Vault вирус, как восстановить файлы?

В этой заметке пойдет речь об одном вирусе, и честно говоря, я ничего подобного ранее не встречал. Не спорю, что были мощные вирусы, тот же Kido, который попортил нервы как простым пользователям так и различным организациям. Но вирус Vault (это семейство Trojan.Encoder) использует совсем иной подход, то есть тут как бы ничего не портится, а используются вполне нормальный инструмент для работы с файлами — это шифрование, но только в плохих целях…

Шифрование файлов, это когда сами файлы обрабатываются при помощи специального ключа (не стоит путать с паролем, так как этот ключ в тысячи раз надежнее, и подобрать его просто невозможно), при этом они становятся недоступными, то есть если их не расшифровать, то с ними вообще ничего сделать нельзя — останется только удалить. Сам файл даже в глазах человека, который занимается дешифрацией, выглядит просто как каша из кода, где все перемешано и ничего непонятно. Вирус Vault именно так и работает, он шифрует файлы, и все вернуть обратно можно только если перевести некоторую сумму хакерам, но поразительно то, что это единственный способ вернуть файлы!

РЕКЛАМА

Если вам предлагают расшифровать такие файлы, и при этом просят денег, то будьте уверены что это мошенники. Расшифровать файлы могут только те хакеры, которые создали вирус и никак иначе. Подобрать ключ нельзя даже на программном уровне — он слишком сложный. Хотя нет, подобрать его можно и над этим работают, но, для этого нужен не один и не сто компьютеров, а миллион и подбираться он может от нескольких недель до нескольких лет, а то и больше — то есть опять вернемся к тому, что подобрать его простым пользователям нереально.

Как попадает Vault вирус на компьютер?

Но как этот вирус появляется на компе? Ну смотрите сами — вам на почту приходит письмо с вложением в виде документа (как банально то), но заголовок письма такой, что открыть его ну очень хочется (врать не стану, я что-то подобное открывал, но никакие вложения и близко не смотрел!). В итоге вы смотрите документ во вложении, и в это время начинает работать вложенный скрипт в документ, он имеет расширение .js, то есть то java-скрипт. Как вы уже догадались, запускается этот скрипт автоматически при открытии вложения и как можно быстрее старается загрузить модули для запуска процесса шифрования.

Как это все работает? В обычный doc-файл вставляется текст, который или невозможно прочитать, или там какая-то типа ошибка, в общем что-то написано что побуждает к действиям (пример на картинке ниже). Мол нажмите тут, чтобы открыть файл. Тут — это макрос-скрипт, который и загружает сам исполняемый файл вируса во временную папку (так как права на запуск у этой папки есть). Почему Windows молчит? Потому что пользователь сам открыл документ и сам запустил активное содержимое документа, то есть все нормально, пользователь все сам вручную нажал.

РЕКЛАМА

Вот пример другого письма с вирусом:

  • Тема письма: Акт сверки за 2014 год
    От кого: ООО ПК «МОСТЕМ» [mos-tem@yandex.ru]

    Тело письма:

    Здравствуйте,

    Прошу ознакомиться с актом сверки за 2014 год — в приложении.
    Наши бухгалтера выявили, что за прошлый году Вас есть перед нами небольшой долг.
    Проверьте данные, указанные в акте, и сообщите о сроках погашения задолженности.

    Прикреплённые файлы:
    1. Акт сверки за 2014г.zip (а внутри может быть и просто скрипт типа Акт сверки за 2014г.doc.js)

    С уважением,
    Зам.главного бухгалтера
    Супрыкина Оксана Игоревна

Сам процесс работы вируса вы можете увидеть на этой картинке:

РЕКЛАМА

Шифровальщик не может быть вирусом, ибо это алгоритм RSA-1024, и призван для шифровки файлов. А то, что вирус Vault использует шифрование не по назначению, то это уже другое дело.

После успешного заражения вирусом Vault, после того как он зашифровал почти все ваши файлы, то вы увидите текстовый документ с таким содержанием:

То есть вполне культурно и спокойно написано о том, что ваши файлы тупо заблокированы, и подобрать ключ вы самостоятельно не сможете, что он безопасно хранится у них на сервере, а также то, что хакеры готов торговаться (ну и наглость же).

После работы вируса, файлы обзаводятся вот меткой .vault (второе расширение) в конце своего имени:

РЕКЛАМА

Вирус шифрует почти все популярные форматы файлов, и картинки и формат книг pdf, doc и другие документы, и даже архивы zip/rar. Но что самое опасное, что под влияние вируса могут попасть и базы 1C, это уже куда серьезнее, так как обычно это компьютеры организаций, предприятий и даже банков.

Вирус спокойно работает почти во всех современных версиях Windows, при этом поведение его может немного отличатся, например в некоторых случаях заражению также подвергаются файлы в локальной сети.

Удаление вируса Vault

Удалить вирус не особо сложно, здесь не будет подводных камней — вам просто нужно уничтожить все содержимое папки %temp% того пользователя, под которым и произошло заражение файлов.

Что я советую? В интернете скачайте какой-то live-cd диск, где есть антивирус. Запишите все это на флешку (как правило на торрентах, откуда можно скачать live-cd, есть также и инструкция о том, как записать на флешку), потом загрузитесь, перейдите в папку %temp% и очистите ее полностью. После этого можете проверить компьютер на вирусы, мало ли что. Беда еще в том, что вы просто удалите вирус с компа, то есть его не будет — но все последствия то останутся.. увы, как я уже писал, шифрование файлов взломать простым пользователям нереально.

Итак, какие файлы Vault содержатся в папке %temp%:

  • 3c21b8d9.cmd
  • 04fba9ba_VAULT.KEY
  • CONFIRMATION.KEY (в этом файле хранятся записи о количестве файлов, которые имеют метку vault, то есть зашифрованы; именно это количество и определяет конечную цену за получение второго ключа для расшифровки; этот файл нужно сохранить, если вы хотите вернуть доступ к файлам)
  • fabac41c.js (основная часть вируса)
  • Sdc0.bat
  • VAULT.KEY (первый ключ шифрования, при восстановлении файлов его вместе с первым CONFIRMATION.KEY нужно отправить хакерам, а они на основе его выдадут вам второй ключ, который уже пригоден для расшифровки);
  • VAULT.txt
  • revlt.js
  • svchost.exe (имя такое же как у системного процессора, но расположен в папке temp)

Имена фалов могут быть немного изменены, иногда их меньше.

Некоторые версии вируса Vault хранят файлы VAULT.KEY и CONFIRMATION.KEY в папке %appdata%.

Если попробовать открыть какой-то файл с меткой, то скорее всего вы увидите такое сообщение:

РЕКЛАМА

Как восстановить файлы после вируса Vault?

Да, действительно, было бы здорово просто воспользоваться таким инструментом как дешифратор Vault, но увы, такого инструмента нет. И нет его потому, что у каждого компьютера свой ключ, и только имея его и файл с записями зараженных обьектов, можно восстановить доступ к файлам, отправивши это все злоумышленникам.

Если у вас включена защита для каждого диска, то это здорово. При такой защите, вы можете восстановить прежнее состояние файла или папки, все это находится в свойствах каждого файла (но некоторые версии Vault удаляют данные для восстановления, только при включенном UAC вы увидите запрос, еще один аргумент что UAC лучше не отключать!). Можно попробовать восстановить предыдущее состояние компьютера при помощи точки восстановления (в панели управления пункт Восстановление).

Если у вас защита не включена, то увы, у меня для вас неутешительные новости. Скорее всего восстановить файлы у вас не получится, если только вы не заплатите круглую сумму злоумышленникам. Да, это реально работает, но для этого вам нужно иметь два файла, я о них писал выше.

Также хочу вас предупредить, что других способов расшифровать файлы — нет. Это ведь не просто вирус, это вирус, который использует вполне нормальные механизмы, которые не вызывают подозрения у антивирусов, поэтому не стоит писать и тех. поддержку им, вам все равно не помогут ничем. Ну, например, это тоже самое если бы архиватор WinRAR антивирусом воспринимался за вирус только потому, что в нем есть возможность поставить архив под пароль.

Так что тут только вариант, это платить. При этом, те хакеры смотрят, какие именно файлы у вас зашифрованы. Ну и на основе этого они могут цену или повысить до достаточно большой, или наоборот — снизить (были случаи как $50 так и $500). При оплате вы получаете только один ключ для дешифратора Vault и для одного компьютера, с которого вы отправляли VAULT.KEY и CONFIRMATION.KEY.

Оплата производится только через BitCoin и только при использовании анонимной сети Tor. Это все, что первое, что второе — анонимные инструменты, самые популярные и самые эффективные на сегодняшний день. Именно поэтому, хакеров и не могут пока (?) поймать. Хотя, опять же, как я уже писал вначале — очень удивлен такому наглому поведению.

Следуя инструкции, вам нужно будет перейти на сайт restoredz4xpmuqr.onion, указать файл VAULT.KEY (о нем писал выше):

РЕКЛАМА

После чего вы попадете в личный кабинет:

Какие можно сделать выводы?

Мои мысли так бы сказать:

  • Первое что нужно запомнить — это не открывать почту, если нет на то причин. На самом деле это ерунда, ну как можно не открыть письмо, когда оно пришло от известного вам адресата? Я надеюсь, что вы понимаете, что рассылка с вирусом может быть даже от вашего знакомого, хотя он разумеется этого не делал. Самое главное, это бы была включена система защиты дисков, при этом на каждом. А также я рекомендую хорошо изучить принцип работы фаервола (об этом в последнем пункте).
  • Второе — система восстановления также должна работать, иными словами, все штатные инструменты Windows по обеспечению безопасности должны быть задействованы в полном обьеме своих возможностей. Обновление Windows, все это должно быть включено и работать в автоматическом режиме. Некоторые версии вируса Vault умеют удалять данные истории файлов или точек восстановления, поэтому этот вариант не всегда поможет.
  • Если у вас отключен UAC то это плохо, однако если вы его не отключали (а это делать и не нужно на тех компьютерах, где проводят важные процессы) то при удалении вирусом данных восстановления системы будет такое окошко:

    РЕКЛАМА

    Если постоянно нажимать Нет, то контрольные точки в системе восстановления не будут удалены (около 15 раз будет запрос на тот случай, что вы все таки нажмете Да). О том, как включить восстановление системе можно прочитать тут.

  • У вас должен быть настроен фаервол (я лично пользуюсь Outpost), и если вы не знаете что это, то настоятельно рекомендую ознакомится. Настройка должна быть только в ручном режиме. Что было бы, если бы во время заражения вирусом Vault был настроен фаервол? Во-первых он бы вам сообщил, что документ в офисе запрашивает соединение, что уже очень подозрительно. Во-вторых, пока вы не разрешили бы это соединение, фаервол не разрешит скрипту установить соединение. Также его можно настроить таким образом, чтобы он разрешал выход в сеть только определенным программам, а офису это не всегда нужно вообще, в то время как java-скрипты получают спокойно доступ к интернету, ибо они запущены от безопасного офиса. Помимо всего, нормальные фаерволы (для меня это Outpost) также имеют проактивную защиту, которую можно настроить на высокую чувствительность к изменениям в файлах (в таком случае вирус Vault даже не смог бы зашифровать файлы).

Надеюсь что написал все доступно и информацией хотя бы вы уже вооружены, так что будьте осторожны и учите фаервол, грамотная его настройка обезопасит вас от подобных вирусов.

На главную! 16.01.2016


РЕКЛАМА

Comments

  1. Proman2702
    06.03.2018 - 12:14

    А что такое vault.db?

Добавить комментарий

Your email address will not be published / Required fields are marked *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.