_файла>.<оригинальное_расширение>[email protected].
• Trojan-Ransom.Win32.Lamer:
  • <имя_файла>.<оригинальное_расширение>.bloked;
  • <имя_файла>.<оригинальное_расширение>.cripaaaa;
  • <имя_файла>.<оригинальное_расширение>.smit;
  • <имя_файла>.<оригинальное_расширение>.fajlovnet;
  • <имя_файла>.<оригинальное_расширение>.filesfucked;
  • <имя_файла>.<оригинальное_расширение>.criptx;
  • <имя_файла>.<оригинальное_расширение>.gopaymeb;
  • <имя_файла>.<оригинальное_расширение>.cripted;
  • <имя_файла>.<оригинальное_расширение>.bnmntftfmn;
  • <имя_файла>.<оригинальное_расширение>.criptiks;
  • <имя_файла>.<оригинальное_расширение>.cripttt;
  • <имя_файла>.<оригинальное_расширение>.hithere;
  • <имя_файла>.<оригинальное_расширение>.aga.
• Trojan-Ransom.Win32.Cryptokluchen:
  • <имя_файла>.<оригинальное_расширение>.AMBA;
  • <имя_файла>.<оригинальное_расширение>.PLAGUE17;
  • <имя_файла>.<оригинальное_расширение>.ktldll.
• Trojan-Ransom.Win32.Rotor:
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected];
  • <имя_файла>.<оригинальное_расширение>[email protected]_.crypt;
  • <имя_файла>.<оригинальное_расширение>[email protected]____.crypt;
  • <имя_файла>.<оригинальное_расширение>[email protected]_______.crypt;
  • <имя_файла>.<оригинальное_расширение>[email protected]___.crypt;
  • <имя_файла>.<оригинальное_расширение>[email protected]==.crypt;
  • <имя_файла>.<оригинальное_расширение>[email protected]=--.crypt.

Если файл зашифрован с расширением CRYPT, расшифровка может длиться долго. Например, на процессоре Intel Core i5-2400 она может занять около 120 суток.

• Trojan-Ransom.Win32.Chimera:
  • <имя_файла>.<оригинальное_расширение>.crypt;
  • <имя_файла>.<оригинальное_расширение>.<4 произвольных символа>.
• Trojan-Ransom.Win32.AecHu:
  • <имя_файла>.aes256;
  • <имя_файла>.aes_ni;
  • <имя_файла>.aes_ni_gov;
  • <имя_файла>.aes_ni_0day;
  • <имя_файла>.lock;
  • <имя_файла>.decrypr_helper@freemail_hu;
  • <имя_файла>[email protected];
  • <имя_файла>.~xdata.
• Trojan-Ransom.Win32.Jaff:
  • <имя_файла>.jaff;
  • <имя_файла>.wlu;
  • <имя_файла>.sVn.

• Trojan-Ransom.Win32.Cryakl: email-<...>.ver-<...>.id-<...>.randomname-<...>.<случайное_расширение>.

• Версия вредоносной программы	Адрес электронной почты злоумышленников
  	[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
  	[email protected]_graf1 [email protected]_mod [email protected]_mod2
  	[email protected] [email protected]
  	[email protected]
  	[email protected] [email protected][email protected] [email protected]

Как расшифровать файлы утилитой Kaspersky RakhniDecryptor

1. Скачайте архив RakhniDecryptor.zip и распакуйте его. Инструкция в статье .
2. Перейдите в папку с файлами из архива.
3. Запустите файл RakhniDecryptor.exe.
4. Нажмите Изменить параметры проверки .

1. Выберите объекты для проверки: жесткие диски, сменные диски или сетевые диски.
2. Установите флажок Удалять зашифрованные файлы после успешной расшифровки . В этом случае утилита будет удалять копии зашифрованных файлов с присвоенными расширениями LOCKED, KRAKEN, DARKNESS и т.д.
3. Нажмите ОК .

1. Нажмите Начать проверку .

1. Выберите зашифрованный файл и нажмите Открыть .

1. Прочитайте предупреждение и нажмите ОК .

Файлы будут расшифрованы.

Файл может быть зашифрован с расширением CRYPT более одного раза. Например, если файл тест.doc зашифрован два раза, первый слой утилита RakhniDecryptor расшифрует в файл тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись: «Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR». Этот файл необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием тест.doc.

Параметры для запуска утилиты из командной строки

Для удобства и ускорения процесса расшифровки файлов Kaspersky RakhniDecryptor поддерживает следующие параметры командной строки:

Имя команды	Значение	Пример
–threads	Запуск утилиты с подбором пароля в несколько потоков. Если параметр не задан, количество потоков равно количеству процессорных ядер.	RakhniDecryptor.exe –threads 6
–start <число> –end <число>	Возобновление подбора пароля с определенного состояния. Минимальное число 0. Остановка подбора пароля на определенном состоянии. Максимальное число 1 000 000. Подбор пароля в диапазоне между двумя состояниями.	RakhniDecryptor.exe –start 123 RakhniDecryptor.exe –end 123 RakhniDecryptor.exe –start 100 –end 50000
-l <название файла с указанием полного пути к нему>	Указание пути к файлу, где должен сохраняться отчет о работе утилиты.	RakhniDecryptor.exe -l C:Users\Administrator\RakhniReport.txt
-h	Вывод справки о доступных параметрах командной строки	RakhniDecryptor.exe -h

В этой заметке пойдет речь об одном вирусе, и честно говоря, я ничего подобного ранее не встречал. Не спорю, что были мощные вирусы, тот же Kido, который попортил нервы как простым пользователям так и различным организациям. Но вирус Vault (это семейство Trojan.Encoder) использует совсем иной подход, то есть тут как бы ничего не портится, а используются вполне нормальный инструмент для работы с файлами — это шифрование, но только в плохих целях…

Шифрование файлов, это когда сами файлы обрабатываются при помощи специального ключа (не стоит путать с паролем, так как этот ключ в тысячи раз надежнее, и подобрать его просто невозможно), при этом они становятся недоступными, то есть если их не расшифровать, то с ними вообще ничего сделать нельзя — останется только удалить. Сам файл даже в глазах человека, который занимается дешифрацией, выглядит просто как каша из кода, где все перемешано и ничего непонятно. Вирус Vault именно так и работает, он шифрует файлы, и все вернуть обратно можно только если перевести некоторую сумму хакерам, но поразительно то, что это единственный способ вернуть файлы!

Если вам предлагают расшифровать такие файлы, и при этом просят денег, то будьте уверены что это мошенники. Расшифровать файлы могут только те хакеры, которые создали вирус и никак иначе. Подобрать ключ нельзя даже на программном уровне — он слишком сложный. Хотя нет, подобрать его можно и над этим работают, но, для этого нужен не один и не сто компьютеров, а миллион и подбираться он может от нескольких недель до нескольких лет, а то и больше — то есть опять вернемся к тому, что подобрать его простым пользователям нереально.

Как попадает Vault вирус на компьютер?

Но как этот вирус появляется на компе? Ну смотрите сами — вам на почту приходит письмо с вложением в виде документа (как банально то), но заголовок письма такой, что открыть его ну очень хочется (врать не стану, я что-то подобное открывал, но никакие вложения и близко не смотрел!). В итоге вы смотрите документ во вложении, и в это время начинает работать вложенный скрипт в документ, он имеет расширение.js, то есть то java-скрипт. Как вы уже догадались, запускается этот скрипт автоматически при открытии вложения и как можно быстрее старается загрузить модули для запуска процесса шифрования.

Как это все работает? В обычный doc-файл вставляется текст, который или невозможно прочитать, или там какая-то типа ошибка, в общем что-то написано что побуждает к действиям (пример на картинке ниже). Мол нажмите тут, чтобы открыть файл. Тут — это макрос-скрипт, который и загружает сам исполняемый файл вируса во временную папку (так как права на запуск у этой папки есть). Почему Windows молчит? Потому что пользователь сам открыл документ и сам запустил активное содержимое документа, то есть все нормально, пользователь все сам вручную нажал.

Вот пример другого письма с вирусом:

• Тема письма: Акт сверки за 2014 год
  От кого: ООО ПК «МОСТЕМ»

  Тело письма:

  Здравствуйте,

  Прошу ознакомиться с актом сверки за 2014 год — в приложении.
  Наши бухгалтера выявили, что за прошлый году Вас есть перед нами небольшой долг.
  Проверьте данные, указанные в акте, и сообщите о сроках погашения задолженности.

  Прикреплённые файлы:
  1. Акт сверки за 2014г.zip (а внутри может быть и просто скрипт типа Акт сверки за 2014г.doc.js)

  С уважением,
  Зам.главного бухгалтера
  Супрыкина Оксана Игоревна

Сам процесс работы вируса вы можете увидеть на этой картинке:

Шифровальщик не может быть вирусом, ибо это алгоритм RSA-1024, и призван для шифровки файлов. А то, что вирус Vault использует шифрование не по назначению, то это уже другое дело.

После успешного заражения вирусом Vault, после того как он зашифровал почти все ваши файлы, то вы увидите текстовый документ с таким содержанием:

То есть вполне культурно и спокойно написано о том, что ваши файлы тупо заблокированы, и подобрать ключ вы самостоятельно не сможете, что он безопасно хранится у них на сервере, а также то, что хакеры готов торговаться (ну и наглость же).

После работы вируса, файлы обзаводятся вот меткой.vault (второе расширение) в конце своего имени:

Вирус шифрует почти все популярные форматы файлов, и картинки и формат книг pdf, doc и другие документы, и даже архивы zip/rar. Но что самое опасное, что под влияние вируса могут попасть и базы 1C, это уже куда серьезнее, так как обычно это компьютеры организаций, предприятий и даже банков.

Вирус спокойно работает почти во всех современных версиях Windows, при этом поведение его может немного отличатся, например в некоторых случаях заражению также подвергаются файлы в локальной сети.

Удаление вируса Vault

Удалить вирус не особо сложно, здесь не будет подводных камней — вам просто нужно уничтожить все содержимое папки %temp% того пользователя, под которым и произошло заражение файлов.

Что я советую? В интернете скачайте какой-то live-cd диск, где есть антивирус. Запишите все это на флешку (как правило на торрентах, откуда можно скачать live-cd, есть также и инструкция о том, как записать на флешку), потом загрузитесь, перейдите в папку %temp% и очистите ее полностью. После этого можете проверить компьютер на вирусы, мало ли что. Беда еще в том, что вы просто удалите вирус с компа, то есть его не будет — но все последствия то останутся.. увы, как я уже писал, шифрование файлов взломать простым пользователям нереально.

Итак, какие файлы Vault содержатся в папке %temp%:

• 3c21b8d9.cmd
• 04fba9ba_VAULT.KEY
• CONFIRMATION.KEY (в этом файле хранятся записи о количестве файлов, которые имеют метку vault, то есть зашифрованы; именно это количество и определяет конечную цену за получение второго ключа для расшифровки; этот файл нужно сохранить, если вы хотите вернуть доступ к файлам)
• fabac41c.js (основная часть вируса)
• Sdc0.bat
• VAULT.KEY (первый ключ шифрования, при восстановлении файлов его вместе с первым CONFIRMATION.KEY нужно отправить хакерам, а они на основе его выдадут вам второй ключ, который уже пригоден для расшифровки);
• VAULT.txt
• revlt.js
• svchost.exe (имя такое же как у системного процессора, но расположен в папке temp)

Имена фалов могут быть немного изменены, иногда их меньше.

Некоторые версии вируса Vault хранят файлы VAULT.KEY и CONFIRMATION.KEY в папке %appdata%.

Если попробовать открыть какой-то файл с меткой, то скорее всего вы увидите такое сообщение:

Как восстановить файлы после вируса Vault?

Да, действительно, было бы здорово просто воспользоваться таким инструментом как дешифратор Vault, но увы, такого инструмента нет. И нет его потому, что у каждого компьютера свой ключ, и только имея его и файл с записями зараженных обьектов, можно восстановить доступ к файлам, отправивши это все злоумышленникам.

Если у вас включена защита для каждого диска, то это здорово. При такой защите, вы можете восстановить прежнее состояние файла или папки, все это находится в свойствах каждого файла (но некоторые версии Vault удаляют данные для восстановления, только при включенном UAC вы увидите запрос, еще один аргумент что UAC лучше не отключать!). Можно попробовать восстановить предыдущее состояние компьютера при помощи точки восстановления (в панели управления пункт Восстановление).

Если у вас защита не включена, то увы, у меня для вас неутешительные новости. Скорее всего восстановить файлы у вас не получится, если только вы не заплатите круглую сумму злоумышленникам. Да, это реально работает, но для этого вам нужно иметь два файла, я о них писал выше.

Также хочу вас предупредить, что других способов расшифровать файлы — нет. Это ведь не просто вирус, это вирус, который использует вполне нормальные механизмы, которые не вызывают подозрения у антивирусов, поэтому не стоит писать и тех. поддержку им, вам все равно не помогут ничем. Ну, например, это тоже самое если бы архиватор WinRAR антивирусом воспринимался за вирус только потому, что в нем есть возможность поставить архив под пароль.

Так что тут только вариант, это платить. При этом, те хакеры смотрят, какие именно файлы у вас зашифрованы. Ну и на основе этого они могут цену или повысить до достаточно большой, или наоборот — снизить (были случаи как $50 так и $500). При оплате вы получаете только один ключ для дешифратора Vault и для одного компьютера, с которого вы отправляли VAULT.KEY и CONFIRMATION.KEY.

Оплата производится только через BitCoin и только при использовании анонимной сети Tor. Это все, что первое, что второе — анонимные инструменты, самые популярные и самые эффективные на сегодняшний день. Именно поэтому, хакеров и не могут пока (?) поймать. Хотя, опять же, как я уже писал вначале — очень удивлен такому наглому поведению.

Следуя инструкции, вам нужно будет перейти на сайт restoredz4xpmuqr.onion, указать файл VAULT.KEY (о нем писал выше):

После чего вы попадете в личный кабинет:

Какие можно сделать выводы?

Мои мысли так бы сказать:

Надеюсь что написал все доступно и информацией хотя бы вы уже вооружены, так что будьте осторожны и учите фаервол, грамотная его настройка обезопасит вас от подобных вирусов.

16.01.2016