Vault вирус как восстановить файлы: лечение, расшифровка

Проблемы

Что представляет собой вирус Vault?

Этот вирус относится к программам шифрования. Он загружает на ваш компьютер простую программу, которая шифрует файлы Word, Excel, mp3, графику и присваивает им расширение *.Vault.

Файлы хранилища

После шифрования пользователь теряет полный доступ к данным. Для восстановления доступа программа создает специальный ключ. Он остается в руках хакеров. Шантажисты требуют деньги за ключ.

Требования хакеров

Пути распространения

Вирус распространяется скрыто через электронную почту, Skype или социальные сети. Это исполняемый скрипт с расширением .js. В некоторых случаях злоумышленники упаковывают вирус в архив, чтобы его было труднее отследить.

После выполнения пользователем скрипта вирус загружается с серверов хакеров, затем помещается в папку TEMP и шифрует файлы. Антивирусы не блокируют Vault, потому что… Они рассматривают его как безопасную криптографию, полезный инструмент, используемый для защиты данных от хакеров.

Первые действия

Если компьютер начал тормозить или проявлять чрезмерную активность и часть файлов на дисках уже зашифрована, следует немедленно выключить компьютер с помощью кнопки или вообще отключить его от электропитания. После этого вы сможете сохранить хотя бы часть данных.

Извлекаем жесткий диск и подключаем его к другому ПК, заранее отключив Интернет. После включения запустите все антивирусной программой и попробуйте найти файлы, указанные ниже.

Если ключи найдены, ищем сервисы расшифровки в Интернете. Расшифровываем информацию и форматируем диск C.

Если ничего не найдено, отформатируйте диск C и приступайте к последующим инструкциям.

Восстановление файлов с расширением .vault бесплатно

Это подводит нас к худшему — файлы остаются зашифрованными. Для вируса хранилища не существует бесплатных дешифраторов. Только сама оригинальная программа может расшифровать файлы ключом rsa-1024.

Какие существуют способы восстановления файлов:

  1. Если у вас включен инструмент восстановления системы, вы можете восстановить предыдущие версии файла. Для этого перейдите в «Свойства» файлов и вкладку «Предыдущие версии».
  2. В случае с сетевыми дисками проверьте корзину. Ваши обычные файлы должны быть там
  3. Если вы используете облачные хранилища для сохранения файлов — Яндекс Диск, Гугл Диск и т.д., то посмотрите мусор там.

Если вы ничего не нашли в корзине и точек восстановления системы нет, вам придется заплатить злоумышленникам. Вы ничего не можете с этим поделать. Анализируя диалоги на форумах, следует вывод, что злоумышленники действительно расшифровывают файлы, но за это нужно платить. Если бы это было неправдой, слухи в Интернете распространились бы давно, и люди бы на это не поддались. Вы должны понимать, что это целая «система бизнеса» — вас поймали, заплатите сейчас и все будет хорошо.

Дошло до того, что в Интернете уже есть суперагенты! То есть посредников, которые свяжутся за вас с злоумышленниками и решат все ваши проблемы. Пойдешь ли ты на это или нет, зависит от тебя. Не хотите делать это сами, заплатите больше.

Следуя инструкциям из текстового файла, вы запустите браузер Tor (именно для стирания IP), после чего попадете на один из сайтов злоумышленников. Есть инструкция по работе с сайтом и даже система скидок :(.

Читайте также: Что такое Create raid volume и как его создать

Восстановление зашифрованных файлов

Если вирус Vault зашифровал ваш компьютер, вы можете восстановить зашифрованные файлы несколькими способами. Ключ дешифрования некоторое время хранится на жестком диске, который после всех действий отправляется на сервер хакера, а затем удаляется с ПК.

Возможно, еще есть время найти его. Он называется secret.gpg. Если вы зайдете в «Мой компьютер», введете имя в поле поиска в правом верхнем углу и нажмете кнопку «Ввод», система попытается найти этот файл. Открыв его, вы сможете получить логин и пароль от сайта, на котором хранится расшифровщик. Подробнее о том, как это сделать, смотрите в видео ниже:

Вы также можете попробовать самостоятельно восстановить данные из резервных копий, если вы их создавали. Щелкните правой кнопкой мыши по закодированному элементу и найдите пункт «Свойства». Найдите раздел «Предыдущие версии» и восстановите. Это будет работать, если эта функция включена в системе.Свойства файла

Оплата мошенникам

Чтобы не потерять информацию, если вы не сможете ее восстановить, вы, конечно, можете сами связаться с злоумышленниками и заплатить им. Однако их серверы не работают круглосуточно и без выходных, и вам придется ждать несколько часов, чтобы обратная связь сработала. К тому же не факт, что заплатив деньги, создатели Vault расшифруют все файлы.

Хотя мошенники действительно расшифровывают информацию после множества отзывов. В этом плане мошенники очень осторожны — существует гибкая система скидок (если пользователю удастся подцепить подобный вирус повторно) и даже техническая поддержка.

Вы получаете всю информацию об их веб-сайте и о том, как с ними связаться, в блокноте после заражения.

Удаление

К тому времени, как вы обнаружите вирус, он уже сделал свою грязную работу. Поэтому хакеры не особо заботятся о создании какой-либо защиты своего мозга. Файлы трояна находятся в папке TEMP.

Ни в коем случае нельзя удалять все. Прежде чем удалить вирус Vault с вашего компьютера, обязательно сохраните следующие файлы:

  1. CONFIRMATION.KEY – показывает количество зашифрованных файлов. Это своего рода «оценка» для злоумышленников. Благодаря этому они решают, сколько денег они готовы взять за продление доступа.
  2. Vault.KEY – ключ к данным. Он содержит идентификатор, который хакеры используют для поиска ключа доступа к вашим конкретным файлам.
  3. Vault.txt – общая информация о процедуре продления и сайте хакеров.

Не факт, что вам нужны эти файлы. Но лучше их сохранить на всякий случай.

После очистки папки просканируйте систему бесплатной программой CureIT от DrWeb и антивирусом. Затем необходимо перезагрузить компьютер и запустить диспетчер задач. Если среди процессов нет подозрительных, то все прошло как надо, и самая легкая часть пути осталась позади.

Как убрать вирус Vault из компьютера?

Вирус работает таким образом, что в папке с исходным файлом создается аналогичный файл с расширением .gpg. Затем этот файл заменяет исходный файл и добавляет расширение хранилища. Простое переименование документа не решит эту проблему. Итак, давайте узнаем, как восстановить файлы и удалить вирус хранилища.

Удаление самого вируса

Как только вы обнаружите расширение хранилища на своих документах, немедленно отключите сеть и прекратите работу со всеми приложениями, больше не открывайте папки на дисках. Войдите в систему через безопасный режим.

В плане удаления вирус Vault не представляет никаких сложностей. Удаление не кажется трудным; для этого используйте самые популярные программы для удаления вирусов-шифровальщиков, рекламных баннеров и троянов. Но проблем будет больше :(.

Что вам нужно знать, так это то, что тело самого вируса спрятано в папке Temp. Вирус состоит из следующих файлов:

  • 3c21b8d9.cmd;
  • fabac41c.js;
  • ХРАНИЛИЩЕ.txt;
  • Sdc0.bat;
  • КЛЮЧ от ХРАНЕНИЯ;
  • ПОДТВЕРЖДЕНИЕ.КЛЮЧ.

Все эти файлы, кроме двух последних (!), необходимо удалить. Затем запустите очиститель, уберите автозагрузку, проверьте реестр на наличие ошибок (принцип тот же, что и для Windows 7/8/10). Последние два файла должны остаться на компьютере, потому что:

  1. VAULT.KEY — сам ключ шифрования. Его ни в коем случае нельзя удалять! Он передается злоумышленникам; после его анализа вам дадут вторую часть ключа расшифровки.
  2. CONFIRMATION.KEY — файл с полной информацией о количестве зашифрованных файлов на ПК, который также необходим хакерам.

Расшифровка файлов после заражения

В своих сообщениях жертвам хакеры пишут: «Поторопитесь, у вас мало времени» или «Время против вас». Злоумышленникам нужно, чтобы вы запаниковали, приняли спонтанное решение, не думая о том, чтобы расстаться с деньгами для доступа к важным файлам. Вы должны сделать прямо противоположное. У вас есть зашифрованные файлы и способы повторного доступа к ним:

  1. Купить ключ от вымогателей.
  2. Попробуйте найти следы ключа на компьютере.
  3. Восстановите файлы резервной копии.
  4. Используйте решения от антивирусных лабораторий.

Как удалить Vault

Прежде чем пользователь обнаружит этот вирус, его деятельность уже будет завершена с успешным результатом. Поэтому необходимо сделать следующее, чтобы не потерять данные:

  • Сохраните файл Confirmation.key, он покажет объем зашифрованных данных. Благодаря этому хакеры могут видеть, сколько файлов необходимо восстановить, и требовать определенную сумму.
  • Найдите Vault.key. Этот файл является ключом или идентификатором зашифрованной информации.
  • Сохраните Vault.txt. Здесь содержится вся информация о хакерах и их веб-сайте.

После сохранения этих файлов из папки Temp ее можно полностью очистить и запустить через программу CureIT, предоставляемую антивирусом «Доктор Веб». Затем перезагрузите свое личное устройство.

Если ничего из вышеперечисленного в папке Temp не обнаружено, можно воспользоваться стандартным поиском на диске C. Вероятность найти Vault.key очень мала, он удаляется после завершения шифрования. Но если он будет найден, это практически полная гарантия расшифровки информации.

Как восстановить файлы после вируса Vault?

Да, действительно, было бы здорово просто использовать такой инструмент, как расшифровка Vault, но, к сожалению, такого инструмента нет. А его не существует, поскольку у каждого компьютера есть свой ключ, и просто имея его и файл с записями о зараженных объектах, можно восстановить доступ к файлам, отправив все злоумышленникам.

Если у вас включена защита для каждого диска, то это здорово. При такой защите можно восстановить предыдущее состояние файла или папки, все это есть в свойствах каждого файла (но некоторые версии Vault удаляют данные для восстановления, только при активации UAC вы увидите запрос, еще один аргумент, который UAC лучше не отключать!). Вы можете попытаться восстановить компьютер до более раннего состояния с помощью точки восстановления (в Панели управления, Восстановить).

160212224250.jpg

Если у вас не включена защита, то, к сожалению, у меня для вас неутешительные новости. Скорее всего, вы не сможете восстановить свои файлы, если не заплатите злоумышленникам крупную сумму. Да, это действительно работает, но для этого нужны два файла, о них я писал выше.

Также хочу вас предупредить, что других способов расшифровки файлов не существует. Это не просто вирус, это вирус, использующий вполне нормальные механизмы, не вызывающие подозрений у антивирусных программ, поэтому писать нет смысла, даже если они их поддерживают, они все равно вам ничем не помогут. Ну, например, это то же самое, если архив WinRAR был воспринят антивирусом как вирус только потому, что у него есть возможность поставить на архив пароль.

Так что единственный вариант здесь — заплатить. В то же время эти хакеры смотрят, какие файлы вы зашифровали. Ну и исходя из этого они могут либо повысить цену до достаточно высокой, либо наоборот — снизить (были случаи и в 50$, и в 500$). При оплате вы получаете только один ключ для расшифровки Vault и для одного компьютера, с которого вы отправляли VAULT.KEY и CONFIRMATION.KEY.

Оплата производится только через BitCoin и только с использованием анонимной сети Tor. Это все первые и вторые – анонимные инструменты, самые популярные и эффективные на сегодняшний день. Поэтому хакеров до сих пор (?) не поймать. Хотя опять же, как я писал вначале, я очень удивлён такому грубому поведению.

Следуя инструкциям, необходимо зайти на сайт восстановленного z4xpmuqr.onion, указать файл VAULT.KEY (о нем я писал выше):

160212235833.jpg

После этого вы попадете в личный кабинет:

160212235701.jpg

Удаление шифровальщика Vault

Как только вы заметите расширение .vault у своих файлов, немедленно отключите сеть, прекратите работу в программах и больше не открывайте папки. Перезагрузитесь и войдите в безопасный режим.

удалить программное обеспечение несложно — просто найдите в Google «популярные программы удаления шифрования». Но проблему это не решит – все только начинается, к сожалению.

Сам так называемый вирус спрятан в папке Temp и состоит из следующих файлов:

  • 3c21b8d9.cmd;
  • fabac41c.js;
  • ХРАНИЛИЩЕ.txt;
  • Sdc0.bat;
  • КЛЮЧ от ХРАНЕНИЯ;
  • ПОДТВЕРЖДЕНИЕ.КЛЮЧ.

Все вышеперечисленные файлы, кроме двух последних, можно удалить (подробнее об этом позже!). Запустите что-нибудь чище, почистите реестр, загрузитесь. Эти два файла должны оставаться на компьютере, потому что:

  • VAULT.KEY — ключ шифрования. Если вы его удалите, вы заблокируете свои файлы навсегда, то есть вы не должны удалять этот файл ни при каких обстоятельствах!;
  • CONFIRMATION.KEY – содержит точную информацию о количестве заблокированных файлов, необходимую злоумышленникам.

Что предлагают антивирусные лаборатории

Например, антивирусная лаборатория «Доктор Веб» предлагает не удалять файлы, не чистить систему и после обнаружения заражения оставить все на месте. Затем обратитесь в полицию с последующим объяснением. Образцы заявлений представлены по ссылке http://legal.drweb.ru/templates.

После этого вам необходимо обратиться в техническую поддержку антивируса и предоставить копию зашифрованного элемента. Вам останется только дождаться ответа от службы поддержки. Через некоторое время вы получите расшифровку Vault в ответном письме от Dr.Web. К сожалению, эта функция доступна только пользователям, купившим платный антивирусный пакет.

У антивируса Касперского также есть специальный дешифратор для этого — дешифратор Vault. Это программа, которая самостоятельно ищет зашифрованные файлы и расшифровывает их.Проверка на вирусы

Если у вас стоит антивирус EsedNod 32, вам следует просканировать и очистить систему этим антивирусом, а затем обратиться в техподдержку — support@esetnod32.ru. Обращаться в техподдержку следует только в том случае, если у вас лицензионный антивирус.

Антивирус Avast имеет специальные инструменты для расшифровки вируса Vault. Их можно найти на официальном сайте Avast.

Как обезопасить себя от вируса Vault

Чтобы защитить себя от таких вирусов, необходимо:

  • Не открывайте файлы с расширением .js и не отправляйте их на проверку антивирусной программе.
  • Сохраните всю важную информацию с вашего ПК на облачном диске.
  • Не загружайте пиратские инструменты и не устанавливайте их на свой компьютер.
Оцените статью
Блог про Samsung