Vault virus - cum să recuperați fișierele. Este posibil să decriptați fișierele afectate de cea mai recentă versiune a troianului ransomware Vault

Seif este un criptator de fișiere care înlocuiește extensia documentelor și fișierelor cu propria sa, după care este imposibil să le deschizi. Prin urmare, vom analiza în detaliu cum să recuperați fișierele deteriorate de virusul Vault.

Când ajunge pe computer, virusul Vault începe să cripteze fișierele cu extensia .pdf, .doc, .docx, .zip, .jpeg, .xls, .xlsxși multe altele. După infectare, fișierele vor avea în continuare extensia lor, dar în plus vor avea atașată extensia .vault. Desigur, după ce a întâlnit un virus atât de interesant, utilizatorul va cădea cel puțin într-o stupoare și va începe să caute modalități care îi vor permite să deschidă din nou fișierele criptate și să le restabilească. Din păcate, va trebui să vă dezamăgim, deoarece nu există o soluție simplă și gratuită pentru recuperarea fișierelor Vault datorită caracteristicilor tehnice ale criptatorului în sine. În general, primul lucru.

Cum poate ajunge Vault pe computerul dvs

De obicei, virusul Vault ajunge pe computer după ce utilizatorul deschide un e-mail care spune în titlu că trebuie deschis și citit urgent. De regulă, aceasta este o scrisoare trimisă în numele unei bănci, parteneri sau doar un fel de spam. De fapt, conține un script cu extensia .js, care inițiază procesul de descărcare a ransomware-ului de pe serverele hackerilor.

Este important de remarcat aici că ransomware Vault este o aplicație criptografică GPG neinterzisă care utilizează algoritmul rsa-1024 pentru a cripta fișierele. Se presupune că aplicația în sine nu este un virus, așa că programele antivirus nu o vor intercepta. După ce ransomware-ul începe să funcționeze pe computerul dvs., acesta va crea imediat o cheie publică de criptare pe computer și o cheie privată va fi generată pe serverul escrocilor. De asemenea, observăm că, în unele cazuri, software-ul este capabil să infecteze computere care se află în aceeași rețea cu a ta, care este deja infectată.

Eliminarea ransomware-ului Vault

De îndată ce observați extensia fișierelor dvs .seif, apoi opriți imediat rețeaua, opriți funcționarea în aplicații și nu deschideți din nou folderele. Reporniți și intrați prin modul sigur.

Eliminarea software-ului nu este dificilă - doar căutați pe Google „programe populare pentru eliminarea criptoarelor”. Dar acest lucru nu va rezolva problema - totul abia începe, din păcate.

Așa-numitul virus în sine este ascuns într-un folder Temp, și constă din următoarele fișiere:

  • 3c21b8d9.cmd;
  • fabac41c.js;
  • VAULT.txt;
  • Sdc0.bat;
  • VULT.KEY;
  • CONFIRMARE.CHEIE.

Toate fișierele de mai sus, cu excepția ultimelor două, pot fi șterse (mai multe despre asta mai târziu!). Rulați ceva mai curat, curățați registry, porniți. Aceste două fișiere trebuie lăsate pe computer deoarece:

  • VAULT.KEY este cheia de criptare. Dacă îl ștergi, îți vei bloca definitiv fișierele, adică nu ar trebui să ștergi acest fișier sub nicio formă!;
  • CONFIRMATION.KEY - conține informații precise despre numărul de fișiere blocate, necesare atacatorilor.

Recuperare fișier seif

Cel mai rău și mai neplăcut lucru este că fișierele vor rămâne criptate până când plătiți atacatorii. Pur și simplu nu există decriptoare Vault gratuite, iar fișierele cu cheia rsa-1024 pot fi deschise doar de programul original (care, desigur, este deținut de hackeri).

Metode de recuperare a PC-ului din Vault:

  • Dacă aveți activ instrumentul Restaurare sistem, puteți restaura versiuni mai vechi ale fișierelor. Pentru a face acest lucru, accesați proprietățile fișierului și accesați fila „Versiuni anterioare”;
  • În cazul unităților de rețea, verificați coșul de reciclare - pot exista versiuni normale ale fișierelor acolo;
  • Dacă utilizați stocarea în cloud, atunci vizualizați și coșul de gunoi acolo. Dintr-o dată apare ceva din documentele sau fișierele tale.

Dacă nu găsiți nimic, avem vești proaste - va trebui să plătiți atacatorii pentru a recupera fișierele Vault. Aici remarcăm un punct important: pe forumuri oamenii scriu că escrocii de fapt restaurează fișierele, dar trebuie doar să plătești. Dacă nu ar fi așa, ar fi imediat „strigăt” și oamenii nu s-ar îndrăgosti de asta.

Veți învăța cum să plătiți escrocii din fișierul text (apare când încercați să deschideți un fișier Vault criptat). Va trebui să lansați browserul Tor și să accesați site-ul web al atacatorilor. Va exista un manual de lucru cu site-ul și atenție - au chiar și un sistem flexibil de reduceri pentru restaurarea fișierelor afectate de virusul Vault.

Dacă nu puteți face ceva pe cont propriu, atunci vă sfătuim să contactați ajutorul computerului de urgență - pchelp24.com, prețuri rezonabile, specialiști cu experiență, apel gratuit și diagnosticare.

Recent, tot mai mulți utilizatori au întâlnit un nou virus de criptare care înlocuiește extensiile standard de fișiere cu seif. Unii oameni cred că pot rezolva această problemă prin schimbarea manuală a extensiei, dar aceasta este o opinie greșită - fără o cheie unică (VAULT.KEY), nu va fi posibil să restabiliți accesul la fișiere.

Detectarea și eliminarea ransomware-ului

Principalul pericol al virusului Vault este că antivirusurile nu îl detectează. Programele malware ajung de obicei pe computer ca atașament într-un e-mail. Utilizatorul însuși deschide mesajul de e-mail și, împreună cu fișierul atașat, începe procedura de criptare.

Un virus poate fi detectat și eliminat doar printr-o scanare profundă folosind antivirusuri puternice precum Nod32 sau Dr.Web. În plus, scanați sistemul cu utilitarul de vindecare Dr. Web CureIT sau Kaspersky Virus Removal Tool (utilitatea este gratuită). Asigurați-vă că baza de date a software-ului antivirus este actualizată, altfel virusul nu va fi neutralizat.

Recuperarea fisierului

După neutralizarea și eliminarea virusului, tot ce rămâne este să restaurați fișierele a căror extensie s-a schimbat în seif. Nu ar trebui să încercați să căutați un decriptor gata făcut - nu există, nici măcar nu este posibil din punct de vedere tehnic să creați un program care să poată deschide accesul la fișierele criptate fără o cheie unică (a doua parte a fișierului VAULT.KEY) . Dar puteți încerca și alte opțiuni:

  • Folosind o copie umbră.
  • Căutați fișiere în copii arhivate.
  • Verificarea stocării în cloud.

Folosind o copie umbră

Primul lucru pe care trebuie să-l faceți pentru a încerca să recuperați fișierele gratuit după ce ați fost afectat de virusul Vault este să verificați dacă au mai rămas copii umbră ale datelor necesare. Dacă ați activat protecția sistemului, atunci această metodă poate funcționa.


Căutați o copie arhivată

Dacă datele criptate de virusul seifului au fost stocate pe o unitate de rețea, căutați copii arhivate ale acestora. Dacă un coș de reciclare a fost creat anterior pe o unitate de rețea, îl puteți căuta - fișiere întregi pot rămâne, de asemenea, acolo. Dacă folderele sincronizate cu stocarea în cloud (Yandex.Disk, Google Drive, Dropbox) au fost afectate de virusul ransomware Vault, atunci priviți informațiile necesare despre aceste servicii.

Merită să plătiți atacatorii?

Dacă niciuna dintre metodele enumerate mai sus nu v-a ajutat să obțineți acces la informațiile necesare, atunci ultima metodă rămâne este să contactați expeditorii virusului ransomware. Judecând după recenzii, puteți returna toate fișierele după criptare. Dar va trebui să plătiți bani pentru o cheie individuală pentru decriptare, atacatorii indică o anumită sumă pe site-urile lor sau în instrucțiunile care apar după ce sistemul este infectat cu virusul seifului.

Nu utilizați serviciile companiilor/persoanelor fizice care se oferă să recupereze fișiere sau să cumpere un decriptor de la acestea. Ei nu au niciun decriptor, iar dacă oferă o parte din fișierele dvs. ca dovadă, atunci aceste date au fost preluate de la atacatorii care v-au trimis virusul seifului.

Fără o valoare individuală a cheii, este imposibil să decriptați fișierele. Cheia este stocată pe serverul deținătorilor de viruși, accesul la aceasta nu poate fi obținut prin niciun mijloc.

Dacă totuși decideți să le cereți persoanelor care v-au criptat informațiile să vă recupereze informațiile, atunci trebuie să le furnizați două fișiere:

  • VAULT.KEY – prima parte a cheii de criptare, care este creată de utilizator. A doua parte a cheii este în posesia atacatorilor. Dacă ștergeți accidental VAULT.KEY, nu veți putea restaura fișierele.
  • CONFIRMATION.KEY – conține informații despre câte informații sunt criptate. Pe baza acestor informații, proprietarii virusului calculează câți bani să-ți ceară.

Nu recomandăm să plătiți bani expeditorilor de viruși. Nu există nicio garanție că nu vor înșela, iar acest lucru îi încurajează doar să-și continue activitățile criminale. Plata pentru cea de-a doua parte a cheii este o măsură extremă care ar trebui luată numai dacă se pierde informații de importanță extremă.

Metodă alternativă

Puteți încerca să obțineți o decriptare pe forumurile laboratoarelor cunoscute implicate în dezvoltarea de software antivirus, dar chiar și giganți ai pieței precum Kaspersky, ESET și Dr. Web admite că nu pot decripta datele după virus într-un timp acceptabil fără a avea a doua parte a VAULT.KEY.

Puteți încerca utilități de decriptare de la aceleași companii de dezvoltare de software antivirus. Momentan nu găsesc VAULT.KEY, dar bazele de date sunt în continuă extindere, deci există posibilitatea ca problema să fie rezolvată în curând.

Virușii pot crea reclame enervante și pot folosi traficul pentru propriile nevoi. Dar este de două ori neplăcut când hackerii recurg la șantaj, limitând accesul la fișierele tale și cerând bani. Dacă ați pierdut accesul la documente și trebuie să plătiți pentru funcționarea normală, atunci ați devenit o victimă a virusului periculos Vault care se răspândește activ în rețea.

Ce este virusul Vault?

Acest virus aparține programelor de criptare. Acesta descarcă pe computer un program simplu care criptează fișiere Word, Excel, mp3, grafică și le atribuie extensia *.Vault.

După criptare, utilizatorul pierde complet accesul la date. Pentru a restabili accesul, programul creează o cheie specială. Rămâne în mâinile hackerilor. Şantajiştii cer bani pentru furnizarea cheii.

Căile de distribuție

Virusul se răspândește deghizat prin e-mail, Skype sau rețele sociale. Este un script executabil cu extensia .js. În unele cazuri, atacatorii împachetează virusul într-o arhivă pentru a-l face mai dificil de urmărit.

După ce utilizatorul rulează scriptul, virusul este descărcat de pe serverele hackerilor, apoi se instalează în folderul TEMP și criptează fișierele. Antivirusurile nu blochează Vault, deoarece... Ei îl văd ca un criptograf sigur, un utilitar util care este folosit pentru a proteja datele de hackeri.

Îndepărtarea

Până când descoperiți virusul, acesta și-a făcut deja treaba murdară. Prin urmare, hackerii nu se deranjează în mod special să creeze vreun fel de protecție pentru creația lor. Fișierele troiene se află în folderul TEMP.

În niciun caz nu trebuie să ștergeți totul. Înainte de a elimina virusul Vault de pe computer, asigurați-vă că salvați următoarele fișiere:

  1. CONFIRMARE.CHEIE- afișează numărul de fișiere criptate. Acesta este un fel de „estimare” pentru atacatori. Datorită acesteia, ei determină suma de bani pe care sunt dispuși să o solicite pentru reînnoirea accesului.
  2. Seif.CHEIE- cheia datelor. Conține un identificator pe care hackerii îl folosesc pentru a găsi cheia de acces la fișierele dumneavoastră specifice.
  3. Vault.txt- informații generale despre procedura de reînnoire și site-ul hackerilor.

Nu este un fapt că veți avea nevoie de aceste fișiere. Dar este mai bine să le depozitați pentru orice eventualitate.

După ce ați șters folderul, scanați sistemul cu programul gratuit CureIT de la DrWeb și antivirus. Apoi trebuie să reporniți computerul și să lansați managerul de activități. Dacă nu există procese suspecte printre procese, atunci totul a mers corect, iar cea mai ușoară parte a călătoriei este lăsată în urmă.

Decriptarea fișierelor după infectare

În mesajele lor către victime, hackerii scriu: „Grăbește-te, nu ai mult timp” sau „Timpul este împotriva ta”. Atacatorii au nevoie să intrați în panică, să luați o decizie spontană, fără să vă gândiți să vă despărțiți de bani pentru accesul la fișiere importante. Trebuie să faci exact invers. Aveți fișiere criptate și modalități de a recâștiga accesul la ele:

  1. Cumpărați o cheie de la ransomware.
  2. Încercați să găsiți urme ale cheii pe computer.
  3. Restaurați fișierele de rezervă.
  4. Utilizați soluții din laboratoarele antivirus.

Cumpărarea unei chei de la hackeri

Cumpărarea unei chei de la hackeri este ca și cum ai îndeplini cerințele teroriștilor. Din punct de vedere moral, aceasta este, evident, cea mai proastă idee. Banii pe care îi finanțați propria înșelăciune vor fi cheltuiți ulterior pe tipuri avansate de fraudă. Dar această opțiune există, deoarece există cazuri confirmate de returnare a accesului după plată.

Căutați un decriptor în sistem

Este mult mai bine să încercați să recuperați fișierele singur. Există o modalitate ușoară de a recupera fișierele după un virus Vault. Deoarece malware-ul se bazează pe un program de criptare securizat, cheia de decriptare este creată inițial pe hard disk-ul computerului. Acesta este apoi trimis la serverul hackerilor. Și abia atunci este șters. Prin urmare, în primul rând, căutați cheia. Este posibil să nu fi fost eliminat încă. Numele cheii este secret.gpg. Dacă îl poți găsi în sistem, ești norocos.

Restaurarea copiilor salvate

De asemenea, puteți restaura copii ale fișierelor. Dacă aveți protecția sistemului activată, Windows aplică o procedură de backup fișierelor dvs. Faceți clic dreapta pe fișier și deschideți fila „Proprietăți”. În fereastra care se deschide, faceți clic pe „Versiuni anterioare”. Le restaurăm și le folosim.

Sfat! Încercați să nu uitați de crearea punctelor de restaurare a sistemului. Ele vă pot ajuta acolo unde metodele convenționale de depanare nu funcționează.

Soluții de la laboratoarele antivirus

Atât Kaspersky Lab, cât și DrWeb admit că lupta împotriva virușilor de criptare este dificilă. De asemenea, este dificil să le identifici în sistem. Dar laboratoarele antivirus au decriptoare, care în unele cazuri ajută în situație. Pentru Kaspersky este RectorDecryptor. Utilitarul în sine caută și corectează fișierele afectate.

Dacă această opțiune nu ajută, trimiteți fișierul spre analiză către DrWeb, iar acesta va selecta un decriptor pentru cazul dumneavoastră specific. Scrieți o solicitare care descrie problema pentru asistență pe site-ul oficial al laboratorului. După examinarea problemei, specialiștii se vor oferi să trimită 3 fișiere:

  • CONFIRMARE.CHEIE;
  • Vault.KEY;
  • Un exemplu de fișier criptat.

Ca rezultat, veți primi fie un utilitar personalizat pentru un anumit caz pentru a debloca toate fișierele, fie un fișier existent.

Servicii ale terților

Datorită răspândirii virusului, numărul de servicii web care oferă deblocare pentru bani a crescut. Asemenea servicii nu ar trebui utilizate în nicio circumstanță. După cum avertizează Kaspersky Lab, dacă think tank-urile progresiste nu sunt în măsură să rezolve problema, nu are rost să sperăm la salvarea unei organizații dubioase.

Nu ar trebui să utilizați programe pe care astfel de organizații le oferă pentru a le instala. Vault utilizează adesea metoda de criptare deschisă RSA-1024 și, din punct de vedere tehnic, este pur și simplu imposibil să-l deblochezi de către mașină.

Cum să te protejezi de virus în viitor

Virușii seifului sunt rar detectați de programele antivirus. Prin urmare, există o serie de reguli, ghidate după care vă puteți proteja de ransomware în viitor:

  1. Verificați fișierele dvs. Documentele cu extensia .js care vin la tine prin e-mail sau pe rețelele de socializare sunt a priori periculoase. Nu ar trebui să le deschideți, iar dacă doriți să participați la lupta împotriva hackerilor, este mai bine să le trimiteți imediat spre analiză la laboratoarele antivirus.
  2. Copiați datele. Stocați copiile de siguranță acolo unde virusul nu le poate deteriora. Utilizați suporturi amovibile. Sincronizați cu servicii cloud, cum ar fi OneCloud, DropBox, GoogleDrive sau Ya.Disk.
  3. Aveți încredere într-o sursă de încredere. Evitați programele ale căror surse nu sunteți sigur. Dacă o aplicație are un furnizor oficial disponibil, este mai bine să o utilizați decât soluții de la organizații necunoscute.
  4. Evitați produsele piratate. Escrocii nu vin singuri. Când descărcați un joc sau un software piratat, riscați să primiți un virus încorporat. O licență este o risipă. În același timp, există și siguranță.

Virușii pot crea reclame enervante și pot folosi traficul pentru propriile nevoi. Dar este de două ori neplăcut când hackerii recurg la șantaj, limitând accesul la fișierele tale și cerând bani. Dacă ați pierdut accesul la documente și trebuie să plătiți pentru funcționarea normală, atunci ați devenit o victimă a virusului periculos Vault care se răspândește activ în rețea.

Ce este virusul Vault?

Acest virus aparține programelor de criptare. Acesta descarcă pe computer un program simplu care criptează fișiere Word, Excel, mp3, grafică și le atribuie extensia *.Vault.

După criptare, utilizatorul pierde complet accesul la date. Pentru a restabili accesul, programul creează o cheie specială. Rămâne în mâinile hackerilor. Şantajiştii cer bani pentru furnizarea cheii.

Căile de distribuție

Virusul se răspândește deghizat prin e-mail, Skype sau rețele sociale. Este un script executabil cu extensia .js. În unele cazuri, atacatorii împachetează virusul într-o arhivă pentru a-l face mai dificil de urmărit.

După ce utilizatorul rulează scriptul, virusul este descărcat de pe serverele hackerilor, apoi se instalează în folderul TEMP și criptează fișierele. Antivirusurile nu blochează Vault, deoarece... Ei îl văd ca un criptograf sigur, un utilitar util care este folosit pentru a proteja datele de hackeri.

Îndepărtarea

Până când descoperiți virusul, acesta și-a făcut deja treaba murdară. Prin urmare, hackerii nu se deranjează în mod special să creeze vreun fel de protecție pentru creația lor. Fișierele troiene sunt localizate în .

În niciun caz nu trebuie să ștergeți totul. Înainte de a elimina virusul Vault de pe computer, asigurați-vă că salvați următoarele fișiere:

  1. CONFIRMARE.CHEIE- afișează numărul de fișiere criptate. Acesta este un fel de „estimare” pentru atacatori. Datorită acesteia, ei determină suma de bani pe care sunt dispuși să o solicite pentru reînnoirea accesului.
  2. Seif.CHEIE- cheia datelor. Conține un identificator pe care hackerii îl folosesc pentru a găsi cheia de acces la fișierele dumneavoastră specifice.
  3. Vault.txt- informații generale despre procedura de reînnoire și site-ul hackerilor.

Nu este un fapt că veți avea nevoie de aceste fișiere. Dar este mai bine să le depozitați pentru orice eventualitate.

După ce ați șters folderul, scanați sistemul cu programul gratuit CureIT de la DrWeb și. Apoi trebuie să reporniți computerul și să lansați managerul de activități. Dacă nu există procese suspecte printre procese, atunci totul a mers corect, iar cea mai ușoară parte a călătoriei este lăsată în urmă.

Decriptarea fișierelor după infectare

În mesajele lor către victime, hackerii scriu: „Grăbește-te, nu ai mult timp” sau „Timpul este împotriva ta”. Atacatorii au nevoie să intrați în panică, să luați o decizie spontană, fără să vă gândiți să vă despărțiți de bani pentru accesul la fișiere importante. Trebuie să faci exact invers. Aveți fișiere criptate și modalități de a recâștiga accesul la ele:

  1. Cumpărați o cheie de la ransomware.
  2. Încercați să găsiți urme ale cheii pe computer.
  3. Restaurați fișierele de rezervă.
  4. Utilizați soluții din laboratoarele antivirus.

Cumpărarea unei chei de la hackeri

Cumpărarea unei chei de la hackeri este ca și cum ai îndeplini cerințele teroriștilor. Din punct de vedere moral, aceasta este, evident, cea mai proastă idee. Banii pe care îi finanțați propria înșelăciune vor fi cheltuiți ulterior pe tipuri avansate de fraudă. Dar această opțiune există, deoarece există cazuri confirmate de returnare a accesului după plată.

Căutați un decriptor în sistem

Este mult mai bine să încercați să recuperați fișierele singur. Există o modalitate ușoară de a recupera fișierele după un virus Vault. Deoarece malware-ul se bazează pe un program de criptare securizat, cheia de decriptare este creată inițial pe hard disk-ul computerului. Acesta este apoi trimis la serverul hackerilor. Și abia atunci este șters. Prin urmare, în primul rând, căutați cheia. Este posibil să nu fi fost eliminat încă. Numele cheii este secret.gpg. Dacă îl poți găsi în sistem, ești norocos.

Restaurarea copiilor salvate

De asemenea, puteți restaura copii ale fișierelor. Dacă aveți protecția sistemului activată, Windows aplică o procedură de backup fișierelor dvs. Faceți clic dreapta pe fișier și deschideți fila „Proprietăți”. În fereastra care se deschide, faceți clic pe „Versiuni anterioare”. Le restaurăm și le folosim.

Sfat! Încercați să nu uitați. Ele vă pot ajuta acolo unde metodele convenționale de depanare nu funcționează.

Soluții de la laboratoarele antivirus

Atât Kaspersky Lab, cât și DrWeb admit că lupta împotriva virușilor de criptare este dificilă. De asemenea, este dificil să le identifici în sistem. Dar laboratoarele antivirus au decriptoare, care în unele cazuri ajută în situație. Pentru Kaspersky este RectorDecryptor. Utilitarul în sine caută și corectează fișierele afectate.

Dacă această opțiune nu ajută, trimiteți fișierul spre analiză către DrWeb, iar acesta va selecta un decriptor pentru cazul dumneavoastră specific. Scrieți o solicitare care descrie problema pentru asistență pe site-ul oficial al laboratorului. După examinarea problemei, specialiștii se vor oferi să trimită 3 fișiere:

  • CONFIRMARE.CHEIE;
  • Vault.KEY;
  • Un exemplu de fișier criptat.

Ca rezultat, veți primi fie un utilitar personalizat pentru un anumit caz pentru a debloca toate fișierele, fie un fișier existent.

Servicii ale terților

Datorită răspândirii virusului, numărul de servicii web care oferă deblocare pentru bani a crescut. Asemenea servicii nu ar trebui utilizate în nicio circumstanță. După cum avertizează Kaspersky Lab, dacă think tank-urile progresiste nu sunt în măsură să rezolve problema, nu are rost să sperăm la salvarea unei organizații dubioase.

Nu ar trebui să utilizați programe pe care astfel de organizații le oferă pentru a le instala. Vault utilizează adesea metoda de criptare deschisă RSA-1024 și, din punct de vedere tehnic, este pur și simplu imposibil să-l deblochezi de către mașină.

Cum să te protejezi de virus în viitor

Virușii seifului sunt rar detectați de programele antivirus. Prin urmare, există o serie de reguli, ghidate după care vă puteți proteja de ransomware în viitor:

  1. Verificați fișierele dvs. Documentele cu extensia .js care vin la tine prin e-mail sau pe rețelele de socializare sunt a priori periculoase. Nu ar trebui să le deschideți, iar dacă doriți să participați la lupta împotriva hackerilor, este mai bine să le trimiteți imediat spre analiză la laboratoarele antivirus.
  2. Copiați datele. Stocați copiile de siguranță acolo unde virusul nu le poate deteriora. Utilizați suporturi amovibile. Sincronizați cu servicii cloud, cum ar fi OneCloud, DropBox, GoogleDrive sau Ya.Disk.
  3. Aveți încredere într-o sursă de încredere. Evitați programele ale căror surse nu sunteți sigur. Dacă o aplicație are un furnizor oficial disponibil, este mai bine să o utilizați decât soluții de la organizații necunoscute.
  4. Evitați produsele piratate. Escrocii nu vin singuri. Când descărcați un joc sau un software piratat, riscați să primiți un virus încorporat. O licență este o risipă. În același timp, există și siguranță.

Articolul nostru este dedicat unei alte „capodopera” a hackerilor - virusul ransomware Vault. Vă vom spune ce fel de virus Vault este și cum afectează acesta sistemul. Să ne uităm la opțiunile în care puteți restaura fișierele.

Virusul seifului - ce să faci?!

Într-o zi „frumoasă” în care ai deschis desktopul și ai văzut un bloc de note care rulează cu următorul text:

Pe baza acestui lucru, devine clar că ați devenit „proprietarul dezastrului” al virusului Vault. Acest virus vă infectează computerul și începe să vă cripteze fișierele. Astfel, fișierele cu extensia .pdf, .doc, .docx, .xls, .xlsx, .jpeg, .zip etc. sunt criptate După ce virusul funcționează, la numele fișierului este adăugată extensia .vault. De asemenea, virusul, în unele cazuri, afectează bazele de date locale 1C. După cum puteți vedea, seif criptează toate documentele populare pentru muncă.

Probabil vă întrebați: Cum a ajuns seiful pe computerul meu? Totul aici este la fel de simplu ca decojirea perelor, atacatorii au trimis o scrisoare pe e-mailul tău. Titlul scrisorii vorbea despre importanța ei și despre necesitatea urgentă de a o deschide și citi. Ar putea fi o scrisoare de la o bancă, parteneri sau o ofertă profitabilă. Această scrisoare conținea un document atașat cu extensia .js (script Java).

Când a fost lansată (și ați lansat-o!), această extensie de virus descarcă un program ransomware de pe serverele hackerilor. În cazul dvs., virusul ransomware Vault este un software criptografic GPG (GnuPG) legitim., folosind popularul algoritm de criptare rsa-1024. Programul nu este un virus, așa că antivirusurile nu îl blochează și îi permit să funcționeze. GPG generează chei de criptare publice (pe PC) și private (pe serverul atacatorilor).

Există multe modificări ale virusului Vault, de exemplu, pentru sistemele Windows 7/8, 32 sau 64 de biți. Și când virusul intră în fiecare, acționează în felul său. Virusul poate, de asemenea, cripta computerele situate în aceeași rețea cu a ta.

Cum să eliminați virusul Vault de pe computer?

Virusul funcționează în așa fel încât în ​​folderul cu fișierul sursă să fie creat unul similar cu extensia .gpg. Apoi, acest fișier înlocuiește fișierul original și adaugă extensia seifului. Simpla redenumire a documentului nu va rezolva această problemă. Prin urmare, să ne dăm seama cum să restaurăm fișierele și să eliminăm virusul seifului.

Eliminarea virusului în sine

De îndată ce găsiți extensia seifului pe documente, opriți imediat rețeaua și încetați să mai lucrați cu toate aplicațiile, nu deschideți din nou folderele de pe discuri. Conectați-vă prin Safe Mode.

În ceea ce privește eliminarea, virusul Vault nu este complicat. Eliminarea nu pare dificilă, utilizați cele mai populare programe pentru eliminarea virușilor de criptare, a anunțurilor banner și a troienilor. Dar vor mai fi probleme :(.

Ceea ce trebuie să știți este că corpul virusului în sine este ascuns în folderul Temp. Virusul este format din următoarele fișiere:

  • 3c21b8d9.cmd;
  • fabac41c.js;
  • VAULT.txt;
  • Sdc0.bat;
  • VULT.KEY;
  • CONFIRMARE.CHEIE.

Toate aceste fișiere, cu excepția ultimelor două (!), trebuie șterse. Apoi, rulați curățarea, ștergeți pornirea, verificați registry pentru erori (principiul este același pentru Windows 7/8/10). Ultimele 2 fișiere trebuie lăsate pe computer deoarece:

  1. VAULT.KEY - cheia de criptare în sine. Nu trebuie sters sub nicio forma! Acesta este transmis atacatorilor după ce îl analizează, ei vă vor oferi a doua parte a cheii de decriptare.
  2. CONFIRMATION.KEY este un fișier cu informații complete despre numărul de fișiere criptate de pe computer. este necesar și pentru hackeri.

Recuperați gratuit fișierele cu extensia .vault

Astfel, ajungem la partea cea mai rea - fișierele rămân criptate. Nu există decriptoare gratuite pentru virusul seifului. Numai programul original în sine poate decripta fișierele cu cheia rsa-1024.

Care sunt modalitățile de a recupera fișierele:


Dacă nu ați găsit nimic în Coșurile de reciclare și nu există puncte de restaurare a sistemului, atunci va trebui să plătiți atacatorii. Nu poți face nimic în privința asta. Analizând dialogurile de pe forumuri, rezultă concluzia că atacatorii decriptează de fapt fișierele, dar trebuie să plătiți pentru asta. Dacă acest lucru nu ar fi fost adevărat, zvonurile de pe internet s-ar fi răspândit cu mult timp în urmă, iar oamenii nu s-ar fi îndrăgostit de el. Ar trebui să înțelegeți că acesta este un întreg „sistem de afaceri” - ați fost prins, acum plătiți și totul va fi bine.

S-a ajuns în punctul în care deja există super-agenți pe Internet! Adică intermediari care vor contacta atacatorii pentru tine și îți vor rezolva toate problemele. Indiferent dacă mergi sau nu, depinde de tine. Dacă nu doriți să o faceți singur, plătiți mai mult.

Urmând instrucțiunile din fișierul text, vei lansa browserul Tor (în special pentru ștergerea IP), apoi vei fi dus pe unul dintre site-urile atacatorilor. Există un manual de lucru cu site-ul și chiar un sistem de reduceri :(.

Dar antivirus?

Din păcate, așa cum am menționat mai sus, programele antivirus Dr Web, Kaspersky, Avast etc. nu pot face nimic. La urma urmei, programul nu este în esență un virus. Solicitările oficiale către asistența tehnică Kaspersky Lab se încheie cu povești detaliate despre seif și oferă de a folosi decriptatoarele RannohDecryptor, ScatterDecryptor, Rector Decryptor, RakhniDecryptor sau Xorist Decryptor. Dr. Web sfătuiește, în general, să contactați poliția în cazul accesului neautorizat la computer. Ei bine, mulțumesc doctore.

După cum puteți vedea, nu există multe opțiuni, iar dacă fișierele sunt cu adevărat importante pentru dvs., va trebui să plătiți. Nici asta nu poți amâna, serverele cu baze de date și site-uri se mișcă constant - cele vechi sunt șterse și apar altele noi.

Și iată un scurt videoclip în care puteți vedea cum acționează virusul Vault asupra sistemului. Acest videoclip nu este o reclamă :).

  • Serghei Savenkov

    un fel de recenzie „scurtă”... de parcă s-ar grăbi undeva