Vault расшифровка kaspersky. Как восстановить файлы после заражения вирусом Vault

Vault расшифровка kaspersky. Как восстановить файлы после заражения вирусом Vault
Vault расшифровка kaspersky. Как восстановить файлы после заражения вирусом Vault

Vault - это не просто вирус, это шифровальщик файлов. Он проникает на ваш компьютер, меняет расширение всех ваших файлов на свое,после чего вы не можете их открыть. Даже если вы переименуете файлы в необходимый формат и откроете, вы увидите на экране только “кашу” из непонятных символов. Сегодня мы поговорим о том, как удалить вирус Vault и восстановить файлы, которые он зашифровал.

Вирус Vault является одним из видов трояна. Для того, чтобы попасть на компьютер пользователя, злоумышленники обычно используют методы социальной инженерии. Этот может быть письмо из суда, фото от друга в вк или безобидная ссылка от симпатичной девушки. После того, как вы откроете письмо и запустите искомый файл, шифратор Vault начинает свою работу.

Vault шифрует ваши данные с помощью уникального алгоритма. После завершения необходимых операций ключ дешифровки безвозвратно удаляется из системы. На вашем компьютере преступники оставляют контактную информацию для связи с ними. Их цель – это получить денежную компенсацию за дешифратор Vault . Однако даже в случае выплаты выкупа вы не можете быть уверены в том, что все ваши данные будут восстановлены, хотя это и возможно.

Целью разработчиков вируса Vault является получение прибыли. Таким образом, в первую очередь они стараются зашифровать важные данные как для конкретного пользователя ПК, так и для организации. Обычно под их удар попадают следующие файлы:

  • .mp3, .ogg, .avi, .mpeg – медиаданные пользователя
  • .jpg, .psd – графически материалы
  • .rar, .zip, .doc, .xls, .ppt, .pdf – архивы, презентации, документы, таблицы
  • .html, .txt, базы данных 1С и т.д. – важные документы, базы программ типа 1С, бухгалтерии и т.д

Вирус Vault в первую очередь постарается зашифровать файлы с данными расширениями, а потом примется и за другие.

Если у вас отсутствует антивирусная защита на вашем компьютере – то вы вполне можете стать жертвой заражения шифровальщиком vault. Ненамного лучше, если вы используете устаревшее или ненадежное ПО. Рекомендую вам установить один из , чтобы быть в относительной безопасности.

Однако, даже установка хорошего антивируса не является гарантией того, что вы избежите заражения. Да что там – даже пользователи мощных корпоративных пакетов часто становятся жертвой данного трояна.

Отделы it-безопасности компаний ESET и Dr.Web разработали небольшую памятку, которая увеличит безопасность вашего компьютера и поможет избежать зашифровки и потери важных файлов:

  • открывайте с осторожностью ссылки, полученные от знакомых людей и не открывайте вовсе, полученные от незнакомых
  • включите автоматическое обновление ОС и обязательно устанавливайте все критические и важные обновления
  • останавливайте свой выбор только на мощных антивирусных пакетах
  • если у вас свой почтовый сервер – установите запрет на передаче исполняемых файлов в письмах
  • отключите макросы в Microsoft Office (или в подобном ему ПО)
  • постоянно делайте бэкап важных данных. В этом вам помогут

Удалить или “вылечить” вирус Vault крайне просто. Обычно для этого достаточно просканировать жесткий диск вашего компьютера утилитой типа CureIt от Dr.Web. Однако не забывайте о том, что удаление зашифрованных файлов или переустановка Windows сведет шансы на успешной восстановление данных практически к нулю.

Таким образом, удалить вирус легко, однако восстановить зашифрованные данные гораздо сложнее!

Если же у вас есть резервная копия нужных данных, то можете смело форматировать жесткий диск и ставить ОС заново – от вируса не останется и следа.

Если вы поняли, что с вашем компьютером что-то не так и подозреваете, что он заражен – то стоит немедленно выключить его. Чем больше времени проработает шифратор vault, тем больше данных вы потеряете.

Скажу еще раз: полное сканирование диска антивирусными программами и , переустановка ОС и прочие действия, которые пользователи привыкли проводить при вирусном заражении, крайне сильно уменьшат шансы на восстановление зашифрованных данных.

Из-за сложности алгоритма шифрования пока что не существует дешифратора vault.

А что насчет точек восстановления системы? Дело в том, разработчики вируса позаботились и об этом! Точки восстановления безвозвратно удаляются, как и теневые копии системы. Вы можете попытаться восстановить их с помощью Shadow Editor, но, в общем, это гиблое дело. Разработчики вируса постоянно совершенствуют свое детище, как это не прискорбно.

Впрочем, если вы пользуетесь лицензионным антивирусом от NOD32 или Dr.Web, вы можете попробовать обратиться в техподдержку с запросом о расшифровке данных. Форма заявки NOD32 и Dr.Web для расшифровки данных, которые зашифровал вирус vault.

Кроме этого, вы можете обратиться в полицию, так как в действиях разработчиков и распространителей данного ПО присутствует состав преступления. Впрочем, навряд ли это поможет восстановить ваши данные…

К сожалению, скорее всего данные действия не принесут желанного результата. Поэтому у вас есть два выхода:

  • Положить жесткий диск на полку и ждать, когда появится дешифратор vault
  • Заплатить преступникам. Чаще всего они действительно высылают ключ, который расшифровывает ваши данные, хотя и не все. Обычно они требуют прислать им определенный файл, в котором перечислен объем и тип зашифрованных файлов. После этого они называют “сумму выкупа”, которую необходимо перечислить на их кошелек Bitcoin.

Реклама о дешифраторе Vault в интернете

После того, как появились жертвы заражения вирусом vault, появились и сайты, которые предлагали свои услуги по дешифровке вашей информации. В 99% случаем это обычное мошенничество, так как такого дешифратора не существует в природе. И если ведущие специалисты по информационной безопасности не смогли создать подобный дешифратор (в том числе и разработчики антивируса Касперский), то как это удалось безымянной конторе из интернета?

Чаще всего создатели таких сайтов вступают в переговоры с разработчиками вируса, договариваются об определенной сумме выкупа и берут с вас не только эту сумму, но свой “барыш”. Соответственно, даже в этом случае никто не дает вам 100%-ной гарантии восстановления потерянных файлов. А если дают – то они просто обманывают вас.

Итак, сегодня мы поговорили о вирусе шифраторе vault . Мы узнали, что это за вирус, какие файлы он зашифровывает, как уберечься от заражения и как восстановить потерянные файлы. Помните, что лучше соблюдать простые правила безопасности, указанные в статье, чем потом платить выкуп преступникам или верить словам мошенников в сети, которые предлагают купить вам дешифратор vault .

В этой заметке пойдет речь об одном вирусе, и честно говоря, я ничего подобного ранее не встречал. Не спорю, что были мощные вирусы, тот же Kido, который попортил нервы как простым пользователям так и различным организациям. Но вирус Vault (это семейство Trojan.Encoder) использует совсем иной подход, то есть тут как бы ничего не портится, а используются вполне нормальный инструмент для работы с файлами — это шифрование, но только в плохих целях…

Шифрование файлов, это когда сами файлы обрабатываются при помощи специального ключа (не стоит путать с паролем, так как этот ключ в тысячи раз надежнее, и подобрать его просто невозможно), при этом они становятся недоступными, то есть если их не расшифровать, то с ними вообще ничего сделать нельзя — останется только удалить. Сам файл даже в глазах человека, который занимается дешифрацией, выглядит просто как каша из кода, где все перемешано и ничего непонятно. Вирус Vault именно так и работает, он шифрует файлы, и все вернуть обратно можно только если перевести некоторую сумму хакерам, но поразительно то, что это единственный способ вернуть файлы!

Если вам предлагают расшифровать такие файлы, и при этом просят денег, то будьте уверены что это мошенники. Расшифровать файлы могут только те хакеры, которые создали вирус и никак иначе. Подобрать ключ нельзя даже на программном уровне — он слишком сложный. Хотя нет, подобрать его можно и над этим работают, но, для этого нужен не один и не сто компьютеров, а миллион и подбираться он может от нескольких недель до нескольких лет, а то и больше — то есть опять вернемся к тому, что подобрать его простым пользователям нереально.

Как попадает Vault вирус на компьютер?

Но как этот вирус появляется на компе? Ну смотрите сами — вам на почту приходит письмо с вложением в виде документа (как банально то), но заголовок письма такой, что открыть его ну очень хочется (врать не стану, я что-то подобное открывал, но никакие вложения и близко не смотрел!). В итоге вы смотрите документ во вложении, и в это время начинает работать вложенный скрипт в документ, он имеет расширение.js, то есть то java-скрипт. Как вы уже догадались, запускается этот скрипт автоматически при открытии вложения и как можно быстрее старается загрузить модули для запуска процесса шифрования.

Как это все работает? В обычный doc-файл вставляется текст, который или невозможно прочитать, или там какая-то типа ошибка, в общем что-то написано что побуждает к действиям (пример на картинке ниже). Мол нажмите тут, чтобы открыть файл. Тут — это макрос-скрипт, который и загружает сам исполняемый файл вируса во временную папку (так как права на запуск у этой папки есть). Почему Windows молчит? Потому что пользователь сам открыл документ и сам запустил активное содержимое документа, то есть все нормально, пользователь все сам вручную нажал.

Вот пример другого письма с вирусом:

  • Тема письма: Акт сверки за 2014 год
    От кого: ООО ПК «МОСТЕМ»

    Тело письма:

    Здравствуйте,

    Прошу ознакомиться с актом сверки за 2014 год — в приложении.
    Наши бухгалтера выявили, что за прошлый году Вас есть перед нами небольшой долг.
    Проверьте данные, указанные в акте, и сообщите о сроках погашения задолженности.

    Прикреплённые файлы:
    1. Акт сверки за 2014г.zip (а внутри может быть и просто скрипт типа Акт сверки за 2014г.doc.js)

    С уважением,
    Зам.главного бухгалтера
    Супрыкина Оксана Игоревна

Сам процесс работы вируса вы можете увидеть на этой картинке:


Шифровальщик не может быть вирусом, ибо это алгоритм RSA-1024, и призван для шифровки файлов. А то, что вирус Vault использует шифрование не по назначению, то это уже другое дело.

После успешного заражения вирусом Vault, после того как он зашифровал почти все ваши файлы, то вы увидите текстовый документ с таким содержанием:


То есть вполне культурно и спокойно написано о том, что ваши файлы тупо заблокированы, и подобрать ключ вы самостоятельно не сможете, что он безопасно хранится у них на сервере, а также то, что хакеры готов торговаться (ну и наглость же).

После работы вируса, файлы обзаводятся вот меткой.vault (второе расширение) в конце своего имени:


Вирус шифрует почти все популярные форматы файлов, и картинки и формат книг pdf, doc и другие документы, и даже архивы zip/rar. Но что самое опасное, что под влияние вируса могут попасть и базы 1C, это уже куда серьезнее, так как обычно это компьютеры организаций, предприятий и даже банков.

Вирус спокойно работает почти во всех современных версиях Windows, при этом поведение его может немного отличатся, например в некоторых случаях заражению также подвергаются файлы в локальной сети.

Удаление вируса Vault

Удалить вирус не особо сложно, здесь не будет подводных камней — вам просто нужно уничтожить все содержимое папки %temp% того пользователя, под которым и произошло заражение файлов.

Что я советую? В интернете скачайте какой-то live-cd диск, где есть антивирус. Запишите все это на флешку (как правило на торрентах, откуда можно скачать live-cd, есть также и инструкция о том, как записать на флешку), потом загрузитесь, перейдите в папку %temp% и очистите ее полностью. После этого можете проверить компьютер на вирусы, мало ли что. Беда еще в том, что вы просто удалите вирус с компа, то есть его не будет — но все последствия то останутся.. увы, как я уже писал, шифрование файлов взломать простым пользователям нереально.

Итак, какие файлы Vault содержатся в папке %temp%:

  • 3c21b8d9.cmd
  • 04fba9ba_VAULT.KEY
  • CONFIRMATION.KEY (в этом файле хранятся записи о количестве файлов, которые имеют метку vault, то есть зашифрованы; именно это количество и определяет конечную цену за получение второго ключа для расшифровки; этот файл нужно сохранить, если вы хотите вернуть доступ к файлам)
  • fabac41c.js (основная часть вируса)
  • Sdc0.bat
  • VAULT.KEY (первый ключ шифрования, при восстановлении файлов его вместе с первым CONFIRMATION.KEY нужно отправить хакерам, а они на основе его выдадут вам второй ключ, который уже пригоден для расшифровки);
  • VAULT.txt
  • revlt.js
  • svchost.exe (имя такое же как у системного процессора, но расположен в папке temp)

Имена фалов могут быть немного изменены, иногда их меньше.

Некоторые версии вируса Vault хранят файлы VAULT.KEY и CONFIRMATION.KEY в папке %appdata%.

Если попробовать открыть какой-то файл с меткой, то скорее всего вы увидите такое сообщение:


Как восстановить файлы после вируса Vault?

Да, действительно, было бы здорово просто воспользоваться таким инструментом как дешифратор Vault, но увы, такого инструмента нет. И нет его потому, что у каждого компьютера свой ключ, и только имея его и файл с записями зараженных обьектов, можно восстановить доступ к файлам, отправивши это все злоумышленникам.

Если у вас включена защита для каждого диска, то это здорово. При такой защите, вы можете восстановить прежнее состояние файла или папки, все это находится в свойствах каждого файла (но некоторые версии Vault удаляют данные для восстановления, только при включенном UAC вы увидите запрос, еще один аргумент что UAC лучше не отключать!). Можно попробовать восстановить предыдущее состояние компьютера при помощи точки восстановления (в панели управления пункт Восстановление).


Если у вас защита не включена, то увы, у меня для вас неутешительные новости. Скорее всего восстановить файлы у вас не получится, если только вы не заплатите круглую сумму злоумышленникам. Да, это реально работает, но для этого вам нужно иметь два файла, я о них писал выше.

Также хочу вас предупредить, что других способов расшифровать файлы — нет. Это ведь не просто вирус, это вирус, который использует вполне нормальные механизмы, которые не вызывают подозрения у антивирусов, поэтому не стоит писать и тех. поддержку им, вам все равно не помогут ничем. Ну, например, это тоже самое если бы архиватор WinRAR антивирусом воспринимался за вирус только потому, что в нем есть возможность поставить архив под пароль.

Так что тут только вариант, это платить. При этом, те хакеры смотрят, какие именно файлы у вас зашифрованы. Ну и на основе этого они могут цену или повысить до достаточно большой, или наоборот — снизить (были случаи как $50 так и $500). При оплате вы получаете только один ключ для дешифратора Vault и для одного компьютера, с которого вы отправляли VAULT.KEY и CONFIRMATION.KEY.

Оплата производится только через BitCoin и только при использовании анонимной сети Tor. Это все, что первое, что второе — анонимные инструменты, самые популярные и самые эффективные на сегодняшний день. Именно поэтому, хакеров и не могут пока (?) поймать. Хотя, опять же, как я уже писал вначале — очень удивлен такому наглому поведению.

Следуя инструкции, вам нужно будет перейти на сайт restoredz4xpmuqr.onion, указать файл VAULT.KEY (о нем писал выше):


После чего вы попадете в личный кабинет:


Какие можно сделать выводы?

Мои мысли так бы сказать:


Надеюсь что написал все доступно и информацией хотя бы вы уже вооружены, так что будьте осторожны и учите фаервол, грамотная его настройка обезопасит вас от подобных вирусов.

16.01.2016

Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, ставших недоступными в результате действия опасного троянца-энкодера Trojan.Encoder.2843 , известного пользователям под именем «Vault».

Данная версия шифровальщика, получившая по классификации Dr.Web наименование Trojan.Encoder.2843 , активно распространяется злоумышленниками при помощи массовых почтовых рассылок. В качестве вложения в письма используется небольшой файл, содержащий сценарий на языке JavaScript. Этот файл извлекает из себя приложение, которое и выполняет остальные действия, необходимые для обеспечения работы энкодера. Данная версия троянца-шифровальщика распространяется со 2 ноября 2015 года.

Принцип работы этой вредоносной программы также весьма любопытен. В системный реестр Windows записывается зашифрованная динамическая библиотека (.DLL), а в запущенный процесс explorer.exe троянец встраивает небольшой код, который считывает файл из реестра в память, расшифровывает и передает на него управление.

Список шифруемых файлов Trojan.Encoder.2843 также хранит в системном реестре и для каждого из них использует уникальный ключ, состоящий из заглавных латинских букв. Шифрование файлов осуществляется с использованием алгоритмов Blowfish-ECB, сессионный ключ шифруется с использованием RSA при помощи интерфейса CryptoAPI. Каждому зашифрованному файлу присваивается расширение.vault.

Специалисты компании «Доктор Веб» разработали специальную методику, во многих случаях позволяющую расшифровывать поврежденные этим троянцем файлы. Если вы стали жертвой вредоносной программы Trojan.Encoder.2843 , воспользуйтесь следующими рекомендациями:

  • обратитесь с соответствующим заявлением в полицию;
  • ни в коем случае не пытайтесь переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит;
  • не удаляйте никакие файлы на вашем компьютере;
  • не пытайтесь восстановить зашифрованные файлы самостоятельно;
  • обратитесь в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web);
  • к тикету приложите любой зашифрованный троянцем файл;
  • дождитесь ответа специалиста службы технической поддержки; в связи с большим количеством запросов это может занять некоторое время.

Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.

Трояны-вымогатели заметно эволюционировали за год с момента своего появления. Изначальный вариант вируса, который принято называть .vault (по разным классификациям: .xtbl, .cbf, trojan-ransom.win32.scatter ), обнаружили в конце февраля 2015 г. В настоящий момент компьютерной безопасности угрожает очередная версия инфекции. За всю историю существования вируса были доработаны как программный код, так и функционал. В частности, изменялись ареал распространения инфекции, технология обработки файлов, а также ряд внешних представительских атрибутов.

Основные характеристики вируса-шифровальщика vault

Последний выпуск, .vault, функционирует с использованием передового алгоритма обмена ключей шифрования, что усложняет специалистам по компьютерной безопасности задачу подбора ключа расшифровки.

Сценарий шифровщика.vault в ОС Windows выполняется в одном из следующих случаев:
– открытие пользователем инфицирующего вложения к фиктивному уведомлению, рассылаемому мошенниками;
– посещение взломанного веб-сайта со встроенным кодом инфицирования через уязвимости, например, Angler или Neutrino. В любом случая, обнаружить процесс внедрения программного кода без специальных инструментов непросто, а использование эффективных проемов по избежанию антивирусного ПО позволяет зловреду в большинстве случае обойти вирусные ловушки. Этап внедрения окончен, вирус-вымогатель переходит к сканированию жесткого диска, доступных USB-карт памяти, сетевых ресурсов, а также информации на онлайн-ресурсах для хранения и раздачи файлов, например, Dropbox. Программа проходиться по всем буквенным меткам дисков. Сканирование должно обнаружить файлы, расширения которых прописаны в алгоритме вирусной атаки как объекты. В зоне риска находиться более 200 форматов, включая наиболее популярные: документы Microsoft Office, мультимедийные файлы и изображения.
В следующей фазе атаки.vault кодирует обнаруженные в ходе сканирования объекты, используя стандарт AES-256, в то время как основная масса троянцев-вымогателей, свирепствующих на просторах Интернета, использует алгоритм RSA. Далее зловред запускает прикладную программу, которая объясняет пострадавшему пользователю суть происходящего, инструктируя о действиях по восстановлению заблокированных данных. Программа генерирует следующее сообщение:

Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат.vault
Для их восстановления необходимо получить уникальный ключ.

ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:

КРАТКО
1. Зайдите на наш веб-ресурс
2. Получите уникальный ключ
3. Восстановите файлы в прежний вид

ДЕТАЛЬНО
Шаг 1:
Скачайте Tor браузер с официального сайта: https://www.torproject.org
Шаг 2:
Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion
Шаг 3:
Найдите Ваш уникальный VAULT.KEY на компьютере – это Ваш ключ к личной клиент-панели
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё

ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Не забывайте про время, обычно оно играет против Вас
c) Стоимость полного восстановления на ресурсе не окончательная

При заходе на сайт мошенников в сети TOR у Вас будет полноценный личный кабинет c авторизацией, “службой поддержки” и даже партнерской программой, в стиле “получай деньги за каждый зараженный компьютер”. В добавок к зашифровке личных данных жертвы, вымогательское ПО добавляет к файлам новые расширения. Последовательность, присоединяемая к заблокированным объектам, зависит от версии зловреда. Ниже приводится полный печень таких расширений:
.vault, .xtbl, .cbf.
Таким образом, имя любого файла, например, ‘photo.jpg’, изменяется на ‘photo.vault’.

Чтобы возобновить доступ к демонстративно зашифрованным данным, жертву требуют выполнить указания по организации выкупа и выплатить порядка 500 дол. США. Оплата должна быть произведена в валюте биткойн на счет, который является уникальным для каждого инфицированного.

Порядок действий при атаке вымогателя.vault

Очень важно, когда именно Вы обнаружили вторжение. В любом случае, как только вирус был замечен, отключите сетевое соединение и выключите компьютер. Также целесообразно воздержаться от удаления каких либо файлов до разрешения ситуации. Если есть свежая резервная копия данных на не сетевом ресурсе или в облаке, запустите проверенное средство против зловредного ПО и удалите.vault с Вашего ПК, прежде чем перейти к восстановлению из резерва. При неблагоприятном развитии ситуации будет выполнен полный цикл атаки. В таком случае, необходимо установить, какое именно расширение добавлено к закодированным файлам, и проверить возможность лечения с помощью средств расшифровки.

Сайт службы расшифровки.vault

Вымогательский вирус рекомендует пострадавшим открыть переход TOR, созданный для обработки платежа в биткойн. Фактически это страница “Служба расшифровки”, ссылки на которую содержаться в соответствующих оповещениях вымогательского характера. Она предоставляет подробную информацию о том, какие именно файлы были зашифрованы на ПК, излагая порядок действий по восстановлению. Как отмечено выше, преступники запрашивают эквивалент +-500 дол. США в биткойн с каждой зараженной системы. Сайт также предоставляет возможность получить доступ к читабельной версии одного из файлов бесплатно, а также представляет службу поддержки, услугами которой можно воспользоваться, если у плохих парней что-то пойдет не так.

Будут ли файлы расшифрованы в случае передачи выкупа?

Золотое правило: не плати ничего до тех пор, пока нет другого выхода. Если заплатить все же пришлось, имейте в виду, что процесс может затянуться, так как жуликам необходимо получить подтверждение оплаты. В свою очередь, они выдадут пару ключей, которые следует использовать для дешифровки в интерактивном окне программы-вымогателя. Есть информация, что разработчики.vault при получении выкупа создают условия, необходимые для восстановления файлов. Тем не менее, сама идея поддерживать шантажистов финансово определенно отталкивает, да и стоимость расшифровки велика для среднестатистического пользователя.

Автоматическое удаление.vault – вируса-шифровальщика данных

Надежное ПО для компьютерной безопасности эффективно устранит вирус-вымогатель.vault. Автоматическая очистка компьютера гарантирует полную ликвидацию всех элементов инфекции в системе.

  1. и проверить наличие вредоносных элементов на компьютере через команду “Начать сканирование” / Start Computer Scan
  2. В результате сканирования будет создан перечень выявленных объектов. Чтобы перейти к очистке системы от вируса и сопутствующих инфекций, щелкните “Устранить угрозы” / Fix Threats . Выполнение этого этапа процедуры удаления фактически обеспечивает полное искоренение вируса.vault. Теперь предстоит решить более сложную задачу – получить Ваши данные обратно.

Прочие методы восстановления файлов, зашифрованных вирусом Vault

Решение 1: Выполнить автоматическое восстановление файлов
Необходимо учитывать то факт, что троян.vault создает копии файлов, которые затем зашифровывает. Тем временем, происходит удаление исходных файлов. Имеются прикладные программы, способные восстановить удаленные данные. У Вас есть возможность использовать с этой целью такое средство, как Data Recovery Pro. Наблюдается тенденция применения новейшим вариантом вымогательского ПО безопасного удаления с несколькими перезаписями. Тем не менее, данный метод стоит попробовать.

Решение 2: Процедура резервного копирования
Во-первых и прежде всего, это отличный путь восстановления данных. К сожалению, этот метод работает исключительно при условии выполнения пользователем резервного копирования данных до момента вторжения на компьютер. Если это условие соблюдено, не упустите возможность извлечь выгоду из Вашей предусмотрительности.
Решение 3: Использовать теневые копии томов
Возможно, Вы еще не знаете, но операционная система создает так называемые теневые копии томов каждого файла, если активирован режим “Восстановление системы” (System Restore). Создание точек восстановления происходит с определенным интервалом, синхронно генерируются снимки текущего изображения файлов. Обратите внимание, этот метод не гарантирует восстановление самых последних версий Ваших файлов. Что ж, попытка не пытка! Есть два пути выполнения процедуры: вручную или с помощью автоматического средства. Сперва рассмотрим ручную процедуру.
Решение 4: Использовать опцию “Предыдущая версия”
В ОС Windows встроена функция восстановления предыдущих версий файлов. Она также работает применительно к папкам. Просто щелкните папку правой клавишей мыши, выберите “Свойства” / Properties , далее активируйте вкладку “Предыдущие версии” / Previous Versions . В поле версии представлен перечень резервных копий файла/папки с указанием соответствующего времени и даты. Выберите последнее сохранение и щелкните “Копировать” / Copy , чтобы восстановить объект в новом назначенном Вами месте. Выбрав простое восстановление через команду “Восстановить” / Restore , запустите механизм восстановления данных в исходной папке.

Процедура позволяет восстановить предыдущие версии файлов и папок в автоматическом режиме вместо ручной процедуры. Потребуется загрузить и установить ПО Теневой проводник ShadowExplorer. После запуска Проводника укажите название диска и дату создания версий файла. Щелкните правой клавишей по папке или файлу, который Вас интересует, выбрав команду “Экспорт” / Export . Затем просто укажите путь восстановления данных.

Профилактика

Vault на сегодняшний день является одним из наиболее жизнеспособных вирусов-вымогателей. Индустрия компьютерной безопасности не успевает заблаговременно реагировать на стремительное развитие встроенных функций инфекции. Отдельная группа преступников специализируется на уязвимых звеньях программного кода троянца, отвечая на эпизодической обнаружение таких уязвимостей лабораториями по изучению и устранению зловредов и компьютерными энтузиастами. В новых версиях инфекции-шифровальщика используется усовершенствованный принцип обмена ключей, что нивелирует возможности использования декодировщиков. Учтивая непрерывный характер развития компьютерного вредителя, на первое место выходит работа по предотвращению атаки.
Основное правило - храните резервные копии файлов в безопасном месте. К счастью, существует целый ряд недорогих или даже бесплатных служб безопасного накопления данных. Копировать данные на внешний несетевой накопитель не так удобно, но это также хороший способ защиты информации. Чтобы в корне разрушить планы по внедрению зловреда, не открывайте вложения в электронной почте, если она поступает из подозрительного источника: такая почта является популярным методом распространения программ-вымогателей. Также рекомендуется своевременно обновлять программное обеспечение. Это позволит устранить возможные уязвимости, сняв риск заражения через эксплоит-комплексы (наборы программ, эксплуатирующих уязвимости ПО для атаки на ОС). И последнее, используйте проверенный защитный модуль с возможностями динамического анализа.

Контроль после удаления вируса.vault

Удаление вымогателя.Vault как таковое не позволяет расшифровать личные данные. Приведенные выше восстановительные процедуры часто, но не всегда, помогают решить проблему. К слову, данный вирус нередко устанавливается вместе с другими зловредами, поэтому определенно имеет смысл повторно проверить систему автоматическим противовирусным ПО, чтобы убедится в отсутствии вредных остаточных элементов вируса и сопутствующих угроз в Реестре Windows, а также других разделах компьютерной памяти.

Шифровальщик VAULT впервые появился в России в феврале 2015г ., приобретя репутацию одного из наиболее опасных и неизлечимых вирусов. В ноябре началась вторая волна заражений, носящая более массовый характер. Третья волна приходится на середину января 2016г. и превосходит предыдущие по количеству зараженных устройств.

Что такое вирус-шифровальщик VAULT?

Вирус VAULT является одной из разновидностей трояна-инкодера.

Проникая на компьютер при помощи действий пользователя, программа шифрует определенный тип данных десятками алгоритмов с уникальной закономерностью.

Исходные данные не удаляются, а замещаются поврежденными, что делает возможность их восстановления практически невозможной.

Ключ, дающий возможность расшифровки информации, автоматически удаляется из системы по окончании шифрования.

Целью злоумышленников является вымогательство денег в обмен на расшифровку данных. Вероятность расшифровки файлов даже в этом случае не превышает 50%.

Пример заражения компьютера вирусом VAULT: на рабочий e-mail приходит запрос первичной документации от контрагента, либо уведомление о необходимости установить пакет обновлений от КонсультантПлюс. К письму прилагается файл с пояснительной информацией. Как только исполняемый и вспомогательный файлы запущены, начинается процесс шифрования данных.

Какие файлы шифрует VAULT?

Злоумышленников интересует коммерческая информация, а также фото-, аудио- и видеоматериалы. Таким образом, под ударом оказываются файлы следующих расширений: .rar, .zip, .jpg, .psd, .doc, .xls, .ppt, .pdf, .mp3, .ogg, .avi, .mpeg, .html, .txt, базы данных 1С и т.д.

При заражении компьютера в каждой папке создается текстовый документ с контактами мошенников. Стоимость расшифровки данных варьируется от 10 $ до 50 000 $. Оценка стоимости производится мошенниками после выхода пользователя на связь. Величина выкупа зависит от объема зашифрованной информации. При этом нет никаких гарантий того, что данные будут восстановлены хотя бы частично.

Как защитить компьютер от шифратора VAULT?

В большинстве случаев, заражение происходит при отсутствии антивируса на компьютере, либо использовании бесплатной версии ПО. Наименее надежным, по нашему мнению, является антивирус Avast.

Тем не менее, нередко жертвами становятся и обладатели лицензированного антивирусного пакета программ, в том числе корпоративных версий.

Специалисты в сфере IT безопасности компаний ESET и Dr.Web выработали ряд универсальных рекомендаций , способствующих защите компьютера или ноутбука от вируса VAULT и аналогичных троянов-шифровальщиков:

    своевременно устанавливайте критические обновления операционной системы

    выбирайте антивирусные программы со встроенным фаерволом

    запретите прием и передачу исполняемых файлов (.exe) на почтовом сервере

    запретите выполнение макросов в Microsoft Office, либо аналогичном ПО

    регулярно осуществляйте резервное копирование данных

    дублируйте важную информацию на внешний носитель

Как удалить VAULT с компьютера?

На данный момент заражение вирусом VAULT и шифрование данных является однократным и не влечет за собой инфицирование системных файлов. Таким образом, для удаления вируса из системы достаточно сканирования утилитой CureIt от Dr.Web. Однако следует помнить , что попытки вылечить или удалить зараженные файлы, а также переустановить Windows, сведут возможность восстановить зашифрованные данные к нулю.

То есть, в удалении вируса нет ничего сложного, если вы готовы навсегда расстаться с зашифрованной информацией, либо у вас имеются резервные копии на внешнем носителе.

Как восстановить файлы VAULT?

Как только вы обнаружили заражение Увидели измененные иконки файлов и новый тип расширений, например, .doc.vault , немедленно выключите компьютер или ноутбук. Чем дольше он будет работать, тем большее число файлов вы потеряете.

Повторим: сканирование диска антивирусом, лечение файлов, переустановка системы и прочие стандартные средства лишь снизят вероятность расшифровки данных.

Ни один из разработчиков антивирусного ПО до сих пор не смог создать утилиту для расшифровки информации, подвергнутой действию VAULT.

Точки восстановления системы вирусом уничтожаются. Существует шанс восстановить Windows из теневых копий при помощи утилиты Shadow Editor при работе с Windows Vista /7 /8 /10. Но в большинстве случаев, теневые копии также исчезают.

Если вы обладаете лицензионным продуктом NOD32 или Dr.Web, вы можете обратиться в их техническую поддержку с запросом о расшифровке данных.

Помимо этого, специалисты рекомендуют обратиться в полицию с заявлением , так как в действиях злоумышленников присутствуют признаки преступлений, предусмотренных ст. ст. 159.6, 163, 165, 272, 273 УК РФ.

Практический результат таких действий сводится к нулю. Дело в том, что пока не существует способа восстановления файлов, подвергнутых шифрованию VAULT. Остается единственный выход : физически извлечь HDD или SSD диск из устройства и установить новый. Возможно, в скором времени появится способ расшифровки информации и тогда данные могут быть восстановлены.