Virus de la bóveda de extensión de archivo. Virus ransomware Vault: ¿qué es? Buscar una copia archivada

Virus de la bóveda de extensión de archivo. Virus ransomware Vault: ¿qué es? Buscar una copia archivada

Hoy hablaremos con usted sobre el tema: "Contagiamos el virus Vault: ¿qué hacer?" Este tema es muy importante, especialmente en el mundo moderno, donde, literalmente, a cada paso se encuentran diversas infecciones informáticas. ¿Lo que es? ¿Dónde puedes encontrar esta porquería? ¿Como funciona? Todo esto se discutirá ahora.

"¿Con quién tengo el honor?"

Lo primero que debemos empezar es que tú y yo averigüemos qué clase de basura es esta: el virus “Vault”. Hablaremos sobre qué hacer con él y cómo abordarlo un poco más adelante.

Como ya se mencionó, tendremos que lidiar con el llamado cifrador de datos. Penetra en el sistema operativo y comienza a cambiar (cifrar) las extensiones de todos sus datos. Es bueno si solo se trata de información personal. Y si una infección de computadora ha llegado a los archivos del sistema, entonces las cosas van muy mal.

Si ha contraído el virus "Vault" y no sabe qué hacer, lo primero que debe hacer es comprender de dónde vino esta "bestia" en su computadora. El caso es que esto se ve diferente. Para algunos es un programa para archivar datos, mientras que para otros parece una extensión especial para el navegador. El resultado es el mismo: su acceso a Internet es "secuestrado" y sus archivos se cifran lentamente. Aquí hay un virus "Vault" tan astuto. ¿Qué hacer con ello? Lo resolveremos ahora.

Examen

Bueno, la primera etapa en la lucha contra absolutamente cualquier infección en su computadora no es más que revisar su sistema en busca de archivos maliciosos y software espía. Para hacer esto necesitarás Si estás pensando en la pregunta: “Virus Vault: ¿cómo tratarlo?”, entonces lo mejor es usar Dr.Web o Nod32. Si no son de su agrado, también puede usarlos. Avast.

Actualice la base de datos de virus y luego ejecute un análisis profundo. Este proceso puede llevarle bastante tiempo. Sin embargo, tendrás que esperar. Una vez completado, eche un vistazo a los resultados. Entre ellos, definitivamente aparecerá el virus de cifrado “Vault”. ¿Qué hacer con los datos recibidos? Basta con intentar curar todo el software malicioso. Todo lo que no pueda tratarse debe eliminarse. Esto se hace usando un botón especial en el antivirus. Ahora que ha escaneado su computadora, puede continuar con el siguiente paso.

Deshacerse de los programas

Entonces, es hora de comenzar a limpiar su computadora. Si está pensando en la pregunta: Virus "Vault": ¿cómo tratarlo?", intente eliminar del sistema operativo una variedad de contenidos y programas extraños que no ha utilizado durante mucho tiempo, lo antes posible.

El caso es que tanto a los secuestradores de navegador como a los cifradores les encanta escribir todo tipo de contenido inútil en la computadora, lo que ayuda a cifrar los datos. Deshacerse de dichos programas simplificará la tarea de tratar el sistema operativo.

Para responder a la pregunta: ¿de una vez por todas?", vaya a y desde allí vaya a "Instalación y espere hasta que se genere la lista de contenido instalado, y luego elimine todos los programas que no le resulten familiares. Al mismo tiempo, limpie el sistema de aquellas aplicaciones que llevan mucho tiempo acumulando polvo al margen. ¿Listo? Luego puede cerrar la ventana que aparece y continuar con las siguientes medidas, que definitivamente lo ayudarán a afrontar la tarea.

Registro

Cuando los usuarios se enfrentan a la pregunta: "Virus Bóveda": ¿qué hacer si están infectados?", muchos se olvidan de algo tan importante como el registro de la computadora. Es en él donde se "registra" la infección de la computadora, que luego se puede registrar. bastante difícil deshacerse de él.

Entonces, pensemos en cómo podemos limpiar exactamente el registro. Para hacer esto, deberá ejecutar un comando especial (ayuda a acceder al servicio que necesitamos). Presione Win + R y luego ejecute el comando "regedit". Después de hacer clic en "Entrar", se abrirá el registro de su computadora. Puedes seguir pensando en el tema: “Virus Vault: ¿cómo eliminarlo?”

Bueno, una vez que entremos en el servicio que necesitamos, tendremos que pensar dónde debemos "escalar" para hacer frente a la tarea. A la izquierda verás muchas carpetas con nombres largos. Los evitamos hábilmente y nos dirigimos a la "edición". Allí encontramos “buscar” y escribimos “Vault” en la línea. Ejecute el análisis y espere hasta que se le muestren los resultados del análisis.

Todo lo que tu computadora detecte deberá ser eliminado. No tenga miedo: después de esto, su sistema operativo no fallará y sus archivos no se dañarán. Así que simplemente haga clic derecho en las líneas y luego seleccione el comando "eliminar". ¿Listo? Entonces sigamos adelante. Sólo quedan unos pocos pasos simples que ayudarán a resolver el problema con nuestro ransomware actual.

Ayuda del programa

Probablemente, a la hora de combatir cualquier programa malicioso, no se pueda prescindir de los llamados programas de terceros que ayudan a encontrar y "neutralizar" virus. Por ejemplo, Cclener es una gran opción. Esta es una aplicación que limpia el registro de la computadora (más efectiva después de limpiar manualmente este servicio) y ayuda a liberar espacio en la unidad C del sistema.

Sólo necesitas descargar CCleaner e instalarlo. Después del inicio, en el lado izquierdo de la ventana, simplemente configure la configuración de escaneo deseada (qué secciones buscar) y luego haga clic en el botón "Escanear". Sólo unos segundos y los resultados ya estarán en sus manos. Todo lo que tienes que hacer es hacer clic en “Borrar” y mirar el resultado.

Además, si estás pensando en el tema: “Virus Vault: ¿qué debo hacer?”, también puedes utilizar el llamado SpyHunter. Este es un contenido que ayuda a detectar malware y spyware, y también elimina este tipo de infecciones. Después de la instalación y el escaneo, podrá reiniciar su computadora y, finalmente, el virus ya no le molestará.

¿Qué hacer con los archivos?

Pero ahora debería tener una pregunta: "¿Qué hacer con los datos personales cifrados?" De hecho, puedes elegir uno de varios métodos disponibles.

El primero es adecuado para usuarios especialmente cuidadosos. Estas personas, por regla general, graban todos sus archivos en medios de terceros. Se les puede pedir que eliminen el contenido dañado y luego lo reemplacen con datos "normales".

La segunda opción es utilizar servicios especiales de programas antivirus. Se les envían datos cifrados, después de lo cual usted recibirá un descifrado en respuesta. Dr.Web tiene bastante éxito en este difícil asunto. Eso es todo. Ahora ya sabes qué hacer si contraes el virus Vault.

Este artículo hablará sobre un virus y, para ser honesto, nunca antes había visto algo así. No digo que existieran virus poderosos, como Kido, que arruinaban los nervios tanto de los usuarios comunes como de varias organizaciones. Pero el virus Vault (esta es la familia Trojan.Encoder) usa un enfoque completamente diferente, es decir, no parece estropear nada, pero usa una herramienta completamente normal para trabajar con archivos: esto es cifrado, pero solo para mal. propósitos...

El cifrado de archivos se produce cuando los archivos en sí se procesan utilizando una clave especial (que no debe confundirse con una contraseña, ya que esta clave es miles de veces más confiable y es simplemente imposible de adivinar) y se vuelven inaccesibles, es decir, si no están descifrados, entonces con No puedes hacer nada con ellos; todo lo que queda es eliminarlos. El archivo en sí, incluso a los ojos de la persona que lo descifra, parece un lío de código, donde todo está mezclado y nada está claro. El virus Vault funciona exactamente así, cifra archivos y puedes recuperar todo solo si transfieres una cierta cantidad a los piratas informáticos, ¡pero lo sorprendente es que esta es la única forma de recuperar los archivos!

Si le ofrecen descifrar dichos archivos y al mismo tiempo le piden dinero, asegúrese de que sean estafadores. Sólo los piratas informáticos que crearon el virus pueden descifrar archivos y nada más. Es imposible seleccionar una clave incluso a nivel de software: es demasiado complejo. Aunque no, es posible seleccionarlo y están trabajando en ello, pero para ello no se necesitan ni uno ni cien ordenadores, sino un millón, y puede tardar desde varias semanas hasta varios años, o incluso más, es decir, Volver a qué seleccionar no es realista para los usuarios comunes.

¿Cómo llega el virus Vault a una computadora?

Pero, ¿cómo aparece este virus en una computadora? Bueno, búsquelo usted mismo: recibe una carta por correo con un archivo adjunto en forma de documento (qué trillado es), pero el título de la carta es tal que realmente desea abrirla (no mentiré). , Abrí algo similar, pero ni siquiera miré ningún archivo adjunto) !). Como resultado, mira el documento como un archivo adjunto y en este momento el script adjunto al documento comienza a funcionar, tiene la extensión .js, es decir, un script java; Como habrás adivinado, este script se ejecuta automáticamente cuando se abre un archivo adjunto e intenta cargar módulos lo más rápido posible para iniciar el proceso de cifrado.

¿Cómo funciona todo? Se inserta texto en un archivo doc normal que es imposible de leer o hay algún tipo de error, en general, se escribe algo que incita a la acción (ejemplo en la imagen a continuación). Me gusta haga clic aquí para abrir el archivo. Aquí hay un script de macro que descarga el archivo ejecutable del virus en una carpeta temporal (ya que esta carpeta tiene derechos para iniciarse). ¿Por qué Windows está en silencio? Debido a que el propio usuario abrió el documento y lanzó el contenido activo del documento, es decir, todo está bien, el usuario hizo clic en todo manualmente.

Aquí hay un ejemplo de otra carta con un virus:

  • Asunto de la carta: Informe de conciliación de 2014
    De: LLC PC "MOSTEM"

    Cuerpo de la carta:

    Hola,

    Lea el informe de conciliación de 2014 en el archivo adjunto.
    Nuestros contadores descubrieron que usted nos debía una pequeña deuda durante el año pasado.
    Consultar los datos especificados en la ley e informar sobre el momento del pago de la deuda.

    Archivos adjuntos:
    1. Informe de conciliación para 2014.zip (y dentro puede haber solo un script como Informe de conciliación para 2014.doc.js)

    Atentamente,
    contador jefe adjunto
    Suprykina Oksana Igorevna

Puedes ver el proceso de cómo funciona el virus en esta imagen:


El cifrador no puede ser un virus porque es el algoritmo RSA-1024 y está diseñado para cifrar archivos. Pero el hecho de que el virus Vault utilice el cifrado para otros fines es otra cuestión.

Después de una infección exitosa con el virus Vault, después de que haya cifrado casi todos sus archivos, verá un documento de texto con el siguiente contenido:


Es decir, está escrito de manera bastante civilizada y tranquila que sus archivos están estúpidamente bloqueados y que usted mismo no podrá encontrar la clave, que está almacenada de manera segura en su servidor y también que los piratas informáticos están listos para negociar (qué audacia ).

Una vez que el virus funciona, los archivos adquieren la etiqueta .vault (segunda extensión) al final de su nombre:


El virus cifra casi todos los formatos de archivos populares, incluidos formatos de imágenes y libros, pdf, doc y otros documentos, e incluso archivos zip/rar. Pero lo más peligroso es que las bases de datos 1C también pueden caer bajo la influencia del virus; esto es mucho más grave, ya que suelen ser ordenadores de organizaciones, empresas e incluso bancos;

El virus se ejecuta sin problemas en casi todas las versiones modernas de Windows, aunque su comportamiento puede variar ligeramente, por ejemplo, en algunos casos, los archivos de la red local también están infectados;

Eliminación del virus de la bóveda

Eliminar un virus no es particularmente difícil, no habrá trampas: solo necesita destruir todo el contenido de la carpeta %temp% del usuario bajo el cual se infectaron los archivos.

¿Qué recomiendo? En Internet, descargue algún tipo de CD en vivo con antivirus. Escriba todo esto en una unidad flash (generalmente en torrents, donde puede descargar un CD en vivo, también hay instrucciones sobre cómo escribir en una unidad flash), luego inicie, vaya a la carpeta %temp% y bórrela por completo. Después de eso, puedes revisar tu computadora en busca de virus, nunca se sabe. El problema es que simplemente elimina el virus de su computadora, es decir, no estará allí, pero todas las consecuencias permanecerán... por desgracia, como ya escribí, es imposible para los usuarios comunes descifrar el cifrado de archivos.

Entonces, ¿qué archivos de Vault están contenidos en la carpeta %temp%?

  • 3c21b8d9.cmd
  • 04fba9ba_VAULT.KEY
  • CONFIRMATION.KEY (este archivo almacena registros de la cantidad de archivos etiquetados como bóveda, es decir, cifrados; es este número el que determina el precio final para obtener la segunda clave de descifrado; este archivo debe guardarse si desea recuperar el acceso a los archivos)
  • fabac41c.js (la parte principal del virus)
  • Sdc0.bat
  • VAULT.KEY (la primera clave de cifrado; al restaurar archivos, debe enviarla junto con la primera CONFIRMATION.KEY a los piratas informáticos y, en base a ella, le darán una segunda clave, que ya es adecuada para descifrar);
  • BÓVEDA.txt
  • revlt.js
  • svchost.exe (mismo nombre que el procesador del sistema, pero ubicado en la carpeta temporal)

Los nombres de los archivos pueden cambiar ligeramente, a veces hay menos.

Algunas versiones del virus Vault almacenan los archivos VAULT.KEY y CONFIRMATION.KEY en la carpeta %appdata%.

Si intentas abrir un archivo con una etiqueta, lo más probable es que veas un mensaje como este:


¿Cómo recuperar archivos después del virus Vault?

Sí, de hecho, sería fantástico utilizar una herramienta como Vault Decryptor, pero lamentablemente no existe tal herramienta. Y no existe porque cada computadora tiene su propia clave, y solo teniéndola y un archivo con registros de objetos infectados se puede restaurar el acceso a los archivos enviándolos todos a los atacantes.

Si tiene la protección habilitada para cada unidad, genial. Con dicha protección, puede restaurar el estado anterior de un archivo o carpeta, todo esto está en las propiedades de cada archivo (pero algunas versiones de Vault eliminan datos para su recuperación, solo cuando UAC está habilitado verá una solicitud, otro argumento que ¡Es mejor no desactivar UAC!). Puede intentar restaurar su computadora a un estado anterior usando un punto de restauración (en Panel de control, Restaurar).


Si su protección no está activada, entonces tengo noticias decepcionantes para usted. Lo más probable es que no puedas recuperar tus archivos a menos que pagues una gran suma a los atacantes. Sí, esto realmente funciona, pero para ello necesitas tener dos archivos, escribí sobre ellos arriba.

También quiero advertirte que no existen otras formas de descifrar archivos. Esto no es solo un virus, es un virus que utiliza mecanismos completamente normales que no levantan sospechas entre los programas antivirus, por lo que no tiene sentido escribir ni siquiera eso. apoyándolos, todavía no te ayudarán de ninguna manera. Bueno, por ejemplo, esto es lo mismo si un antivirus percibió el archivador WinRAR como un virus solo porque tiene la capacidad de poner una contraseña en el archivo.

Entonces la única opción aquí es pagar. Al mismo tiempo, esos piratas informáticos observan qué archivos ha cifrado. Bueno, en base a esto, pueden aumentar el precio a un precio suficientemente alto, o viceversa, reducirlo (hubo casos de $50 y $500). Al realizar el pago, recibirá solo una clave para el descifrador de Vault y para una computadora desde la cual envió VAULT.KEY y CONFIRMATION.KEY.

El pago se realiza únicamente a través de BitCoin y únicamente cuando se utiliza la red Tor anónima. Estas son las primeras y segundas herramientas anónimas, las más populares y efectivas en la actualidad. Por eso todavía no se puede atrapar a los piratas informáticos. Aunque, de nuevo, como escribí al principio, me sorprende mucho un comportamiento tan descarado.

Siguiendo las instrucciones, deberá ir al sitio web restauradoz4xpmuqr.onion, especificar el archivo VAULT.KEY (escribí sobre esto arriba):


Después de lo cual será redirigido a su cuenta personal:


¿Qué conclusiones se pueden sacar?

Mi pensamiento sería decir:


Espero haber escrito todo de forma accesible y al menos ya esté armado con información, así que tenga cuidado y aprenda a usar el firewall, su configuración adecuada lo protegerá de este tipo de virus.

16.01.2016

Los expertos de la empresa antivirus Doctor Web han desarrollado una técnica para descifrar archivos que se han vuelto inaccesibles como resultado de la acción de un peligroso troyano codificador. Trojan.Encoder.2843, conocido por los usuarios como “Vault”.

Esta versión del cifrador, que según la clasificación Dr.Web recibió el nombre Trojan.Encoder.2843, es distribuido activamente por atacantes mediante correos masivos. Un pequeño archivo que contiene un script JavaScript se utiliza como archivo adjunto a las cartas. Este archivo extrae la aplicación, que realiza las acciones restantes necesarias para garantizar el funcionamiento del codificador. Esta versión del troyano ransomware se distribuye desde el 2 de noviembre de 2015.

El principio de funcionamiento de este programa malicioso también es muy interesante. Se escribe una biblioteca de vínculos dinámicos cifrada (.DLL) en el registro del sistema de Windows y el troyano incorpora un pequeño código en el proceso explorer.exe en ejecución, que lee el archivo del registro en la memoria, lo descifra y le transfiere el control. .

Lista de archivos cifrados Trojan.Encoder.2843 también se almacena en el registro del sistema y utiliza una clave única para cada uno de ellos, formada por letras latinas mayúsculas. El cifrado de archivos se realiza mediante algoritmos Blowfish-ECB, la clave de sesión se cifra mediante RSA utilizando la interfaz CryptoAPI. A cada archivo cifrado se le asigna una extensión .vault.

Los especialistas de Doctor Web han desarrollado una técnica especial que, en muchos casos, permite descifrar archivos dañados por este troyano. Si eres víctima de malware Trojan.Encoder.2843, utilice las siguientes recomendaciones:

  • presentar la denuncia correspondiente ante la policía;
  • Bajo ninguna circunstancia intente reinstalar el sistema operativo, “optimizarlo” o “limpiarlo” utilizando ninguna utilidad;
  • no elimine ningún archivo de su computadora;
  • no intente recuperar archivos cifrados usted mismo;
  • contactar con el soporte técnico de Doctor Web (este servicio es gratuito para los usuarios de licencias comerciales Dr.Web);
  • Adjunte cualquier archivo cifrado con troyano al ticket;
  • esperar una respuesta de un especialista en soporte técnico; Debido al gran número de solicitudes, esto puede llevar algún tiempo.

Le recordamos que los servicios de descifrado de archivos se prestan únicamente a los titulares de licencias comerciales de los productos antivirus Dr.Web. Doctor Web no garantiza completamente el descifrado de todos los archivos dañados como resultado del codificador, sin embargo, nuestros especialistas harán todo lo posible para guardar la información cifrada.

Bóveda es un cifrador de archivos que reemplaza la extensión de documentos y archivos por la suya propia, después de lo cual es imposible abrirlos. Por lo tanto, veremos en detalle cómo recuperar archivos dañados por el virus Vault.

Cuando llega a su computadora, el virus Vault comienza a cifrar archivos con la extensión .pdf, .doc, .docx, .zip, .jpeg, .xls, .xlsx y muchos otros. Después de la infección, los archivos seguirán teniendo su extensión, pero además tendrán adjunta la extensión .vault. Naturalmente, después de encontrarse con un virus tan interesante, el usuario al menos caerá en un estupor y comenzará a buscar formas que le permitan abrir archivos cifrados nuevamente y restaurarlos. Desafortunadamente, tendremos que decepcionarte, porque no existe una solución sencilla y gratuita para recuperar archivos de Vault debido a las características técnicas del propio cifrador. En general, lo primero es lo primero.

Cómo Vault puede acceder a su computadora

Normalmente, el virus Vault ingresa a la computadora después de que el usuario abre un correo electrónico que dice en el título que debe abrirse y leerse con urgencia. Como regla general, se trata de una carta enviada en nombre de un banco, socios o simplemente algún tipo de spam. En realidad contiene un script con la extensión .js, que inicia el proceso de descarga de ransomware desde servidores de piratas informáticos.

Es importante señalar aquí que bóveda de ransomware es una aplicación criptográfica GPG no prohibida que utiliza el algoritmo rsa-1024 para cifrar archivos. La aplicación en sí misma supuestamente no es un virus, por lo que los programas antivirus no la interceptarán. Después de que el ransomware comience a operar en su computadora, creará inmediatamente una clave de cifrado pública en su computadora y se generará una clave privada en el servidor de los estafadores. También observamos que en algunos casos el software es capaz de infectar ordenadores que se encuentran en la misma red que el suyo, que ya está infectado.

Eliminación del ransomware Vault

Tan pronto como notes la extensión en tus archivos .bóveda, luego apague inmediatamente la red, deje de trabajar en las aplicaciones y no vuelva a abrir carpetas. Reinicia y entra a través del modo seguro.

Eliminar el software no es difícil: simplemente busque en Google "programas populares para eliminar cifradores". Pero esto no resolverá el problema; lamentablemente, todo apenas comienza.

El llamado virus en sí está oculto en una carpeta. Temperatura, y consta de los siguientes archivos:

  • 3c21b8d9.cmd;
  • fabac41c.js;
  • BÓVEDA.txt;
  • Sdc0.bat;
  • LLAVE DE BÓVEDA;
  • LLAVE.CONFIRMACIÓN.

Todos los archivos anteriores, excepto los dos últimos, se pueden eliminar (¡más sobre esto más adelante!). Ejecute un limpiador, limpie el registro, inicie. Esos dos archivos deben dejarse en la computadora porque:

  • VAULT.KEY es la clave de cifrado. Si lo eliminas bloquearás permanentemente tus archivos, es decir, ¡no debes eliminar este archivo bajo ninguna circunstancia!;
  • CONFIRMATION.KEY: contiene información precisa sobre la cantidad de archivos bloqueados, necesarios para los atacantes.

Recuperar archivos de Vault

Lo peor y más desagradable es que los archivos permanecerán cifrados hasta que pagues a los atacantes. Simplemente no existen descifradores de Vault gratuitos y los archivos con la clave rsa-1024 solo pueden abrirse con el programa original (que, por supuesto, es propiedad de los piratas informáticos).

Métodos de recuperación de PC desde Vault:

  • Si tiene activa la herramienta Restaurar sistema, puede restaurar versiones anteriores de archivos. Para hacer esto, vaya a las propiedades del archivo y vaya a la pestaña “Versiones anteriores”;
  • En el caso de unidades de red, consulte la papelera de reciclaje; es posible que allí haya versiones normales de los archivos;
  • Si utiliza el almacenamiento en la nube, vea la papelera allí también. De repente, hay algo entre sus documentos o archivos.

Si no encuentra nada, tenemos malas noticias: tendrá que pagar a los atacantes para recuperar los archivos de Vault. Aquí notamos un punto importante: en los foros la gente escribe que los estafadores en realidad restauran archivos, pero solo hay que pagar. Si esto no fuera así, inmediatamente sería un “grito” y la gente no caería en la trampa.

Aprenderá cómo pagar a los estafadores desde el archivo de texto (aparece cuando intenta abrir un archivo Vault cifrado). Tendrás que iniciar el navegador Tor e ir al sitio web de los atacantes. Habrá instrucciones para trabajar con el sitio y atención; incluso tienen un sistema flexible de descuentos para restaurar archivos afectados por el virus Vault.

Si no puede hacer algo por su cuenta, le recomendamos que se ponga en contacto con ayuda informática de emergencia: pchelp24.com, precios razonables, especialistas experimentados, llamadas y diagnósticos gratuitos.

Los troyanos ransomware han evolucionado significativamente a lo largo del año desde su aparición. La versión original del virus, que comúnmente se llama .bóveda(según diferentes clasificaciones: .xtbl, .cbf, trojan-ransom.win32.scatter), descubierto a finales de febrero de 2015. Actualmente, otra versión de la infección amenaza la seguridad informática. A lo largo de toda la historia del virus, se han mejorado tanto el código como la funcionalidad del programa. En particular, cambiaron el área de propagación de la infección, la tecnología de procesamiento de archivos y una serie de atributos de representación externos.

Principales características del virus ransomware bóveda

La última versión, .vault, funciona utilizando un algoritmo avanzado de intercambio de claves de cifrado, lo que dificulta que los profesionales de la seguridad informática adivinen la clave de descifrado.

El script ransomware.vault en Windows se ejecuta en uno de los siguientes casos:
– usuario que abre un archivo adjunto infeccioso a una notificación ficticia enviada por estafadores;
– visitar un sitio web pirateado con un código de infección incrustado a través de vulnerabilidades, por ejemplo, Angler o Neutrino. En cualquier caso, no es fácil detectar el proceso de introducción de código de programa sin herramientas especiales, y el uso de aperturas efectivas para evitar el software antivirus permite que el malware evite las trampas de virus en la mayoría de los casos. La etapa de implementación ha terminado, el virus ransomware procede a escanear el disco duro, las tarjetas de memoria USB disponibles, los recursos de red, así como información sobre recursos en línea para almacenar y distribuir archivos, por ejemplo, Dropbox. El programa revisa todas las letras de unidad. El análisis debería detectar archivos cuyas extensiones se especifican como objetos en el algoritmo de ataque de virus. Más de 200 formatos están en riesgo, incluidos los más populares: documentos de Microsoft Office, archivos multimedia e imágenes.
En la siguiente fase del ataque, .vault codifica los objetos detectados durante el escaneo utilizando el estándar AES-256, mientras que la mayor parte de los troyanos ransomware que proliferan en Internet utilizan el algoritmo RSA. A continuación, el malware lanza una aplicación que explica al usuario afectado la esencia de lo que está sucediendo y le indica las acciones para restaurar los datos bloqueados. El programa genera el siguiente mensaje:

Sus documentos de trabajo y bases de datos se han cifrado y se les ha renombrado al formato .vault
Para restaurarlos, necesita obtener una clave única.

PROCEDIMIENTO PARA LA OBTENCIÓN DE UNA LLAVE:

BREVEMENTE
1. Vaya a nuestro recurso web
2. Obtenga una clave única
3. Restaurar archivos a su forma original.

DETALLES
Paso 1:
Descargue el navegador Tor desde el sitio web oficial: https://www.torproject.org
Paso 2:
Usando un navegador Tor, visite el sitio: http://restoredz4xpmuqr.onion
Paso 3:
Encuentre su VAULT.KEY única en su computadora: esta es su clave para su panel de cliente personal
Inicie sesión en el sitio usando la clave VAULT.KEY
Vaya a la sección de preguntas frecuentes y lea el procedimiento adicional.
ETAPA 4:
Después de recibir la clave, puede restaurar archivos utilizando nuestro software de código abierto o utilizar el suyo propio de forma segura.

ADEMÁS
a) No podrá recuperar archivos sin una clave única (que está almacenada de forma segura en nuestro servidor)
b) No te olvides del tiempo, suele jugar en tu contra
c) El costo de la restauración completa del recurso no es definitivo

Cuando ingresa a un sitio fraudulento en la red TOR, tendrá una cuenta personal completa con autorización, "servicio de soporte" e incluso un programa de afiliados, al estilo "obtenga dinero por cada computadora infectada". Además de cifrar los datos personales de la víctima, el ransomware añade nuevas extensiones a los archivos. La secuencia adjunta a los objetos bloqueados depende de la versión del malware. A continuación se muestra el hígado completo de dichas extensiones:
.vault, .xtbl, .cbf.
Así, el nombre de cualquier archivo, por ejemplo 'photo.jpg', se cambia a 'photo.vault'.

Para reanudar el acceso a datos claramente cifrados, la víctima debe seguir las instrucciones para organizar un rescate y pagar unos 500 dólares. EE.UU. El pago debe realizarse en moneda Bitcoin a una cuenta única para cada persona infectada.

Procedimiento ante un ataque de ransomware.vault

Es muy importante cuándo descubrió exactamente la intrusión. En cualquier caso, tan pronto como detecte el virus, desconecte la conexión de red y apague la computadora. También es recomendable abstenerse de eliminar archivos hasta que se resuelva la situación. Si tiene una copia de seguridad reciente de sus datos sin conexión o en la nube, ejecute una herramienta antimalware confiable y elimine .vault de su PC antes de proceder a restaurar desde la copia de seguridad. Si la situación evoluciona desfavorablemente, se llevará a cabo un ciclo de ataque completo. En este caso, es necesario determinar qué extensión se agregó a los archivos cifrados y verificar la posibilidad de tratarlos con herramientas de descifrado.

Sitio web del servicio de descifrado.vault

El virus ransomware recomienda que las víctimas abran un pasaje TOR creado para procesar un pago de Bitcoin. De hecho, esta es la página del “Servicio de descifrado”, cuyos enlaces se encuentran en las alertas de extorsión correspondientes. Proporciona información detallada sobre exactamente qué archivos se cifraron en la PC y describe los pasos de recuperación. Como se señaló anteriormente, los delincuentes solicitan el equivalente a +-500 dólares. Estados Unidos a Bitcoin de cada sistema infectado. El sitio también le permite acceder a una versión legible de uno de los archivos de forma gratuita y también proporciona un servicio de soporte que puede utilizar si algo sale mal con los malos.

¿Se descifrarán los archivos si se entrega el rescate?

Regla de oro: no pagues nada a menos que no tengas otra opción. Si aún tienes que pagar, ten en cuenta que el proceso puede retrasarse, ya que los estafadores necesitan recibir la confirmación del pago. A su vez, entregarán un par de claves que deben usarse para descifrar en la ventana interactiva del ransomware. Hay información de que los desarrolladores de .vault, al recibir un rescate, crean las condiciones necesarias para la recuperación de archivos. Sin embargo, la idea de apoyar económicamente a los chantajistas es definitivamente desalentadora y el costo de descifrado es alto para el usuario promedio.

Eliminación automática de .vault – virus de cifrado de datos

Un software de seguridad informática confiable eliminará eficazmente el virus ransomware .vault. La limpieza automática del ordenador garantiza la eliminación completa de todos los elementos infecciosos del sistema.

  1. y verifique si hay elementos maliciosos en su computadora usando el comando “Iniciar escaneo” / Iniciar escaneo de computadora
  2. Como resultado del escaneo, se creará una lista de objetos identificados. Para proceder a limpiar el sistema de virus e infecciones relacionadas, haga clic en “Reparar amenazas”. Completar este paso del procedimiento de eliminación garantiza de manera efectiva la erradicación completa del virus .vault. Ahora tenemos que resolver una tarea más difícil: recuperar sus datos.

Otros métodos para recuperar archivos cifrados por el virus Vault

Solución 1: realice la recuperación automática de archivos
Es necesario tener en cuenta el hecho de que Trojan.vault crea copias de archivos que luego cifra. Mientras tanto, se están eliminando los archivos originales. Existen programas de aplicación que pueden recuperar datos eliminados. Tiene la oportunidad de utilizar una herramienta como Data Recovery Pro para este propósito. Existe una tendencia entre el último ransomware a utilizar la eliminación segura con múltiples reescrituras. Sin embargo, vale la pena probar este método.

Solución 2: procedimiento de copia de seguridad
En primer lugar, es una excelente manera de recuperar datos. Desafortunadamente, este método sólo funciona si el usuario realiza una copia de seguridad de los datos antes de que invadan la computadora. Si se cumple esta condición, no pierda la oportunidad de beneficiarse de su previsión.
Solución 3: utilice instantáneas de volumen
Puede que aún no lo sepas, pero el sistema operativo crea las llamadas instantáneas de volumen de cada archivo si Restaurar sistema está activado. La creación de puntos de recuperación se produce en un intervalo determinado; las instantáneas de la imagen actual de los archivos se generan de forma sincrónica. Tenga en cuenta que este método no garantiza que se restaurarán las versiones más recientes de sus archivos. Bueno, ¡intentarlo no es una tortura! Hay dos formas de realizar el procedimiento: manualmente o utilizando una herramienta automática. Veamos primero el procedimiento manual.
Solución 4: utilice la opción "Versión anterior"
El sistema operativo Windows tiene una función incorporada para restaurar versiones anteriores de archivos. También funciona para carpetas. Simplemente haga clic derecho en la carpeta, seleccione “Propiedades” / Propiedades, luego active la pestaña "Versión anterior". El campo de versión proporciona una lista de copias de seguridad del archivo/carpeta, indicando la hora y fecha correspondiente. Seleccione su último guardado y haga clic “Copiar” / Copiar para restaurar el objeto a la nueva ubicación que designó. Eligiendo una restauración simple mediante el comando “Restaurar” / Restaurar, ejecute el mecanismo de recuperación de datos en la carpeta original.

El procedimiento le permite restaurar versiones anteriores de archivos y carpetas automáticamente en lugar de un procedimiento manual. Deberá descargar e instalar el software Shadow Explorer. Después de iniciar Explorer, especifique el nombre del disco y la fecha en que se crearon las versiones del archivo. Haga clic derecho en la carpeta o archivo que le interese y seleccione el comando “Exportar” / Exportar. Luego simplemente especifique la ruta de recuperación de datos.

Prevención

Vault es uno de los virus ransomware más viables en la actualidad. La industria de la seguridad informática no tiene tiempo para responder con antelación al rápido desarrollo de funciones de infección integradas. Un grupo separado de delincuentes se especializa en partes vulnerables del código del programa troyano, respondiendo al descubrimiento ocasional de tales vulnerabilidades por parte de laboratorios de investigación y eliminación de malware y entusiastas de la informática. Las nuevas versiones de la infección ransomware utilizan un principio de intercambio de claves mejorado, que elimina la posibilidad de utilizar decodificadores. Dada la naturaleza continua del desarrollo de una plaga informática, el trabajo de prevenir un ataque es lo primero.
La regla básica es mantener sus archivos de respaldo en un lugar seguro. Afortunadamente, existen varios servicios de almacenamiento seguro de bajo costo o incluso gratuitos. Copiar datos a una unidad externa fuera de la red no es tan conveniente, pero también es una buena manera de proteger la información. Para arruinar por completo los planes de introducir malware, no abra archivos adjuntos en correos electrónicos si provienen de una fuente sospechosa: dichos correos electrónicos son un método popular para distribuir ransomware. También se recomienda actualizar el software lo antes posible. Esto eliminará posibles vulnerabilidades, eliminando el riesgo de infección a través de exploit kits (conjuntos de programas que aprovechan las vulnerabilidades del software para atacar el sistema operativo). Por último, utilice un módulo de seguridad probado con capacidades de análisis dinámico.

Control después de la eliminación del virus.vault

Eliminar ransomware.Vault como tal no le permite descifrar datos personales. Los procedimientos de restauración anteriores a menudo, pero no siempre, ayudan a resolver el problema. Por cierto, este virus a menudo se instala junto con otro malware, por lo que definitivamente tiene sentido volver a verificar el sistema con un software antivirus automático para asegurarse de que no haya elementos residuales dañinos del virus y amenazas relacionadas en Windows. Registro, así como otras secciones de la memoria de la computadora.



Popular en la categoría:
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer
Macbook no se conecta a wifi Macbook no ve wifi
Macbook no se conecta a wifi Macbook no ve wifi
leer

últimos artículos
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
¿Cómo se controla la velocidad de rotación?...
leer
Arriba