Author Topic: Ваши документы и базы данных были зашифрованы и помещены в ☢ формат .VАULT ☢  (Read 5483 times)

0 Members and 1 Guest are viewing this topic.

Offline 7506091

  • Newbie
  • *
  • Posts: 1
Помогите решить проблему.

Offline Mr. Sunny

  • Poster
  • *
  • Posts: 514
Меня так учил один человек: "Если ты в течении 30 минут не найдешь и не исправишь ошибки OC, тогда лучше переустанови ее." С шифровальщиком имел дело и не раз, здесь не писал, а попросту переустанавливал ОС. В касперского какие-то утилиты есть, может и что-то поможет... Удачи в разблокировке)
« Last Edit: November 02, 2015, 07:58:06 PM by Mr.Sunny »
Windows 10 Pro x64, Avast Premier final release


Offline grumbler

  • Newbie
  • *
  • Posts: 4
файл с расширением VAULT шифруются через RSA-1024. Без приватного ключа (который генерится и отправляется злоумышленникам) расшифровать вы за разумное время свои данные не сможете.
Сам вирус при шифровании приватный ключ затирает, вероятность его восстановить стремится к 0. Если у вас не включена версионность (а вирус и ее может отключать), то есть 2 варианта:
1. заплатить деньги, предварительно попросите расшифровать вам один-два файлика, чтобы убедиться, что это не грязные мошенники.
2. забыть про инфу

Offline vlad98

  • Advanced Poster
  • **
  • Posts: 840
Не платите жуликам. Этим вы поощряете их продолжать свой поганый бизнес и ставите под удар других людей. Просто примите это как кару небесную (если не сможете бесплатно тем или иным способом расшифровать свои данные), отформатируйте жесткий диск и поставьте систему начисто или восстановите её из незаражённого архива (если есть) после форматирования. Фоматировать естессно достаточно только системный раздел.

Offline _George_

  • Avast Sales Specialist
  • Avast Reseller
  • Massive Poster
  • *
  • Posts: 3487
  • Дистрибьютор Avast и AVG
    • www.belrus.net
www.belrus.net - Avast Distributor & AVG Distributor in Russia and CIS. Бесплатный телефон для пользователей платных версий: +7-800-707-708-7

Offline grumbler

  • Newbie
  • *
  • Posts: 4
Вообще-то насколько я понял, вопрос был не  "платить - не платить", а "можно или нельзя расшифровать". Ответ: без приватного ключа расшифровать VAULT нельзя.
Что делать - пусть уже сам клиент решает.

Offline vlad98

  • Advanced Poster
  • **
  • Posts: 840
Вообще-то насколько я понял, вопрос был не  "платить - не платить", а "можно или нельзя расшифровать". Ответ: без приватного ключа расшифровать VAULT нельзя.
Что делать - пусть уже сам клиент решает.
Вы представляете злодеев чтоль тут? Приблизительно так ваш пост можно и истолковать.
Ответственный законопослушный человек может предлагать только два варианта -
Попробовать расшифровать бесплатно самостоятельно или с посторонней помощью.
Забыть про информацию.
Прочее можно истолковывать как пособничество уголовникам.
« Last Edit: November 06, 2015, 12:41:57 PM by vlad98 »

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3196
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
https://news.drweb.ru/show/?c=5&i=9689&lng=ru
Возможна расшифровка файлов, пострадавших от действия последней версии троянца-шифровальщика «Vault»
9 ноября 2015 года
Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, ставших недоступными в результате действия опасного троянца-энкодера Trojan.Encoder.2843, известного пользователям под именем «Vault».
Данная версия шифровальщика, получившая по классификации Dr.Web наименование Trojan.Encoder.2843, активно распространяется злоумышленниками при помощи массовых почтовых рассылок. В качестве вложения в письма используется небольшой файл, содержащий сценарий на языке JavaScript. Этот файл извлекает из себя приложение, которое и выполняет остальные действия, необходимые для обеспечения работы энкодера. Данная версия троянца-шифровальщика распространяется со 2 ноября 2015 года.
Принцип работы этой вредоносной программы также весьма любопытен. В системный реестр Windows записывается зашифрованная динамическая библиотека (.DLL), а в запущенный процесс explorer.exe троянец встраивает небольшой код, который считывает файл из реестра в память, расшифровывает и передает на него управление.
Список шифруемых файлов Trojan.Encoder.2843 также хранит в системном реестре и для каждого из них использует уникальный ключ, состоящий из заглавных латинских букв. Шифрование файлов осуществляется с использованием алгоритмов Blowfish-ECB, сессионный ключ шифруется с использованием RSA при помощи интерфейса CryptoAPI. Каждому зашифрованному файлу присваивается расширение .vault.
Специалисты компании «Доктор Веб» разработали специальную методику, во многих случаях позволяющую расшифровывать поврежденные этим троянцем файлы. Если вы стали жертвой вредоносной программы Trojan.Encoder.2843, воспользуйтесь следующими рекомендациями:
Я частичку своей жизни оставил в Ютербоге Германии !

Offline grumbler

  • Newbie
  • *
  • Posts: 4
Я не представитель зловреда, наоборот сам с ними активно борюсь, и мне уже попадались несколько компов-жертв с шифрованными файлами Ваултом. Поэтому пришлось изучать работу глубже, чтобы понять для себя "можно или нельзя" восстановить. То, что в техподдержке Веба сидят спецы я не сомневаюсь, общался с ними неоднократно, а вот то, что они смогут вытянуть потертый файлик с приватным ключом - очень даже сомневаюсь. Последний  попавшийся мне вирус не просто удалял файлик ключа, а сначала отключал версионирование Винды, чтобы в журнале не хранились версии документов, а затем несколько раз перезаписывал файл ключа всяким мусором. В результате при восстановлении хоть из журнала, хоть просто как файл мы получаем мусор. Восстановить методом тупого перебора ключ RSA за вменяемое время в домашних условиях невозможно. Может у вебовцев есть какой-то супероптимизированный алгоритм, которым они подбирают по заранее известной сигнатуре документов (если повезет) какие-то хеш суммы, что значительно ускоряет поиск ключа, но явно это не общедоступные алгоритмы и они явно не для домашнего использования.


Offline vlad98

  • Advanced Poster
  • **
  • Posts: 840
http://www.3dnews.ru/923403
Ключевое там - "В первую очередь необходимо написать в службу технической поддержки «Доктор Веб», приложив к письму любой зашифрованный файл, и дождаться ответа. Данная услуга бесплатна для всех пользователей коммерческих лицензий антивирусных решений Dr. Web."
Т.е. посылай им заражённый файл, если ВДРУГ они смогут его расшифровать, то предложат тебе купить свой антивирус и потом расшифруют. Т.е. платить придётся по любому. Очень смахивает на дешевый рекламный трюк. Чтож, попытка не пытка (т. Берия).
Меня больше всего вот что удивляет - Vault использует для основного шифрования относительно медленный симметричный алгоритм Blowfish, с которым Брюс Шнайер не стал даже участвовать в "конкурсе AES" (победил в нём Rijndael, который потом и нарекли AES), а участвовал Шнайер с более быстрым алгоритмом Twofish. А многие "шифровальщики" используют несимметричные более быстрые алгоритмы. Это я к тому, что блочные симметричные относительно медленные алгоритмы являются детерминированными, как, впрочем, и несимметричные (т.е. при начале работы их легко отследить), однако антивирусные программы повально упорно позволяют вирусам "работать". "Шифровальщики" лютуют не первый год, а "доктор" и иже с ним всё также продолжает предлагать покупать у него лицензию и присылать заражённые файлы. Удобно устроились.