Техническое обслуживание сервера

Vault что это за папка?

Содержание

Vault что это за папка?

Vault — это шифровальщик файлов, заменяющий расширение документов и файлов на свое, после чего открыть их нереально. Поэтому мы подробно разберем, как восстановить файлы повреждённые вирусом Vault.

При попадании на компьютер, вирус Ваулт начинает шифровать файлы с расширением .pdf, .doc, .docx, .zip, .jpeg, .xls, .xlsx и многие другие. После заражения файлы так и будут иметь свое расширение, но к ним дополнительно будет прикреплено расширение .vault.

Естественно, после встречи с таким интересным вирусом пользователь как минимум впадет в ступор, и начнет искать пути, которые позволят снова открывать зашифрованные файлы и восстанавливать их.

К большому сожалению, нам придется вас разочаровать, ведь простого и бесплатного решения по восстановлению Vault файлов не существует в силу технических особенностей самого шифровальщика. В общем, обо всем по порядку.

Обычно вирус Vault попадает на компьютер после того, как пользователь открыл письмо, пришедшее на электронную почту, в заглавии котором говорится, что его нужно срочно открыть и прочитать. Как правило, это письмо, высланное от имени банка, партнеров или просто какой-то спам. Собственно в нем находится скрипт с расширением .js, который инициирует процесс загрузки шифровальщика из хакерских серверов.

Тут важно отметить, что шифровальщик Vault — это не запрещенное криптографическое приложение GPG, использующее алгоритм rsa-1024 для шифрования файлов. Само приложение якобы не является вирусом, поэтому антивирусные программы не будут его перехватывать. После того, как шифровальщик начнет действовать на вашем компьютере, то он сразу же создаст на вашем компьютере открытый ключ шифрования, а на сервере мошенников будет сформирован закрытый ключ. Также заметим, что в ряде случаев ПО способно заражать компьютеры, которые находятся в одной сети с вашим, уже пораженным.

Удаление шифровальщика Vault

Как только вы заметите на ваших файлах расширение .vault, то сразу вырубайте сеть, прекращайте выполнять работу в приложениях, не стоит также открывать папки лишний раз. Перезагрузитесь и войдите через безопасный режим.

Удалить ПО несложно — просто вбейте в поиске Google запрос «популярные программы для удаления шифраторов». Но это не решит проблему — все только начинается, к сожалению.

Сам так называемый вирус прячется в папке Temp, и состоит он из таких файлов:

  • 3c21b8d9.cmd;
  • fabac41c.js;
  • VAULT.txt;
  • Sdc0.bat;
  • VAULT.KEY;
  • CONFIRMATION.KEY.

Все вышеперечисленные файлы, кроме двух последних, можно удалять (об этом далее!). Запустите какой-нибудь клинер, почистите реестр, автозагрузку. Те два файла необходимо оставлять на компьютере потому что:

  • VAULT.KEY — это ключ шифрования. Если вы его удалите, то навечно заблокируете свои файлы, то есть удалять этот файл нельзя ни в коем случае!;
  • CONFIRMATION.KEY — содержит точную информацию о количестве заблокированных файлов, необходим для злоумышленников.

Восстановление файлов Ваулт

Самое страшное и неприятное — файлы останутся зашифрованными до тех пор, пока вы не заплатите злоумышленникам. Бесплатных дешифраторов Vault просто не существует, а файлы с ключом rsa-1024 открываются только исходной программой (которая, конечно, находится у хакеров).

Способы восстановления ПК от Vault:

  • Если у вас активен инструмент восстановления системы, то вы сможете восстановить старые версии файлов. Чтобы это сделать зайдите в свойства файла и перейдите на вкладку «Предыдущие версии»;
  • В случае с сетевыми дисками — проверьте корзину — там могут находиться нормальные версии файлов;
  • Если вы пользуетесь облачным хранилищем, то просмотрите корзину и там. Вдруг там что-то завалялось из ваших документов или файлов.

Если вы ничего не нашли, у нас плохие новости — для восстановления файлов Vault придется платить злоумышленникам. Тут заметим немаловажный момент: на форумах люди пишут, что мошенники реально восстанавливают файлы, но только нужно заплатить. Было бы это не так, об этом бы сразу же «раскричалось» и люди бы не велись на это.

Как платить мошенникам — вы узнаете из текстового файла (появляется при попытке открыть зашифрованный Vault файл). Вам придется запустить браузер Тоr и перейти на сайт злоумышленников. Тут будет мануал по работе с сайтом и внимание — у них имеется даже гибкая система скидок для восстановления файлов поражённых вирусом Vault.

Если у Вас не получается что то сделать самостоятельно, то советуем обратится в скорую компьютерную помощь — pchelp24.com, приемлемые цены, опытные специалисты, бесплатный вызов и диагностика.

(6 , в среднем: 3.5 из 5)

Vault: установка и базовые операции

Vault что это за папка?

Краткий HowTo по установке и использованию Vault от Hashicorp.

Установка выполняется на Ubuntu 14.

Загрузить архив с Vault можно тут>>>.

Полная документация доступна тут>>>.

Установка Vault

$ cd /tmp/ && wget https://releases.hashicorp.com/vault/0.4.1/vault_0.4.1_linux_amd64.zip $ unzip vault_0.4.1_linux_amd64.zip Archive: vault_0.4.1_linux_amd64.zip inflating: vault $ ls -l vault -rwxr-xr-x 1 vagrant vagrant 31659744 Jan 13 22:32 vault

Копируем исполняемый файл в подходящую директорию, например — /usr/local/bin:

$ sudo cp vault /usr/local/bin/

$ vault -h usage: vault [-version] [-help] [args] Common commands: delete Delete operation on secrets in Vault path-help Look up the help for a path …

Запускаем Vault в developer-mode:

$ vault server -dev ==> WARNING: Dev mode is enabled! … The only step you need to take is to set the following environment variables: export VAULT_ADDR='http://127.0.0.1:8200' The unseal key and root token are reproduced below in case you want to seal/unseal the Vault or play with authentication. Unseal Key: 7d2d82ccc9ea5955491f5bc6f9194c51b0be9df20a58c24fc4c197c2f0086c Root Token: 7a385b9e-16e1-5bc9-a73e-4fedf7170aab ==> Vault server configuration: Log Level: info Mlock: supported: true, enabled: false Backend: inmem Listener 1: tcp (addr: 127.0.0.1:8200, tls: disabled) Version: Vault v0.4.1 ==> Vault server started! Log data will stream in below: 2016/01/28 11:26:14 [INFO] core: security barrier initialized (shares: 1, threshold 1) …

Открываем второй терминал, подключаемся к машине с Vault:

$ cd VMs/Vagrant/vault/ $ vagrant ssh … Last login: Thu Jan 28 11:20:03 2016 from 10.0.2.2 11:28:26 [[email protected]

$ telnet 127.0.0.1 8200 Trying 127.0.0.1… Connected to localhost. Escape character is ']'. Connection closed by foreign host.

Добавляем переменную VAULT_ADDR, которая указывает на хост с запущенным Vault:

Для подключения и авторизации потребуются ключи доступа из лога запуска vault server -dev:

… Unseal Key: 7d2d82ccc9ea5955491f5bc6f9194c51b0be9df20a58c24fc4c197c2f0086c Root Token: 7a385b9e-16e1-5bc9-a73e-4fedf7170aab …

$ vault status Sealed: false Key Shares: 1 Key Threshold: 1 Unseal Progress: 0 High-Availability Enabled: false

Добавляем первые данные в хранилище:

$ vault write secret/hello value=world Success! Data written to: secret/hello

$ vault read secret/hello Key Value lease_duration 2592000 value world

Можно получить вывод в JSON формате:

$ vault delete secret/hello Success! Deleted 'secret/hello'

$ vault read secret/hello No value found at secret/hello

Vault backend

Больше информации — тут>>> и тут>>>.

Vault может работать с несколькими бекендами, для каждого из которых имеется своя точка монтирования.

В примере выше — это был префикс secret/.

Добавляем новое хранилище:

$ vault mount generic Successfully mounted 'generic' at 'generic'!

Проверяем точки монтирования:

$ vault mounts Path Type Default TTL Max TTL Description cubbyhole/ cubbyhole n/a n/a per-token private secret storage generic/ generic system system secret/ generic system system generic secret storage sys/ system n/a n/a system endpoints used for control, policy and debugging

Добавляем туда данные:

$ vault write generic/hello value=world Success! Data written to: generic/hello

Что бы отмонтировать хранилище — выполняем:

$ vault unmount generic Successfully unmounted 'generic'!

Получить помощь по монтированию бекендов:

$ vault mount —help Usage: vault mount [options] type Mount a logical backend. This command mounts a logical backend for storing and/or generating secrets. General Options: -address=addr The address of the Vault server. Overrides the VAULT_ADDR environment variable if set. …

Динамические бекенды

Кратко рассмотрим работу с динамическими бекендами на примере AWS.

Полная версия документа — тут>>>.

Для работы с ним — нам потребуется зарегистрированный аккаунт AWS.

$ vault mount aws Successfully mounted 'aws' at 'aws'!

Настраиваем подключение к AWS-аккаунту:

$ vault write aws/config/root access_key=AK***CQ secret_key=nS***j+ Success! Data written to: aws/config/root

Получение AWS_ACCESS_KEY и AWS_SECRET_KEY описано в посте Amazon web service: установка EC2 CLI tools.

Имейте ввиду, что прочитать эти данные нельзя:

$ vault read aws/config/root Error reading aws/config/root: Error making API request. URL: GET http://127.0.0.1:8200/v1/aws/config/root Code: 500. Errors: * unsupported operation

Добавим политику доступа IAM, которая позволяет пользователю выполнять любые операции с EC2-инстансами AWS аккаунта.

Создаем JSON-файл с таким содержимым:

Примечание: пользуясь случаем — хочу передать привет полезному сервису JSONLint.

Описание элементов политик IAM можно почитать тут>>>.

Сохраняем данные в Vault:

$ vault write aws/roles/deploy [email protected] Success! Data written to: aws/roles/deploy

$ vault read aws/creds/deploy Key Value lease_id aws/creds/deploy/843476a9-8a0f-46c7-f281-76537026a66d lease_duration 3600 lease_renewable true access_key AK***3Q secret_key l+***6T

Проверяем пользователей в консоли IAM:

Что бы удалить эти данные доступа — выполняем revoke, указав lease_id:

$ vault revoke aws/creds/deploy/843476a9-8a0f-46c7-f281-76537026a66d Key revoked with ID 'aws/creds/deploy/843476a9-8a0f-46c7-f281-76537026a66d'.

На этом быстрое знакомство с Vault от Hashicorp закончено.

Дальше будет описана установка Consul и связка Vault + Consul.

Vault вирус – как восстановить файлы, как избавиться от расширения vault, дешифраторы и расшифровщики Ваулт decryptor, Dr.Web

Vault что это за папка?

Во время развития компьютерных технологий не обошлось и без вирусов. Всем известны их формы, которые засоряют память компьютера или телефона, удаляют файлы, подменяют их и многие другие. Но самыми опасными являются вирус шифровальщики. Это могут быть и трояны и особо опасный вирус Vault (дословно переводится, как склеп). Они шифруются под различные письма, которые пользователь открывает и тем самым запускает процесс проникновения вируса. Затем все файлы зашифровываются и вернуть их обратно очень сложно или вообще невозможно. Хакеры на это и рассчитывают, требуют деньги в обмен на возвращение информации.

Вирус шифровальщик Vault — что это

Одним из самых опасных вирусов считается Vault. Некоторые антивирусные программы его попросту не воспринимают. Файл чаще всего приходит с расширением .js. Поэтому прежде, чем открывать элемент с таким расширением дважды присмотритесь к нему. После запуска проходит некоторое время, которое нужно для считывания файлов на ПК и скачивании с сервера разработчиков специальной утилиты для зашифровки информации. Процесс шифрования начинается сразу после скачивания программы. Закодированы будут все данные, которые есть на компьютере на различных дисках, кроме тех, которые нужны для работы Windows.

Кодировщиком Ваулт является бесплатная программа gpg с алгоритмом шифрования RSA 1024. Эта утилита спокойно обходит все защиты антивирусов, так как по сути не является вирусом. Потом создаются открытые и закрытые ключи. Закрытые остаются на сервере разработчиков или злоумышленников, а открытые на компьютере пользователя, заразившегося им.

После определенного времени почти все на компьютере будет зашифровано, вся информация будет иметь расширение *.vault и пользователь полностью потеряет над ними контроль. А утилита создаст специальный ключ, который будут знать только хакеры.

Способы сбросить или полностью убрать пароль при загрузке Windows 8

Пути заражения

Этот вирус распространяется с помощью сообщений через почту или социальные сети и даже Скайп, в виде архива, чтобы его не заметили или файла с расширением .js.

Он может приходить сообщением от компаний, с которыми пользователь взаимодействует, под видом оплаты какого-нибудь счета или сверочного документа для бухгалтеров. Поэтому надо быть осторожным и внимательно вчитываться в то, что присылают.

Первые действия

Если компьютер начал тормозить или проявлять излишнюю активность и на дисках часть файлов уже зашифрована, то следует сразу выключить компьютер с кнопки или вообще отсоединить от питания. Тогда удастся сохранить хотя бы часть данных.

Снимаем жесткий диск и подключаем ко второму ПК, заранее отключив интернет. После включения прогнать все антивирусом и попытаться найти нижеперечисленные файлы.

Если ключи найдены, то ищем сервисы дешифраторы в интернете. Расшифровываем информацию и форматируем диск С.

Если ничего не найдено, форматируем диск С и переходим к последующим инструкциям.

Как удалить Vault

Прежде чем пользователь обнаружит у себя этот вирус, его деятельность уже завершится с удачным исходом. Поэтому необходимо сделать следующее, чтобы не потерять свои данные:

  • Сохранить файл confirmation.key, он отобразит количество зашифрованных данных. Благодаря ему хакеры могут видеть сколько файлов надо восстановить и потребовать определенную сумму.
  • Найти Vault.key. Этот файл является ключом или идентификатором к зашифрованной информации.
  • Сохранить Vault.txt. Здесь содержится вся информация о хакерах и их сайте.

Сохранив эти файлы из папки Temp, вы можете ее полностью очистить и пройтись программой CureIT, которую предоставляет антивирус Doctor Web. Затем перезагрузите персональное устройство.

Если в папке Temp ничего из вышеперечисленного не оказалось, можно воспользоваться стандартным поиском на диске С. Вероятность найти Vault.key очень мала, он удаляется после завершения шифрования. Но если он найден – это практически полная гарантия расшифровки информации.

Восстановление зашифрованных файлов

Если Vault вирус все-таки зашифровал ПК, то восстановить зашифрованные файлы можно несколькими способами. На жестком диске некоторое время хранится дешифровальный ключ, который после того, как все будет закончено отправится на сервер хакерам и соответственно удалится с ПК.

Возможно еще есть время его найти. Он называется secring.gpg. Если зайти в Мой компьютер и в строке поиска в правом верхнем углу ввести название и нажать кнопку «Ввод», система попытается отыскать этот файл. Открыв его можно получить логин а пароль от сайта, где хранится дешифратор. Более подробно узнать, как это сделать на видео ниже:

А также можно попытаться самому восстановить данные из резервных копий, если вы их создавали. Кликаете по закодированному элементу правой кнопкой и находите пункт «Свойства». Ищете раздел «Предыдущие версии» и восстанавливаете. Это сработает, если эта функция включена в системе.

Оплата мошенникам

Конечно, чтобы не терять информацию, если не получилось ее восстановить, можно связаться с самими злоумышленниками и заплатить им. Однако их сервера не работают круглосуточно и придется ждать несколько часов, пока заработает обратная связь. Кроме этого, не факт, что после оплаты денег, создатели Vault расшифруют все файлы.

Хотя судя по многочисленным отзывам мошенники действительно расшифровывают информацию. В этом плане аферисты очень щепетильны – действует гибкая система скидок (если пользователь умудрился опять подцепить подобный вирус) и даже есть техподдержка.

Всю информацию об их сайте и как с ними связаться получаете в блокноте после заражения.

Что предлагают антивирусные лаборатории

Например, антивирусная лаборатория Доктор Веб предлагает не удалять файлы, не чистить систему и оставить все на своих местах после обнаружения заражения. Затем с последующим заявлением обратиться в полицию. Образцы заявлений представлены по ссылке http://legal.drweb.ru/templates.

Как настроить публичные DNS сервера от Яндекса, Google и других сервисов

После этого необходимо обратиться в техническую поддержку антивируса и представить копию зашифрованного элемента. Останется только ждать ответа от службы поддержки. Через некоторое время в ответном письме от Dr.Web придет Vault дешифратор. К сожалению эта возможность доступна только тем пользователям, у кого куплен платный пакет антивируса.

У антивируса Касперского тоже есть для этого специальный дешифратор Vault decryptor. Это программа, которая самостоятельно ищет зашифрованные файлы и раскодирует их.

Если у вас стоит антивирус EsedNod 32, то следует сканировать и почистить систему данным антивирусом, а затем обратиться в техническую поддержку — [email protected] Обращаться в тех.поддержку следует только при наличии лицензионного антивируса.

У антивируса Avast есть специальные утилиты для дешифровки Ваулт вируса. Их можно найти на официальном сайте Avast.

Как обезопасить себя от вируса Vault

Для того, чтобы обезопасить себя от таких вирусов необходимо:

  • Не открывать файлы с расширением .js или отсылать их на проверку антивирусу.
  • Всю важную информацию с ПК хранить на облачном диске.
  • Не скачивать пиратские утилиты и не устанавливать из на компьютер.

Чем опасен вирус шифровальщик Vault

Vault что это за папка?

Vault-вирус кодировщик JavaScript

Каждый из нас, хотя бы один раз, да и ловил компьютерный вирус или вредоносную программу. И на собственном опыте знает, как порой трудно с ним бороться. Сколько нервных клеток погибает в этой борьбе. Сколько времени и сил тратится на решение проблемы. В данном обзоре мы хотели бы вкратце рассказать о работе вируса-шифровальщика vault.

Что являет собой шифровальщик Vault

Vault – это, скорее, не вирус, а штатная компьютерная утилита, позволяющая пользователю шифровать свои файлы от посторонних глаз и несанкционированного доступа. Как раз эту утилиту и используют злоумышленники, шифруя Ваши файлы. В этом случае, шифровка осуществляется жуликами через созданный ими скрипт.

Скрипт — это мини-программа, которая, попадая в компьютер пользователя, и активировавшись, запускает утилиту шифрования всех файлов. Штатная утилита JavaScript начинает изменять файлы, производя шифровку данных. Информация, находящаяся в файлах, превращается в набор непонятных символов, непригодных для использования.

У пользователя нет возможности своими силами вылечить файлы, так как ключ для дешифровки не доступен. Шифровке подвергаются все рабочие данные, имеющиеся на компьютере: фотографии, текстовые документы, электронные таблицы, каталоги и так далее.

По сути, правильным будет сказать, что это не вирус, а компьютерный обман: через обычный JavaScript злоумышленники имеют возможность воспользоваться Вашим штатным шифровальщиком без Вашего же ведома. Именно по этой причине антивирусные программы бесполезны: нет зараженных файлов; есть штатная шифровка. Откат до предыдущей точки восстановления результатов тоже не даёт.

Скрипт, как правило, попадает в компьютер пользователя через письмо по электронной почте. Разработчики вредоносной программы маскируют скрипт, размещая его в .zip-архиве актуального почтового сообщения, открытие которого и активирует работу зловредной программы на компьютере.

Самое неприятное — пользователь может получить письмо из достоверного источника, почта которого могла быть взломана. Почтовое сообщение может содержать .zip-файл с названием: Решение суда, Постановление, Акт сверки, Счёт за услуги, Коммерческое Предложение, и так далее.

При открытии вложенного JavaScript-файла запускается вредоносная программа шифрования. К моменту появления на рабочем столе сообщения о работе вируса, большая часть данных может быть уже зашифрована. Скорость появления сообщения всегда разная и зависит от нескольких факторов: оперативности доступа к файлам, производительности вашей машины. Одно ясно точно – если появилось сообщение, то часть файлов уже поражена вирусом и необходимо немедленно начинать с ним бороться.

Что делать в случае активации шифровальщика

Если у Вас на рабочем столе Вашего PC появилось сообщение о работе вируса на компьютере, первым делом необходимо произвести следующие манипуляции:

  • немедленно выключить питание компьютера. Отключение машины от сети позволит прервать работу вредоносной программы и дальнейшую шифровку файлов, заражение другими вирусами;
  • отключить компьютер от сетевых устройств и внешних дисков, сервера, других машин — это не позволит распространиться вирусам на внешние устройства памяти;
  • включив компьютер, постарайтесь удалить само тело вируса, который находится в папке temp пользователя, который его активировал;
  • произвести лечение компьютера: в процессе шифрования, на Ваш PC могут установиться различные вирусы.

Вирусные программы, которые могут проникнуть уже в процессе шифрования, могут получить доступ к Вашей электронной почте и разослать тот же самый JavaScript всем Вашим контактам. Скорее всего, данный JavaScript к Вам так и попал: первоначально был атакован пользователь, у которого имелся адрес Вашей электронной почты.

При удалении вредоносных файлов необходимо оставить VAULT.KEY и CONFIRMATION.KEY, которые понадобятся при восстановлении данных:

  • CONFIRMATION.KEY – это файл, содержащий информацию о Ваших зашифрованных данных: количестве и типах файлов, подвергшихся шифрованию. Именно его попросят хакеры прислать для установления цены за предоставления ключа для расшифровки данных. Чем больше массив зашифрованных файлов — тем выше стоимость.
  • VAULT.KEY – это ключ, с помощью которого создан именно Ваш шифр, и злоумышленники по нему определят вторую половину ключа, необходимую для дешифровки Ваших файлов.

Как восстановить зашифрованные файлы

Очень хороший вопрос. Не следует тратить время на поиски ответов на форумах и в службах поддержки тех или иных антивирусных лабораторий. В Вашем случае вариантов нет. Придётся выполнять алгоритм мошенников, если Вам дороги файлы. Более того: промедление может увеличить стоимость расшифровки файлов. Алгоритм действий будет приведён на Вашем мониторе.

ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:

  • Скачайте Tor-браузер с официального сайта: https://www.torproject.org

TOR-браузер нужен для обеспечения анонимности при установлении сетевого соединения с вымогателями. Этот браузер используется для того, чтобы усложнить задачу по поиску жуликов. Хотя обеспечивает полную конфиденциальность только при умелом использовании;

  • Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion

Только этот браузер, представляющий из себя сеть виртуальных тоннелей, позволит зайти на сайт злоумышленников. Больше никак Вы не сможете связаться со злоумышленниками и получить заветный ключ после долгих манипуляций;

  • Найдите Ваш уникальный VAULT.KEY — это Ваш ключ для авторизации

Данный файл Вы без труда найдёте на своём компьютере. Он будет прописан вместе с остальными файлами во временной папке. Не в коем случае не удаляйте, так как это лишит Вас всякой возможности для дешифровке файлов;

  • Авторизуйтесь на сайте, используя Ваш ключ VAULT.KEY

Это позволит Вам приступить непосредственно к расшифровке файлов. Для убедительности Вас попросят прислать один из зашифрованных файлов. Через короткое время Вам вернут файл в исходном формате, доступном для использования. Это послужит для Вас примером того, что остальные файлы могут быть так же дешифрованы. При определённых условиях.

  • Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой

Дальнейшая процедура дешифровки подразумевает алгоритм оплаты. Тут всё не так уж просто: оплата возможна только в крипто-валюте биткоин. Вам потребуется зарегистрироваться на бирже, приобрести необходимое количество биткоинов, и перечислить их на счёт злоумышленников. Далее Вам будет предоставлен ключ для дешифровки файлов.

  • После всех манипуляций Ваши файлы снова будут доступны.

После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё ПО.

ДОПОЛНИТЕЛЬНО:

  • a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на сервере злоумышленников)
  • b) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке TEMP
  • c) Ваша стоимость восстановления не окончательная, пишите злоумышленникам в чат
  • Будет указана дата Вашей блокировки, например: 08.04.2015 (11:14)

Как обезопаситься от вируса

Для того чтобы не было проблем с вирусами, необходимо выполнять несложные рекомендации:

  • не скачивайте с интернета незнакомые приложения, они очень часто несут вирус;
  • не запускайте приложения с почты;
  • сделайте резервную базу важных данных;
  • повышайте свои знания о работе компьютера и компьютерных программ.

Vault вирус: как восстановить файлы и удалить шифровальщик

Vault что это за папка?

Вирусы могут создавать назойливую рекламу и использовать ваш трафик для своих нужд. Но вдвойне неприятно, когда хакеры опускаются к шантажу, ограничивая доступ к вашим файлам и требуют деньги. Если вы потеряли доступ к документам, и для нормальной работы нужно заплатить, то вы стали жертвой опасного вируса Vault который активно распространяется по сети.

Что представляет собой вирус Vault?

Данный вирус относится к программам-шифровальщикам. Он загружает на ваш компьютер простую программу, которая зашифровывает файлы Word, Excel, mp3-файлы, графические изображения, присваивая им расширение *.Vault.

После шифровки, пользователь полностью теряет доступ к данным. Для возобновления доступа, программой создается специальный ключ. Он остается в руках хакеров. За предоставление ключа, шантажисты требуют деньги.

Пути распространения

Вирус распространяется в замаскированном виде через электронную почту, Skype или социальные сети. Представляет собой исполняемый скрипт с расширением .js. В ряде случаев злоумышленники запаковывают вирус в архив, чтобы его сложнее можно было отследить.

После того, как пользователь запускает скрипт, вирус скачивается с серверов хакеров, а затем поселяется в папке TEMP и шифрует файлы. Антивирусы не блокируют Vault, т.к. видят в нем безопасный шифровальщик, — полезную утилиту, которую используют для защиты данных от взломщиков.

К тому моменту, когда вы обнаружили вирус, он уже успел сделать грязную работу. Поэтому, хакеры особо не заморачиваются над тем, чтобы создавать какую-либо защиту для своего детища. Файлы трояна расположены в папке TEMP.

Удалять все подряд ни в коем случае нельзя. Перед тем как удалить вирус Vault с компьютера, обязательно сохраните следующие файлы:

  1. CONFIRMATION.KEY— отображает количество зашифрованных файлов. Это своеобразная «смета» для злоумышленников. Благодаря ей, они определяют количество средств, которые они готовы потребовать за возобновление доступа.
  2. Vault.KEY — ключ к данным. Он содержит идентификатор, который используют хакеры, чтобы подобрать ключ доступа к именно вашим файлам.
  3. Vault.txt— общая информация о порядке возобновления и сайте взломщиков.

Не факт, что эти файлы вам понадобятся. Но на всякий случай лучше их хранить.

После того как вы очистили папку, сканируйте систему бесплатной программой CureIT от DrWeb, и антивирусом. Затем нужно перезагрузить компьютер и запустить диспетчер задач. Если среди процессов нет подозрительных, значит, все прошло правильно, и самая легкая часть пути осталась позади.

Расшифровка файлов после заражения

В своих обращениях к жертвам, хакеры пишут: «Поспешите, у вас мало времени», или «Время работает против вас». Злоумышленникам нужно, чтобы вы паниковали, чтобы приняли спонтанное решение, не думая расстались с деньгами за доступ к важным файлам. Действовать нужно строго наоборот. У вас есть зашифрованные файлы, и способы вернуть к ним доступ:

  1. Купить ключ у вымогателей.
  2. Попытаться найти следы ключа на своем компьютере.
  3. Восстановить резервные копии файлов.
  4. Воспользоваться решениями от антивирусных лабораторий.

Покупка ключа у хакеров

Покупать ключ у хакеров, это как выполнять требования террористов. С моральной точки зрения – очевидно, худшая затея. Деньги, которыми вы спонсируете собственный обман позже потратят на усовершенствованные виды мошенничества. Но этот вариант имеет место, ведь есть подтвержденные случаи возвращения доступа после оплаты.

Поиск дешифратора в системе

Гораздо лучше – попытаться восстановить файлы самостоятельно. Есть простой способ как восстановить файлы после Vault вируса. Поскольку в основе вредоносного ПО лежит безопасная программа-шифровщик, дешифровальный ключ создается изначально на жестком диске компьютера. Затем он отправляется на сервер взломщиков. А уже потом – удаляется. Поэтому первым делом ищите ключ. Возможно, он еще не удален. Имя ключа secring.gpg. Если удастся найти его в системе – вам повезло.

Восстановление сохраненных копий

Можно также восстановить копии файлов. Если у вас активирована защита системы, Windows применяет к файлам процедуру резервного копирования. Жмем на файл правой кнопкой, открываем вкладку «Свойства». В открывшемся окне нажимаем «Предыдущие версии». Восстанавливаем их, и пользуемся.

Решения от антивирусных лабораторий

И «Лаборатория Касперского» и DrWeb признают, что бороться с шифровальными вирусами тяжело. Также трудно и определить их в системе. Но у антивирусных лабораторий есть дешифраторы, которые в ряде случаев помогают в ситуации. У «Касперского» это RectorDecryptor. Утилита сама ищет и исправляет пораженные файлы.

Если этот вариант не помог, отправляйте файл на анализ в DrWeb, и там подберут дешифратор к конкретному случаю. Запрос с описанием проблемы пишите в поддержку на официальном сайте лаборатории. Ознакомившись с проблемой, специалисты предложат отправить 3 файла:

  • CONFIRMATION.KEY;
  • Vault.KEY;
  • Пример зашифрованного файла.

В результате, вы получите или настроенную под конкретный случай утилиту для разблокировки всех файлов либо существующего файла.

В связи с распространением вируса, участилось количество веб-сервисов, предлагающих разблокировку за деньги. Пользоваться такими услугами нельзя ни в коем случае. Как предупреждают в «Лаборатории Касперского», в случае, когда прогрессивные аналитические центры не способны решить проблему, надеяться на спасение от сомнительной организации не стоит.

Не стоит пользоваться и программами, которые предлагают установить такие организации. Vault часто использует открытый способ шифровки RSA-1024, и технически, разблокировать его машинным способом просто невозможно.

Как уберечь себя от вируса в будущем

Vault-вирус крайне редко определяется антивирусными программами. Поэтом, есть ряд правил, руководствуясь которыми можно уберечь себя от шифровальщиков в будущем:

  1. Проверяйте файлы. Документы с расширением .js, которые приходят вам на почту или в социальные сети, априори опасны. Открывать их не стоит, а если вы хотите принять участие в борьбе с хакерами – лучше сразу отправлять на анализ в антивирусные лаборатории.
  2. Копируйте данные. Храните резервные копии там, где вирус не сможет их повредить. Используйте съемные носители. Синхронизируйте с облачными сервисами, такими как OneCloud, DropBox, GoogleDrive, или Я.Диск.
  3. Доверяйте проверенным источником. Отказывайтесь от программ, в источниках которых вы не уверены. Если у приложения доступен официальный поставщик – лучше пользоваться им, а не решениями от неизвестных организаций.
  4. Откажитесь от пиратской продукции. Мошенники не приходят одни. Когда вы скачиваете взломанную игру, или программное обеспечение, то рискуете получить вшитый вирус. Лицензия — это растраты. Вместе с тем и безопасность.

Вирус .Vault – как удалить шифровальщик и восстановить файлы — Интернет безопасность по-русски

Vault что это за папка?

Трояны-вымогатели заметно эволюционировали за год с момента своего появления. Изначальный вариант вируса, который принято называть .vault (по разным классификациям: .xtbl, .cbf, trojan-ransom.win32.scatter), обнаружили в конце февраля 2015 г. В настоящий момент компьютерной безопасности угрожает очередная версия инфекции. За всю историю существования вируса были доработаны как программный код, так и функционал. В частности, изменялись ареал распространения инфекции, технология обработки файлов, а также ряд внешних представительских атрибутов.

Основные характеристики вируса-шифровальщика vault

Последний выпуск, .vault, функционирует с использованием передового алгоритма обмена ключей шифрования, что усложняет специалистам по компьютерной безопасности задачу подбора ключа расшифровки.

Один из вариантов сообщения .vault

Сценарий шифровщика .vault в ОС Windows выполняется в одном из следующих случаев:– открытие пользователем инфицирующего вложения к фиктивному уведомлению, рассылаемому мошенниками;– посещение взломанного веб-сайта со встроенным кодом инфицирования через уязвимости, например, Angler или Neutrino.

В любом случая, обнаружить процесс внедрения программного кода без специальных инструментов непросто, а использование эффективных проемов по избежанию антивирусного ПО позволяет зловреду в большинстве случае обойти вирусные ловушки. Этап внедрения окончен, вирус-вымогатель переходит к сканированию жесткого диска, доступных USB-карт памяти, сетевых ресурсов, а также информации на онлайн-ресурсах для хранения и раздачи файлов, например, Dropbox.

Программа проходиться по всем буквенным меткам дисков. Сканирование должно обнаружить файлы, расширения которых прописаны в алгоритме вирусной атаки как объекты. В зоне риска находиться более 200 форматов, включая наиболее популярные: документы Microsoft Office, мультимедийные файлы и изображения.

В следующей фазе атаки .

vault кодирует обнаруженные в ходе сканирования объекты, используя стандарт AES-256, в то время как основная масса троянцев-вымогателей, свирепствующих на просторах Интернета, использует алгоритм RSA. Далее зловред запускает прикладную программу, которая объясняет пострадавшему пользователю суть происходящего, инструктируя о действиях по восстановлению заблокированных данных. Программа генерирует следующее сообщение:

Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault
Для их восстановления необходимо получить уникальный ключ.

ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:

КРАТКО1. Зайдите на наш веб-ресурс2. Получите уникальный ключ

3. Восстановите файлы в прежний вид

ДЕТАЛЬНОШаг 1:Скачайте Tor браузер с официального сайта: https://www.torproject.orgШаг 2:Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onionШаг 3:Найдите Ваш уникальный VAULT.KEY на компьютере – это Ваш ключ к личной клиент-панелиАвторизируйтесь на сайте используя ключ VAULT.KEYПерейдите в раздел FAQ и ознакомьтесь с дальнейшей процедуройSTEP 4:

После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё

ДОПОЛНИТЕЛЬНОa) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)b) Не забывайте про время, обычно оно играет против Вас

c) Стоимость полного восстановления на ресурсе не окончательная

При заходе на сайт мошенников в сети TOR у Вас будет полноценный личный кабинет c авторизацией, “службой поддержки” и даже партнерской программой, в стиле “получай деньги за каждый зараженный компьютер”. В добавок к зашифровке личных данных жертвы, вымогательское ПО добавляет к файлам новые расширения. Последовательность, присоединяемая к заблокированным объектам, зависит от версии зловреда. Ниже приводится полный печень таких расширений:
.vault, .xtbl, .cbf.
Таким образом, имя любого файла, например, ‘photo.jpg’, изменяется на ‘photo.vault’.

Файлы зашифрованные вирусом .vault

Чтобы возобновить доступ к демонстративно зашифрованным данным, жертву требуют выполнить указания по организации выкупа и выплатить порядка 500 дол. США. Оплата должна быть произведена в валюте биткойн на счет, который является уникальным для каждого инфицированного.

Схема действий жертвы, разработанная авторами вируса

Порядок действий при атаке вымогателя .vault

Очень важно, когда именно Вы обнаружили вторжение. В любом случае, как только вирус был замечен, отключите сетевое соединение и выключите компьютер. Также целесообразно воздержаться от удаления каких либо файлов до разрешения ситуации.

Если есть свежая резервная копия данных на не сетевом ресурсе или в облаке, запустите проверенное средство против зловредного ПО и удалите .vault с Вашего ПК, прежде чем перейти к восстановлению из резерва. При неблагоприятном развитии ситуации будет выполнен полный цикл атаки.

В таком случае, необходимо установить, какое именно расширение добавлено к закодированным файлам, и проверить возможность лечения с помощью средств расшифровки.

Сайт службы расшифровки .vault

Вымогательский вирус рекомендует пострадавшим открыть переход TOR, созданный для обработки платежа в биткойн. Фактически это страница “Служба расшифровки”, ссылки на которую содержаться в соответствующих оповещениях вымогательского характера.

Она предоставляет подробную информацию о том, какие именно файлы были зашифрованы на ПК, излагая порядок действий по восстановлению. Как отмечено выше, преступники запрашивают эквивалент +-500 дол. США в биткойн с каждой зараженной системы.

Сайт также предоставляет возможность получить доступ к читабельной версии одного из файлов бесплатно, а также представляет службу поддержки, услугами которой можно воспользоваться, если у плохих парней что-то пойдет не так.

Авторизация в личный кабинет шифровальщика .vault

Будут ли файлы расшифрованы в случае передачи выкупа?

Золотое правило: не плати ничего до тех пор, пока нет другого выхода. Если заплатить все же пришлось, имейте в виду, что процесс может затянуться, так как жуликам необходимо получить подтверждение оплаты. В свою очередь, они выдадут пару ключей, которые следует использовать для дешифровки в интерактивном окне программы-вымогателя. Есть информация, что разработчики .vault при получении выкупа создают условия, необходимые для восстановления файлов. Тем не менее, сама идея поддерживать шантажистов финансово определенно отталкивает, да и стоимость расшифровки велика для среднестатистического пользователя.

Автоматическое удаление .vault – вируса-шифровальщика данных

Надежное ПО для компьютерной безопасности эффективно устранит вирус-вымогатель .vault. Автоматическая очистка компьютера гарантирует полную ликвидацию всех элементов инфекции в системе.

  1. Загрузить рекомендованный защитный комплекс и проверить наличие вредоносных элементов на компьютере через команду “Начать сканирование” / Start Computer Scan Загрузить программу для удаления .Vault
  2. В результате сканирования будет создан перечень выявленных объектов. Чтобы перейти к очистке системы от вируса и сопутствующих инфекций, щелкните “Устранить угрозы” / Fix Threats. Выполнение этого этапа процедуры удаления фактически обеспечивает полное искоренение вируса .vault. Теперь предстоит решить более сложную задачу – получить Ваши данные обратно.

Прочие методы восстановления файлов, зашифрованных вирусом Vault

Решение 1: Выполнить автоматическое восстановление файлов
Необходимо учитывать то факт, что троян .vault создает копии файлов, которые затем зашифровывает. Тем временем, происходит удаление исходных файлов. Имеются прикладные программы, способные восстановить удаленные данные. У Вас есть возможность использовать с этой целью такое средство, как Data Recovery Pro. Наблюдается тенденция применения новейшим вариантом вымогательского ПО безопасного удаления с несколькими перезаписями. Тем не менее, данный метод стоит попробовать.

Загрузить программу восстановления данных ParetoLogic Data Recovery

Контроль после удаления вируса .vault

Решение 2: Процедура резервного копированияВо-первых и прежде всего, это отличный путь восстановления данных. К сожалению, этот метод работает исключительно при условии выполнения пользователем резервного копирования данных до момента вторжения на компьютер. Если это условие соблюдено, не упустите возможность извлечь выгоду из Вашей предусмотрительности.

Решение 3: Использовать теневые копии томов

Возможно, Вы еще не знаете, но операционная система создает так называемые теневые копии томов каждого файла, если активирован режим “Восстановление системы” (System Restore). Создание точек восстановления происходит с определенным интервалом, синхронно генерируются снимки текущего изображения файлов. Обратите внимание, этот метод не гарантирует восстановление самых последних версий Ваших файлов. Что ж, попытка не пытка! Есть два пути выполнения процедуры: вручную или с помощью автоматического средства. Сперва рассмотрим ручную процедуру.

Решение 4: Использовать опцию “Предыдущая версия”

В ОС Windows встроена функция восстановления предыдущих версий файлов. Она также работает применительно к папкам. Просто щелкните папку правой клавишей мыши, выберите “Свойства” / Properties, далее активируйте вкладку “Предыдущие версии” / Previous Versions. В поле версии представлен перечень резервных копий файла/папки с указанием соответствующего времени и даты. Выберите последнее сохранение и щелкните “Копировать” / Copy, чтобы восстановить объект в новом назначенном Вами месте. Выбрав простое восстановление через команду “Восстановить” / Restore, запустите механизм восстановления данных в исходной папке.

Использовать инструмент “Теневой проводник” ShadowExplorer

Процедура позволяет восстановить предыдущие версии файлов и папок в автоматическом режиме вместо ручной процедуры. Потребуется загрузить и установить ПО Теневой проводник ShadowExplorer. После запуска Проводника укажите название диска и дату создания версий файла. Щелкните правой клавишей по папке или файлу, который Вас интересует, выбрав команду “Экспорт” / Export. Затем просто укажите путь восстановления данных.

Профилактика

Vault на сегодняшний день является одним из наиболее жизнеспособных вирусов-вымогателей. Индустрия компьютерной безопасности не успевает заблаговременно реагировать на стремительное развитие встроенных функций инфекции. Отдельная группа преступников специализируется на уязвимых звеньях программного кода троянца, отвечая на эпизодической обнаружение таких уязвимостей лабораториями по изучению и устранению зловредов и компьютерными энтузиастами.

В новых версиях инфекции-шифровальщика используется усовершенствованный принцип обмена ключей, что нивелирует возможности использования декодировщиков. Учтивая непрерывный характер развития компьютерного вредителя, на первое место выходит работа по предотвращению атаки.Основное правило — храните резервные копии файлов в безопасном месте. К счастью, существует целый ряд недорогих или даже бесплатных служб безопасного накопления данных.

Копировать данные на внешний несетевой накопитель не так удобно, но это также хороший способ защиты информации. Чтобы в корне разрушить планы по внедрению зловреда, не открывайте вложения в электронной почте, если она поступает из подозрительного источника: такая почта является популярным методом распространения программ-вымогателей. Также рекомендуется своевременно обновлять программное обеспечение.

Это позволит устранить возможные уязвимости, сняв риск заражения через эксплоит-комплексы (наборы программ, эксплуатирующих уязвимости ПО для атаки на ОС). И последнее, используйте проверенный защитный модуль с возможностями динамического анализа.

Загрузить программу для удаления вируса .vault

Похожее

Vault вирус, как восстановить файлы?

Vault что это за папка?

В этой заметке пойдет речь об одном вирусе, и честно говоря, я ничего подобного ранее не встречал. Не спорю, что были мощные вирусы, тот же Kido, который попортил нервы как простым пользователям так и различным организациям. Но вирус Vault (это семейство Trojan.Encoder) использует совсем иной подход, то есть тут как бы ничего не портится, а используются вполне нормальный инструмент для работы с файлами — это шифрование, но только в плохих целях…

Шифрование файлов, это когда сами файлы обрабатываются при помощи специального ключа (не стоит путать с паролем, так как этот ключ в тысячи раз надежнее, и подобрать его просто невозможно), при этом они становятся недоступными, то есть если их не расшифровать, то с ними вообще ничего сделать нельзя — останется только удалить.

Сам файл даже в глазах человека, который занимается дешифрацией, выглядит просто как каша из кода, где все перемешано и ничего непонятно.

Вирус Vault именно так и работает, он шифрует файлы, и все вернуть обратно можно только если перевести некоторую сумму хакерам, но поразительно то, что это единственный способ вернуть файлы!

Если вам предлагают расшифровать такие файлы, и при этом просят денег, то будьте уверены что это мошенники. Расшифровать файлы могут только те хакеры, которые создали вирус и никак иначе. Подобрать ключ нельзя даже на программном уровне — он слишком сложный. Хотя нет, подобрать его можно и над этим работают, но, для этого нужен не один и не сто компьютеров, а миллион и подбираться он может от нескольких недель до нескольких лет, а то и больше — то есть опять вернемся к тому, что подобрать его простым пользователям нереально.

Как попадает Vault вирус на компьютер?

Но как этот вирус появляется на компе? Ну смотрите сами — вам на почту приходит письмо с вложением в виде документа (как банально то), но заголовок письма такой, что открыть его ну очень хочется (врать не стану, я что-то подобное открывал, но никакие вложения и близко не смотрел!). В итоге вы смотрите документ во вложении, и в это время начинает работать вложенный скрипт в документ, он имеет расширение .js, то есть то java-скрипт. Как вы уже догадались, запускается этот скрипт автоматически при открытии вложения и как можно быстрее старается загрузить модули для запуска процесса шифрования.

Как это все работает? В обычный doc-файл вставляется текст, который или невозможно прочитать, или там какая-то типа ошибка, в общем что-то написано что побуждает к действиям (пример на картинке ниже). Мол нажмите тут, чтобы открыть файл. Тут — это макрос-скрипт, который и загружает сам исполняемый файл вируса во временную папку (так как права на запуск у этой папки есть). Почему Windows молчит? Потому что пользователь сам открыл документ и сам запустил активное содержимое документа, то есть все нормально, пользователь все сам вручную нажал.

Вот пример другого письма с вирусом:

  • Тема письма: Акт сверки за 2014 годОт кого: ООО ПК «МОСТЕМ» [[email protected]]Тело письма:Здравствуйте,Прошу ознакомиться с актом сверки за 2014 год — в приложении.Наши бухгалтера выявили, что за прошлый году Вас есть перед нами небольшой долг.Проверьте данные, указанные в акте, и сообщите о сроках погашения задолженности.Прикреплённые файлы:1. Акт сверки за 2014г.zip (а внутри может быть и просто скрипт типа Акт сверки за 2014г.doc.js)С уважением,Зам.главного бухгалтераСупрыкина Оксана Игоревна

Сам процесс работы вируса вы можете увидеть на этой картинке:

Шифровальщик не может быть вирусом, ибо это алгоритм RSA-1024, и призван для шифровки файлов. А то, что вирус Vault использует шифрование не по назначению, то это уже другое дело.

После успешного заражения вирусом Vault, после того как он зашифровал почти все ваши файлы, то вы увидите текстовый документ с таким содержанием:

То есть вполне культурно и спокойно написано о том, что ваши файлы тупо заблокированы, и подобрать ключ вы самостоятельно не сможете, что он безопасно хранится у них на сервере, а также то, что хакеры готов торговаться (ну и наглость же).

После работы вируса, файлы обзаводятся вот меткой .vault (второе расширение) в конце своего имени:

Вирус шифрует почти все популярные форматы файлов, и картинки и формат книг pdf, doc и другие документы, и даже архивы zip/rar. Но что самое опасное, что под влияние вируса могут попасть и базы 1C, это уже куда серьезнее, так как обычно это компьютеры организаций, предприятий и даже банков.

Вирус спокойно работает почти во всех современных версиях Windows, при этом поведение его может немного отличатся, например в некоторых случаях заражению также подвергаются файлы в локальной сети.

Удаление вируса Vault

Удалить вирус не особо сложно, здесь не будет подводных камней — вам просто нужно уничтожить все содержимое папки %temp% того пользователя, под которым и произошло заражение файлов.

Что я советую? В интернете скачайте какой-то live-cd диск, где есть антивирус. Запишите все это на флешку (как правило на торрентах, откуда можно скачать live-cd, есть также и инструкция о том, как записать на флешку), потом загрузитесь, перейдите в папку %temp% и очистите ее полностью. После этого можете проверить компьютер на вирусы, мало ли что. Беда еще в том, что вы просто удалите вирус с компа, то есть его не будет — но все последствия то останутся.. увы, как я уже писал, шифрование файлов взломать простым пользователям нереально.

Итак, какие файлы Vault содержатся в папке %temp%:

  • 3c21b8d9.cmd
  • 04a9ba_VAULT.KEY
  • CONFIRMATION.KEY (в этом файле хранятся записи о количестве файлов, которые имеют метку vault, то есть зашифрованы; именно это количество и определяет конечную цену за получение второго ключа для расшифровки; этот файл нужно сохранить, если вы хотите вернуть доступ к файлам)
  • fabac41c.js (основная часть вируса)
  • Sdc0.bat
  • VAULT.KEY (первый ключ шифрования, при восстановлении файлов его вместе с первым CONFIRMATION.KEY нужно отправить хакерам, а они на основе его выдадут вам второй ключ, который уже пригоден для расшифровки);
  • VAULT.txt
  • revlt.js
  • svchost.exe (имя такое же как у системного процессора, но расположен в папке temp)

Имена фалов могут быть немного изменены, иногда их меньше.

Некоторые версии вируса Vault хранят файлы VAULT.KEY и CONFIRMATION.KEY в папке %appdata%.

Если попробовать открыть какой-то файл с меткой, то скорее всего вы увидите такое сообщение:

Как восстановить файлы после вируса Vault?

Да, действительно, было бы здорово просто воспользоваться таким инструментом как дешифратор Vault, но увы, такого инструмента нет. И нет его потому, что у каждого компьютера свой ключ, и только имея его и файл с записями зараженных обьектов, можно восстановить доступ к файлам, отправивши это все злоумышленникам.

Если у вас включена защита для каждого диска, то это здорово. При такой защите, вы можете восстановить прежнее состояние файла или папки, все это находится в свойствах каждого файла (но некоторые версии Vault удаляют данные для восстановления, только при включенном UAC вы увидите запрос, еще один аргумент что UAC лучше не отключать!). Можно попробовать восстановить предыдущее состояние компьютера при помощи точки восстановления (в панели управления пункт Восстановление).

Если у вас защита не включена, то увы, у меня для вас неутешительные новости. Скорее всего восстановить файлы у вас не получится, если только вы не заплатите круглую сумму злоумышленникам. Да, это реально работает, но для этого вам нужно иметь два файла, я о них писал выше.

Также хочу вас предупредить, что других способов расшифровать файлы — нет. Это ведь не просто вирус, это вирус, который использует вполне нормальные механизмы, которые не вызывают подозрения у антивирусов, поэтому не стоит писать и тех. поддержку им, вам все равно не помогут ничем. Ну, например, это тоже самое если бы архиватор WinRAR антивирусом воспринимался за вирус только потому, что в нем есть возможность поставить архив под пароль.

Так что тут только вариант, это платить. При этом, те хакеры смотрят, какие именно файлы у вас зашифрованы. Ну и на основе этого они могут цену или повысить до достаточно большой, или наоборот — снизить (были случаи как $50 так и $500). При оплате вы получаете только один ключ для дешифратора Vault и для одного компьютера, с которого вы отправляли VAULT.KEY и CONFIRMATION.KEY.

Оплата производится только через BitCoin и только при использовании анонимной сети Tor. Это все, что первое, что второе — анонимные инструменты, самые популярные и самые эффективные на сегодняшний день. Именно поэтому, хакеров и не могут пока (?) поймать. Хотя, опять же, как я уже писал вначале — очень удивлен такому наглому поведению.

Следуя инструкции, вам нужно будет перейти на сайт restoredz4xpmuqr.onion, указать файл VAULT.KEY (о нем писал выше):

После чего вы попадете в личный кабинет:

Какие можно сделать выводы?

Мои мысли так бы сказать:

  • Первое что нужно запомнить — это не открывать почту, если нет на то причин. На самом деле это ерунда, ну как можно не открыть письмо, когда оно пришло от известного вам адресата? Я надеюсь, что вы понимаете, что рассылка с вирусом может быть даже от вашего знакомого, хотя он разумеется этого не делал. Самое главное, это бы была включена система защиты дисков, при этом на каждом. А также я рекомендую хорошо изучить принцип работы фаервола (об этом в последнем пункте).
  • Второе — система восстановления также должна работать, иными словами, все штатные инструменты Windows по обеспечению безопасности должны быть задействованы в полном обьеме своих возможностей. Обновление Windows, все это должно быть включено и работать в автоматическом режиме. Некоторые версии вируса Vault умеют удалять данные истории файлов или точек восстановления, поэтому этот вариант не всегда поможет.
  • Если у вас отключен UAC то это плохо, однако если вы его не отключали (а это делать и не нужно на тех компьютерах, где проводят важные процессы) то при удалении вирусом данных восстановления системы будет такое окошко:Если постоянно нажимать Нет, то контрольные точки в системе восстановления не будут удалены (около 15 раз будет запрос на тот случай, что вы все таки нажмете Да). О том, как включить восстановление системе можно прочитать тут.
  • У вас должен быть настроен фаервол (я лично пользуюсь Outpost), и если вы не знаете что это, то настоятельно рекомендую ознакомится. Настройка должна быть только в ручном режиме. Что было бы, если бы во время заражения вирусом Vault был настроен фаервол? Во-первых он бы вам сообщил, что документ в офисе запрашивает соединение, что уже очень подозрительно. Во-вторых, пока вы не разрешили бы это соединение, фаервол не разрешит скрипту установить соединение. Также его можно настроить таким образом, чтобы он разрешал выход в сеть только определенным программам, а офису это не всегда нужно вообще, в то время как java-скрипты получают спокойно доступ к интернету, ибо они запущены от безопасного офиса. Помимо всего, нормальные фаерволы (для меня это Outpost) также имеют проактивную защиту, которую можно настроить на высокую чувствительность к изменениям в файлах (в таком случае вирус Vault даже не смог бы зашифровать файлы).

Надеюсь что написал все доступно и информацией хотя бы вы уже вооружены, так что будьте осторожны и учите фаервол, грамотная его настройка обезопасит вас от подобных вирусов.

Как удалить Savings Vault (рекламное ПО)

Vault что это за папка?

устанавливается на ваш компьютер вместе с бесплатными программами. Этот способ можно назвать пакетная установка. Бесплатные программы предлагают вам установить дополнительные модули (Savings Vault). Если вы не отклоните предложение установка начнется в фоне. Savings Vault копирует свои файлы на компьютер. Обычно это файл SavingsVault.exe. Иногда создается ключ автозагрузки с именем Savings Vault и значением SavingsVault.exe.

Вы также сможете найти угрозу в списке процессов с именем SavingsVault.exe или Savings Vault. также создается папка с названием Savings Vault в папках C:\Program Files\ или C:\ProgramData. После установки Savings Vault начинает показывать реламные баннеры и всплывающую рекламу в браузерах. рекомендуется немедленно удалить Savings Vault. Если у вас есть дополнительные вопросы о Savings Vault, пожалуйста, укажите ниже.

Вы можете использовать программы для удаления Savings Vault из ваших браузеров ниже.

We noticed that you are on smartphone or tablet now, but you need this solution on your PC. Enter your email below and we’ll automatically send you an email with the downloading link for Savings Vault Removal Tool, so you can use it when you are back to your PC.

Наша служба тех. поддержки удалит Savings Vault прямо сейчас!

Обратитесь в нашу службу технической поддержки с проблемой связанной с Savings Vault. Опишите все обстоятельства заражения Savings Vault и его последствия. Команда предоставит вам варианты решения этой проблемы бесплатно в течении нескольких часов.

Подать запрос в тех. поддержку
Описание угрозы и инструкции по удалению предоставлены аналитическим отделом компании Security Stronghold.

Здесь вы можете перейти к:

Как удалить Savings Vault вручную

Проблема может быть решена вручную путем удаления файлов, папок и ключей реестра принадлежащих угрозе Savings Vault. Поврежденные Savings Vault системные файлы и компоненты могут быть восстановлены при наличии установочного пакета вашей операционной системы.

Чтобы избавиться от Savings Vault, необходимо:

Предупреждение: нужно удалить только файлы с именами и путями указанными здесь. В системе могут находится полезные файлы с такими же именами. Мы рекомендуем использовать утилиту для удаления Savings Vault для безопасного решения проблемы.

Предупреждение: если указано значение ключа реестра, значит необходимо удалить только значение и не трогать сам ключ. Мы рекомендуем использовать для этих целей утилиту для удаления Savings Vault.

Удалить программу Savings Vault и связанные с ней через Панель управления

Мы рекомендуем вам изучить список установленных программ и найти Savings Vault а также любые другие подозрительные и незнакомы программы. Ниже приведены инструкции для различных версий Windows. В некоторых случаях Savings Vault защищается с помощью вредоносного процесса или сервиса и не позволяет вам деинсталлировать себя. Если Savings Vault не удаляется или выдает ошибку что у вас недостаточно прав для удаления, произведите нижеперечисленные действия в Безопасном режиме или Безопасном режиме с загрузкой сетевых драйверов или используйте утилиту для удаления Savings Vault.

Windows 10

  • Кликните по меню Пуск и выберите Параметры.
  • Кликните на пункт Система и выберите Приложения и возможности в списке слева.
  • Найдите Savings Vault в списке и нажмите на кнопку Удалить рядом.
  • Подтвердите нажатием кнопки Удалить в открывающемся окне, если необходимо.

Windows 8/8.1

  • Кликните правой кнопкой мыши в левом нижнем углу экрана (в режиме рабочего стола).
  • В открывшимся меню выберите Панель управления.
  • Нажмите на ссылку Удалить программу в разделе Программы и компоненты.
  • Найдите в списке Savings Vault и другие подозрительные программы.
  • Кликните кнопку Удалить.
  • Дождитесь завершения процесса деинсталляции.

Windows 7/Vista

  • Кликните Пуск и выберите Панель управления.
  • Выберите Программы и компоненты и Удалить программу.
  • В списке установленных программ найдите Savings Vault.
  • Кликните на кнопку Удалить.

Windows XP

  • Кликните Пуск.
  • В меню выберите Панель управления.
  • Выберите Установка/Удаление программ.
  • Найдите Savings Vault и связанные программы.
  • Кликните на кнопку Удалить.

Удалите дополнения Savings Vault из ваших браузеров

Savings Vault в некоторых случаях устанавливает дополнения в браузеры. Мы рекомендуем использовать бесплатную функцию Удалить тулбары в разделе Инструменты в программе Spyhunter Remediation Tool для удаления Savings Vault и свяанных дополнений. Мы также рекомендуем вам провести полное сканирование компьютера программами Wipersoft и Spyhunter Remediation Tool. Для того чтобы удалить дополнения из ваших браузеров вручную сделайте следующее:

  • Запустите Internet Explorer и кликните на иконку шестеренки в верхнем правом углу
  • В выпадающем меню выберите Настроить надстройки
  • Выберите вкладку Панели инструментов и расширения.
  • Выберите Savings Vault или другой подозрительный BHO.
  • Нажмите кнопку Отключить.

Предупреждение: Эта инструкция лишь деактивирует дополнение. Для полного удаления Savings Vault используйте утилиту для удаления Savings Vault.

  • Запустите Google Chrome.
  • В адресной строке введите chrome://extensions/.
  • В списке установленных дополнений найдите Savings Vault и кликните на иконку корзины рядом.
  • Подтвердите удаление Savings Vault.
  • Запустите Firefox.
  • В адресной строке введите about:addons.
  • Кликните на вкладку Расширения.
  • В списке установленных расширений найдите Savings Vault.
  • Кликните кнопку Удалить возле расширения.

Защитить компьютер и браузеры от заражения

Рекламное программное обеспечение по типу Savings Vault очень широко распространено, и, к сожалению, большинство антивирусов плохо обнаруживают подобные угрозы. Чтобы защитится от этих угроз мы рекомендуем использовать SpyHunter, он имеет активные модули защиты компьютера и браузерных настроек. Он не конфликтует с установленными антивирусами и обеспечивает дополнительный эшелон защиты от угроз типа Savings Vault.


Источник: formula360.ru