mājas › Pakalpojumi › Virus.Vault — kā noņemt izspiedējvīrusu un atjaunot failus. Kā atgūt failus pēc Vault vīrusa

Virus.Vault — kā noņemt izspiedējvīrusu un atjaunot failus. Kā atgūt failus pēc Vault vīrusa

Pretvīrusu kompānijas Doctor Web eksperti ir izstrādājuši paņēmienu, kā atšifrēt failus, kas kļuvuši nepieejami bīstama kodētāja Trojas zirga darbības rezultātā. Trojas zirgs. Encoder.2843, kas lietotājiem zināms kā “Vault”.

Šī šifrētāja versija, kas saskaņā ar Dr.Web klasifikāciju saņēma nosaukumu Trojas zirgs. Encoder.2843, uzbrucēji aktīvi izplata, izmantojot masveida sūtījumus. Neliels fails, kurā ir JavaScript skripts, tiek izmantots kā burtu pielikums. Šis fails izvelk lietojumprogrammu, kas veic pārējās darbības, kas nepieciešamas kodētāja darbības nodrošināšanai. Šī Trojas zirga izspiedējvīrusa versija tiek izplatīta kopš 2015. gada 2. novembra.

Ļoti interesants ir arī šīs kaitīgās programmas darbības princips. Šifrēta dinamisko saišu bibliotēka (.DLL) tiek ierakstīta Windows sistēmas reģistrā, un Trojas zirgs iegulst nelielu kodu palaistajā explorer.exe procesā, kas nolasa failu no reģistra atmiņā, atšifrē to un nodod tam kontroli. .

Šifrēto failu saraksts Trojas zirgs. Encoder.2843 glabājas arī sistēmas reģistrā un katrai no tām izmanto unikālu atslēgu, kas sastāv no lielajiem latīņu burtiem. Failu šifrēšana tiek veikta, izmantojot Blowfish-ECB algoritmus, sesijas atslēga tiek šifrēta, izmantojot RSA, izmantojot CryptoAPI saskarni. Katram šifrētajam failam tiek piešķirts paplašinājums .vault.

Doctor Web speciālisti ir izstrādājuši īpašu tehniku, kas daudzos gadījumos ļauj atšifrēt šī Trojas zirga bojātos failus. Ja esat ļaunprātīgas programmatūras upuris Trojas zirgs. Encoder.2843, izmantojiet šādus ieteikumus:

iesniegt attiecīgu sūdzību policijā;
Nekādā gadījumā nemēģiniet pārinstalēt operētājsistēmu, “optimizēt” vai “tīrīt” to, izmantojot utilītas;
neizdzēsiet nekādus failus savā datorā;
nemēģiniet pats atgūt šifrētos failus;
sazinieties ar Doctor Web tehnisko atbalstu (Dr.Web komerciālo licenču lietotājiem šis pakalpojums ir bezmaksas);
Pievienojiet biļetei jebkuru Trojas zirgu šifrētu failu;
gaidiet atbildi no tehniskā atbalsta speciālista; Lielā pieprasījumu skaita dēļ tas var aizņemt kādu laiku.

Atgādinām, ka failu atšifrēšanas pakalpojumi tiek nodrošināti tikai Dr.Web pretvīrusu produktu komerciālo licenču īpašniekiem. Doctor Web pilnībā negarantē visu kodētāja darbības rezultātā bojāto failu atšifrēšanu, tomēr mūsu speciālisti darīs visu iespējamo, lai šifrēto informāciju saglabātu.

Šodien mēs ar jums runāsim par tēmu: “Mēs noķērām Vault vīrusu: ko darīt?” Šī tēma ir ļoti svarīga, īpaši mūsdienu pasaulē, kur dažādas datoru infekcijas ir burtiski uz katra soļa. Kas tas ir? Kur var atrast šo muļķi? Kā tas darbojas? Tas viss tiks apspriests tagad.

— Ar ko man tas gods?

Pirmā lieta, ar ko mums vajadzētu sākt, ir tas, ka mēs ar jums noskaidrojam, kas tas ir: “Vault” vīruss. Par to, ko ar to darīt un kā ar to rīkoties, mēs runāsim nedaudz vēlāk.

Kā jau minēts, mums būs jātiek galā ar tā saukto datu šifrētāju. Tas iekļūst operētājsistēmā un sāk mainīt (šifrēt) visu jūsu datu paplašinājumus. Ir labi, ja tā ir tikai personiska informācija. Un, ja datora infekcija ir sasniegusi sistēmas failus, tad viss ir ļoti slikti.

Ja esat noķēris "Vault" vīrusu un nezināt, ko darīt, tad pirmais, kas jums jādara, ir saprast, no kurienes šis "zvērs" radās jūsu datorā. Lieta tāda, ka šī lieta izskatās savādāk. Dažiem tā ir programma datu arhivēšanai, savukārt citam šķiet īpašs pārlūkprogrammas paplašinājums. Rezultāts ir tāds pats — jūsu piekļuve internetam ir “nolaupīta” un faili tiek lēnām šifrēti. Šeit ir tāds viltīgs "Vault" vīruss. Ko ar to darīt? Mēs to tagad izdomāsim.

Pārbaude

Nu, pirmais posms cīņā pret absolūti jebkuru infekciju jūsu datorā ir nekas cits kā pārbaudīt, vai sistēmā nav ļaunprātīgu failu un spiegprogrammatūras. Lai to izdarītu, jums būs nepieciešams Ja jūs domājat par jautājumu: “Vault” vīruss: kā ārstēt?”, tad vislabāk ir izmantot Dr.Web vai Nod32 Ja tie nav jūsu gaumei, tad varat arī izmantot Avast.

Atjauniniet vīrusu datu bāzi un pēc tam veiciet dziļu skenēšanu. Šis process var aizņemt diezgan ilgu laiku. Tomēr jums būs jāgaida. Kad esat pabeidzis, apskatiet rezultātus. Starp tiem noteikti parādīsies šifrēšanas vīruss “Vault”. Ko darīt ar saņemtajiem datiem? Pietiek vienkārši mēģināt izārstēt visu ļaunprātīgo programmatūru. Viss, ko nevar ārstēt, ir jānoņem. Tas tiek darīts, izmantojot īpašu pretvīrusu pogu. Tagad, kad esat skenējis datoru, varat pāriet uz nākamo darbību.

Atbrīvošanās no programmām

Tātad, ir pienācis laiks sākt tīrīt datoru. Ja jūs domājat par jautājumu: “Vault” vīruss: kā to ārstēt?”, tad mēģiniet pēc iespējas ātrāk atbrīvot operētājsistēmu no dažāda dīvaina satura un programmām, kuras neesat izmantojis ilgu laiku.

Lieta tāda, ka gan pārlūkprogrammu nolaupītājiem, gan šifrētājiem patīk rakstīt datorā visu veidu bezjēdzīgu saturu, kas palīdz šifrēt datus. Atbrīvošanās no šādām programmām vienkāršos operētājsistēmas apstrādes uzdevumu.

Lai atbildētu uz jautājumu: vienreiz un uz visiem laikiem?, dodieties uz un no turienes atveriet sadaļu "Instalēšana un uzgaidiet, līdz tiek ģenerēts instalētā satura saraksts, un pēc tam noņemiet visas jums nepazīstamās programmas. Tajā pašā laikā attīriet sistēmu no tām aplikācijām, kuras jau ilgu laiku krāj putekļus malā. Vai esat gatavs? Pēc tam varat aizvērt parādīto logu un pāriet uz šādiem pasākumiem, kas noteikti palīdzēs jums tikt galā ar uzdevumu.

Reģistrs

Kad lietotāji saskaras ar jautājumu: “Vault” vīruss: ko darīt, ja ir inficēts?”, daudzi aizmirst par tik svarīgu lietu kā datora reģistrs. Tieši tajā tiek “reģistrēta” datora infekcija, kas var būt diezgan grūti atbrīvoties.

Tātad, padomāsim par to, kā tieši mēs varam tīrīt reģistru. Lai to izdarītu, jums būs jāizpilda īpaša komanda (tā palīdz iekļūt mums vajadzīgajā pakalpojumā). Nospiediet Win + R un pēc tam palaidiet komandu "regedit". Pēc noklikšķināšanas uz "Enter" tiks atvērts datora reģistrs. Varat turpināt domāt par tēmu: "Vault vīruss: kā to noņemt?"

Pēc tam, kad būsim nokļuvuši vajadzīgajā servisā, mums būs jādomā, kur mums ir “jāuzkāpj”, lai tiktu galā ar uzdevumu. Kreisajā pusē redzēsit daudzas mapes ar gariem nosaukumiem. Mēs prasmīgi tos apiet un dodamies uz “rediģēt”. Tur atrodam “meklēt” un rindā ierakstām “Vault”. Palaidiet skenēšanu un pagaidiet, līdz tiek parādīti skenēšanas rezultāti.

Viss, ko jūsu dators atradīs, būs jāizdzēš. Nebaidieties — pēc tam jūsu operētājsistēma neavarēs un faili netiks bojāti. Tāpēc vienkārši ar peles labo pogu noklikšķiniet uz līnijām un pēc tam atlasiet komandu “dzēst”. Vai esat gatavs? Tad ejam tālāk. Atlikušas tikai dažas vienkāršas darbības, kas palīdzēs atrisināt problēmu ar mūsu pašreizējo izspiedējprogrammatūru.

Programmas palīdzība

Droši vien, apkarojot jebkuru kaitīgo programmu, neiztikt bez tā sauktajām trešo pušu programmām, kas palīdz atrast un “neitralizēt” vīrusus. Piemēram, Cclener ir lieliska izvēle. Šī ir lietojumprogramma, kas attīra datora reģistru (visefektīvākā pēc manuālas šī pakalpojuma tīrīšanas) un palīdz atbrīvot vietu sistēmas diskā C.

Jums vienkārši jālejupielādē CCleaner un jāinstalē. Pēc palaišanas loga kreisajā pusē vienkārši iestatiet vajadzīgos skenēšanas iestatījumus (kurās sadaļās meklēt) un pēc tam noklikšķiniet uz pogas "Skenēt". Tikai dažas sekundes - un rezultāti jau ir jūsu rokās. Viss, kas jums jādara, ir noklikšķiniet uz "Notīrīt" un apskatīt rezultātu.

Turklāt, ja domājat par tēmu: "Vault vīruss: ko man darīt?", varat izmantot arī tā saukto SpyHunter. Šis ir saturs, kas palīdz atklāt ļaunprātīgu programmatūru un spiegprogrammatūru, kā arī noņem šāda veida infekciju. Pēc instalēšanas un skenēšanas Jūs varēsiet restartēt datoru un galu galā vīruss jūs vairs netraucēs.

Ko darīt ar failiem?

Bet tagad jums vajadzētu uzdot jautājumu: "Ko darīt ar šifrētiem personas datiem?" Patiesībā jūs varat izvēlēties no vairākām pieejamajām metodēm.

Pirmais ir piemērots īpaši piesardzīgiem lietotājiem. Šādi cilvēki, kā likums, ieraksta visus savus failus trešās puses medijos. Viņiem var lūgt izdzēst bojāto saturu un pēc tam aizstāt to ar “parastiem” datiem.

Otra iespēja ir izmantot īpašus pakalpojumus no pretvīrusu programmām. Viņiem tiek nosūtīti šifrēti dati, pēc kura jūs saņemsit atbildi par atšifrēšanu. Dr.Web ir diezgan veiksmīgs šajā sarežģītajā jautājumā. Tas ir viss. Tagad jūs zināt, kā rīkoties, ja saņemat Vault vīrusu.

iesniegt attiecīgu sūdzību policijā;
Nekādā gadījumā nemēģiniet pārinstalēt operētājsistēmu, “optimizēt” vai “tīrīt” to, izmantojot utilītas;
neizdzēsiet nekādus failus savā datorā;
nemēģiniet pats atgūt šifrētos failus;
sazinieties ar Doctor Web tehnisko atbalstu (Dr.Web komerciālo licenču lietotājiem šis pakalpojums ir bezmaksas);
Pievienojiet biļetei jebkuru Trojas zirgu šifrētu failu;
gaidiet atbildi no tehniskā atbalsta speciālista; Lielā pieprasījumu skaita dēļ tas var aizņemt kādu laiku.

Pirmo reizi VAULT šifrētājs parādījās Krievijā 2015. gada februārī, iegūstot reputāciju viens no bīstamākajiem un neārstējamiem vīrusiem. Novembrī sākās otrais infekciju vilnis, kas bija plašāk izplatīts. Trešais vilnis notika 2016. gada janvāra vidū. un inficēto ierīču skaitā pārspēj iepriekšējos.

Kas ir VAULT izspiedējvīruss?

VAULT vīruss ir Trojas zirga kodētāja veids.

Iekļūstot datorā, izmantojot lietotāja darbības, programma šifrē noteikta veida datus, izmantojot desmitiem algoritmu ar unikālu modeli.

Sākotnējie dati netiek dzēsti, bet gan aizstāti ar bojātiem datiem, kas padara to atkopšanas iespēju gandrīz neiespējamu.

Atslēga, kas ļauj atšifrēt informāciju, tiek automātiski izdzēsta no sistēmas pēc šifrēšanas pabeigšanas.

Uzbrucēju mērķis ir izspiest naudu apmaiņā pret datu atšifrēšanu. Failu atšifrēšanas varbūtība pat šajā gadījumā nepārsniedz 50%.

Piemērs, kad dators ir inficēts ar VAULT vīrusu: uz jūsu darba e-pastu tiek nosūtīts primārās dokumentācijas pieprasījums no darījuma partnera vai paziņojums par nepieciešamību instalēt atjauninājumu pakotni no ConsultantPlus. Vēstulei pievienots fails ar paskaidrojošu informāciju. Kad izpildāmie un papildu faili ir palaisti, sākas datu šifrēšanas process.

Kādus failus VAULT šifrē?

Uzbrucējus interesē komerciāla informācija, kā arī foto, audio un video materiāli. Tādējādi faili ar šādiem paplašinājumiem ir apdraudēti: .rar, .zip, .jpg, .psd, .doc, .xls, .ppt, .pdf, .mp3, .ogg, .avi, .mpeg, .html, txt, 1C datu bāzes utt.

Kad dators ir inficēts, katrā mapē tiek izveidots teksta dokuments ar krāpnieku kontaktpersonām. Datu atšifrēšanas izmaksas svārstās no USD 10 līdz USD 50 000. Krāpnieki izmaksas novērtē pēc tam, kad lietotājs ar viņiem sazinās. Izpirkuma summa ir atkarīga no šifrētās informācijas apjoma. Tomēr nav garantijas, ka dati tiks atgūti vismaz daļēji.

Kā aizsargāt savu datoru no VAULT šifrētāja?

Vairumā gadījumu infekcija notiek, ja datorā nav pretvīrusu vai tiek izmantota programmatūras bezmaksas versija. Vismaz uzticamākais, mūsuprāt, ir Avast antivīruss.

Tomēr par upuriem bieži kļūst licencētu pretvīrusu programmatūras pakotņu, tostarp korporatīvo versiju, īpašnieki.

IT drošības speciālisti no ESET un Dr.Web ir izstrādājuši vairāki universāli ieteikumi kas palīdz aizsargāt jūsu datoru vai klēpjdatoru no VAULT vīrusa un līdzīgiem Trojas zirgiem ar izspiedējvīrusu:

laicīgi instalējiet kritiskos operētājsistēmas atjauninājumus

izvēlieties pretvīrusu programmas ar iebūvētu ugunsmūri

aizliegt izpildāmo failu (.exe) saņemšanu un pārsūtīšanu pasta serverī

aizliegt makro izpildi Microsoft Office vai līdzīgā programmatūrā

Regulāri dublējiet savus datus

dublēt svarīgu informāciju ārējiem medijiem

Kā noņemt VAULT no datora?

Šobrīd inficēšanās ar VAULT vīrusu un datu šifrēšana ir vienreizēja un neizraisa sistēmas failu inficēšanos. Tādējādi, lai noņemtu vīrusu no sistēmas, pietiek ar skenēšanu ar CureIt utilītu no Dr.Web. Tomēr jāatceras, ka mēģinājumi izārstēt vai dzēst inficētos failus, kā arī pārinstalēt sistēmu Windows, samazinās iespēju atjaunot šifrētos datus līdz nullei.

Tas nozīmē, ka vīrusa noņemšana nav grūta, ja esat gatavs uz visiem laikiem šķirties no šifrētas informācijas vai arī jums ir rezerves kopijas ārējā datu nesējā.

Kā atgūt VAULT failus?

Tiklīdz jūs atklāja infekciju Mēs redzējām mainītas failu ikonas un jauna veida paplašinājumu, piemēram, .doc.vault, nekavējoties izslēdziet datoru vai klēpjdatoru. Jo ilgāk tas darbojas, jo vairāk failu zaudēsit.

Mēs atkārtojam: diska skenēšana ar pretvīrusu, failu dezinficēšana, sistēmas pārinstalēšana un citi standarta līdzekļi tikai samazinās datu atšifrēšanas iespējamību.

Neviens no izstrādātājiem pretvīrusu programmatūra līdz šim nav spējusi izveidot utilītu VAULT pakļautās informācijas atšifrēšanai.

Sistēmas atjaunošanas punktus iznīcina vīruss. Strādājot ar Windows Vista / 7 / 8 / 10, ir iespēja atjaunot Windows no ēnu kopijām, izmantojot utilītu Shadow Editor. Taču vairumā gadījumu pazūd arī ēnu kopijas.

Ja jums ir licencēts NOD32 vai Dr.Web produkts, varat sazināties ar viņu tehnisko atbalstu ar pieprasījumu atšifrēt datus.

Turklāt eksperti iesaka vērsties policijā ar paziņojumu, jo uzbrucēju rīcībā ir noziegumu pazīmes saskaņā ar Art. Art. Krievijas Federācijas Kriminālkodeksa 159.6., 163., 165., 272., 273.

Šādu darbību praktiskais rezultāts tiek samazināts līdz nullei. Fakts ir tāds, ka vēl nav iespējams atgūt failus, ko VAULT ir šifrējis. Paliek vienīgā izeja: fiziski noņemiet HDD vai SSD disku no ierīces un instalējiet jaunu. Iespējams, drīzumā būs veids, kā atšifrēt informāciju, un tad datus varēs atgūt.

Nesen lietotāji ir saskārušies ar jaunu draudu - vīrusu, kas šifrē failus, aizstājot standarta paplašinājumus. Tā rezultātā dokumenti, audio un video ieraksti un attēli kļūst nepieejami. Uzbrucēji pieprasa nopietnu naudu par atšifrēšanas atslēgu.

Šifrētāji ir tik bīstami, ka no tiem nevar izvairīties pat lielas organizācijas: piemēram, 2016. gada februārī Holivudas presbiteriāņu medicīnas centram bija jāmaksā uzbrucējiem 17 000 USD par atšifrēšanas atslēgu. Nav precīzi zināms, kura izpirkuma programmatūra darbojās Holivudā, taču Runet lietotāji parasti sastopas ar Vault vīrusu. Tātad, redzēsim, kā, ja iespējams, atgūt failus pēc Vault vīrusa.

Kā atgūt failus pēc Vault vīrusa

Vīrusu noteikšana

Infekciju ir grūti nepamanīt: faili automātiski mainīs paplašinājumu uz .vault un pārtrauks to atvēršanu, kā arī tiks parādīts ziņojums, piemēram, “Dati bloķēti. Lai tos atjaunotu, jums ir jāiegūst unikāla atslēga. Zemāk parasti ir vietnes adrese un norādījumi par atšifrēšanas koda apmaksu un saņemšanu.

Ja redzat šādu ziņojumu, jums nekavējoties jāizslēdz dators un jāizņem visi noņemamie datu nesēji. Vault informāciju šifrē pakāpeniski, tāpēc jums ir laiks saglabāt dažus failus.

Bet kā vīruss nokļuva datorā? Visticamāk pa e-pastu. Lietotāji saņem vēstuli ar svarīgu tēmu (kredītparāds, pavēste, maksājuma apstiprinājums u.c.), viņi atver ziņojumu, pēc kura datorā tiek lejupielādēta šifrēšanas programma un Vault baneris ar norādījumiem par atšifrēšanas koda apmaksu.

Šifrēšanai mēs izmantojam bezmaksas un nekaitīgu GPG programmu, kas izmanto RSA-1024 algoritmu. Formāli tas nav vīruss, tāpēc tas nedarbojas. Taču atslēga, kas nepieciešama informācijas atšifrēšanai, paliek hakeram, un kodu uzlauzt nebūs iespējams – vērtību meklēšana prasīs vairākus gadus. Tāpēc neatveriet e-pastus no nezināmiem sūtītājiem!

Izpirkuma programmatūras noņemšana

Vault noņemšana ir pavisam vienkārša: tā neiekļūst dziļi sistēmā un sabojā dzīvi, tikai bloķējot piekļuvi informācijai. Lai notīrītu sistēmu, izmantojiet Dr.Web CureIt! vai Kaspersky Virus Removal Tool. Šīs utilītas ir jāpalaiž Windows drošajā režīmā.

Procedūra ir vienkārša:

Turklāt jums vajadzētu noņemt Vault komponentus, kas tiek glabāti slēptā mapē C:\Users\User\AppData\Loca\Temp. Ļaunprātīgā koda struktūra ir šāda:

3c21b8d9.cmd.
fabac41c.js.
04fba9ba_VAULT.KEY.
VAULT.txt.
Sdc0.bat.
APSTIPRINĀJUMS.ATSLĒGA.
VELVĒ.ATSLĒGA.

Pēdējie divi komponenti jums būs noderīgi, ja nolemjat maksāt uzbrucējiem par atšifrēšanu. Tajos tiek glabāta atslēgas publiskā daļa (hakeriem ir privātā daļa, bez kuras kodu nevar noņemt) un informācija par šifrēto datu apjomu.

Ir vēl viena iespēja - ierakstiet Kaspersky Rescue Disk zibatmiņas diskā un sāknējiet datoru no tā. Jums būs nepieciešams strādājošs dators, zibatmiņas disks, ierakstīšanas utilīta un Kaspersky Rescue Disk 10 attēls.

Failu atšifrēšana

Jūs ātri tiksiet galā ar ļaunprogrammatūru, taču tad radīsies nopietna problēma - nav atšifrētāja, kas ātri atvērtu piekļuvi informācijai, kas šifrēta, izmantojot RSA-1024 algoritmu. Lielo pretvīrusu programmatūras izstrādātāju nostāja ir tāda, ka viņiem nav tehnisko iespēju uzlauzt kodu. Tāpēc atliek dažas iespējas:

Ja tiek zaudēta informācija, kurai nav lielas vērtības, to ir vieglāk izdzēst no datora. Un atcerieties, ka jums nav jāatver dīvainas vēstules no nezināmiem sūtītājiem.
Ja šifrētajiem datiem ir liela vērtība, jums būs jāmaksā vīrusu programmatūras sūtītājiem. Šī ir ekstrēma iespēja, jo nav pārliecības, ka netiks maldināts. Turklāt jūs mudināt uzbrucējus turpināt sūtīt inficētus e-pastus, jo tas viņiem nes naudu.

No pieejamajām atšifrēšanas metodēm varat izmēģināt vairākas iespējas, taču nav garantijas, ka tās dos pozitīvu rezultātu:

Apmeklējiet lielāko pretvīrusu programmatūras izstrādātāju tehniskā atbalsta forumus. Kaspersky Lab, Dr.Web, ESET. Izspiedējvīrusu datubāze nepārtraukti paplašinās. Sīki aprakstiet problēmu, iespējams, viņiem būs rīki tās risināšanai.
Izmantojiet failu ēnu kopijas (attiecas, ja ir iespējota sistēmas aizsardzība).

Atveriet šifrētā faila rekvizītus un dodieties uz cilni "Iepriekšējās versijas".

Ja ir iepriekšējie, nešifrēti izdevumi, varat tos atvērt vai atjaunot. Šādā gadījumā dati ar paplašinājumu .vault ir jādzēš no datora. Diemžēl citu darba metožu nav. Tāpēc labāk izvairīties no tikšanās ar izpirkuma programmu: neatveriet svešas vēstules, nelejupielādējiet aizdomīgas programmas, nesekojiet nezināmām saitēm.

Populārs kategorijā: