موضوع فيروسات Vault مهم جدًا اليوم. يهتم معظم المستخدمين بما يجب فعله في حالة إصابة أجهزة الكمبيوتر الخاصة بهم وما هي الطريقة الأنسب لإزالة البرامج الضارة. سيتم مناقشة هذا في هذه المقالة.

ما هي فيروسات Vault؟

قبل أن نتطرق إلى مسألة إزالة البرامج الضارة، من الضروري التعرف على مفهومها العام. فيروس Vault هو برنامج تشفير البيانات. إنه قادر على اختراق نظام التشغيل وتغيير امتدادات جميع البيانات الموجودة في الكمبيوتر. وتتفاقم المشكلة بشكل خاص عندما تصل العدوى إلى ملفات النظام.

عندما يصاب أحد الأجهزة بفيروس Vault، يجب عليك أولاً أن تفهم مصدره. تكمن الصعوبة في أن أداة تشفير البيانات تبدو مختلفة. بالنسبة لبعض المستخدمين، يعمل كبرنامج لأرشفة الملفات، وبالنسبة للآخرين فهو امتداد خاص للمتصفح. في جميع الحالات، هناك مخرج واحد فقط - من الضروري التخلص بشكل عاجل من فيروس Vault.

إجراء التفتيش

الخطوة الأولى هي فحص الجهاز بحثًا عن وجود برامج تجسس وملفات ضارة في النظام. لهذا تحتاج إلى برنامج مكافحة فيروسات فعال. أفضل الخيارات هي Dr.Web أو Nod32. يمكنك أيضًا استخدام Avast. تحتاج أولاً إلى تحديث قاعدة بيانات الفيروسات، ثم إجراء فحص عميق. غالبا ما يستغرق هذا الإجراء الكثير من الوقت.

بعد الانتهاء من العملية، يمكنك تحليل النتائج التي تم الحصول عليها. ستحتوي القائمة المقدمة بالتأكيد على فيروس Vault. ويمكن توقع بقية الإجراءات. سوف تحتاج إلى علاج جميع البرامج الضارة. إذا لم تتمكن من القيام بذلك، فأنت بحاجة إلى إزالتها بالكامل. يوجد زر خاص في برنامج مكافحة الفيروسات لهذا الغرض. بعد فحص جهاز الكمبيوتر الخاص بك، يجب عليك الانتقال إلى الخطوة التالية.

إلغاء تثبيت البرامج

بادئ ذي بدء، يجب عليك إزالة جميع أنواع المحتوى والبرامج الغريبة التي لم يتم استخدامها لفترة طويلة. كقاعدة عامة، تتميز فيروسات Vault بحقيقة أنها ترغب في كتابة محتوى مختلف عديم الفائدة يساعد في تشفير البيانات. إذا قمت بإزالتها، يمكنك تبسيط حل المشكلة.

تحتاج أولاً إلى الانتقال إلى "لوحة التحكم" واختيار "إضافة أو إزالة البرامج". يجدر الانتظار قليلاً حتى يتم إنشاء قائمة المحتوى الذي تم تنزيله. بعد ذلك، تحتاج إلى التخلص من جميع البرامج غير المألوفة. وفي الوقت نفسه، ستتمكن من مسح جهازك من التطبيقات التي لم يستخدمها أحد لفترة طويلة. عند اكتمال هذه العملية، أغلق النافذة وانتقل إلى الخطوات التالية اللازمة لحل المهمة.

تنظيف السجل

معظم المستخدمين الذين قرروا إزالة فيروس Vault لا يعيرون السجل اهتمامًا كافيًا. ولكن عبثا. بعد كل شيء، فإنه يسجل برنامج ضار، والذي غالبا ما يكون من الصعب جدا التخلص منه. لذلك، يجب عليك بالتأكيد التفكير في تنظيف السجل. للقيام بذلك، تحتاج إلى تنفيذ أمر خاص يوفر المساعدة في زيارة الخدمة المطلوبة.

تحتاج أولاً إلى النقر فوق Win + R، ثم تشغيل أمر regedit. عند الضغط على زر "أدخل"، يتم فتح سجل الكمبيوتر. بعد الدخول إلى الخدمة المطلوبة، يجدر التفكير فيما هو ضروري لحل المشكلة بنجاح. على الجانب الأيسر يمكنك رؤية العديد من المجلدات ذات الأسماء الطويلة. يجب تجاوزهم. الهدف الرئيسي هو "التحرير".

هناك تحتاج إلى العثور على "بحث" واكتب "Vault" في السطر. بعد ذلك، تحتاج إلى فحص الجهاز وانتظار نتائج الفحص. يجب حذف الملفات الضارة التي تم اكتشافها نتيجة للمسح. هذه العملية آمنة تمامًا، لذلك لا داعي للقلق بشأن إتلاف نظام التشغيل. كل ما عليك فعله هو النقر بزر الماوس الأيمن على الأسطر وتحديد أمر "حذف". عندما يكون كل شيء جاهزا، يمكنك المضي قدما. لم يتبق سوى بضع خطوات أساسية لحل مشكلة برامج الفدية.

مساعدة البرنامج

تتضمن أي عملية للتخلص من البرامج الضارة استخدام أدوات مساعدة إضافية. إنها تسمح لك بالعثور على الفيروسات وحماية جهازك منها عن طريق تحييدها. على سبيل المثال، Cclener هو الخيار الأفضل. يقوم البرنامج بعمل ممتاز في تنظيف جهاز الكمبيوتر الخاص بك ويساعد أيضًا في تحرير المساحة على محرك أقراص النظام C.

كل ما عليك فعله هو ببساطة تنزيل CCleaner وتخصيص الوقت لتثبيته. ثم يجب عليك ضبط إعدادات المسح المطلوبة. يتم ذلك على الجانب الأيسر من النافذة. بعد ذلك، يمكنك النقر بأمان على زر "المسح الضوئي". يستغرق ظهور نتائج المسح على الشاشة بضع ثوانٍ فقط. كل ما عليك فعله هو النقر على زر "مسح" وتحليل البيانات المستلمة.

يمكنك أيضًا استخدام SpyHunter للتخلص من برامج الفدية. البرنامج قادر على اكتشاف البرامج الضارة وبرامج التجسس، بالإضافة إلى الملفات الأخرى التي تشكل تهديدًا للنظام. بعد اكتمال عمليات التثبيت والمسح الضوئي، يوصى بإعادة تشغيل الكمبيوتر. ونتيجة لذلك، فإن الفيروس لن يسبب أي إزعاج للمستخدم.

الإجراءات مع الملفات

بعد الانتهاء من جميع الخطوات، عادة ما يطرح السؤال التالي: “ماذا تفعل إذا تم تشفير البيانات الشخصية؟” هناك عدة طرق للتعامل مع هذه المهمة، لذلك سيتمكن كل مستخدم من اختيار الخيار الأفضل لنفسه. الطريقة الأولى مناسبة للأشخاص الحذرين بشكل خاص الذين يكتبون جميع الملفات على الوسائط.

في هذه الحالة، يمكنك إزالة كل المحتوى التالف، واستبداله بشيء آخر لا يشكل تهديدًا للنظام. تتضمن الطريقة الثانية استخدام برامج خاصة لمكافحة الفيروسات. من الضروري إرسال بيانات مشفرة إلى خدماتهم، وهم بدورهم سيرسلون فك التشفير. أصبح برنامج Dr.Web شائعًا جدًا لأنه يتعامل مع المهمة بشكل مثالي.

أثناء تطور تكنولوجيا الكمبيوتر، كانت هناك بعض الفيروسات. يعرف الجميع أشكالها التي تسد ذاكرة الكمبيوتر أو الهاتف، وحذف الملفات، واستبدالها، وغيرها الكثير. لكن أخطرها هي فيروسات برامج الفدية. يمكن أن تكون هذه الفيروسات عبارة عن أحصنة طروادة أو فيروس Vault خطير بشكل خاص (يُترجم حرفيًا إلى crypt). يتم تشفيرها بأحرف مختلفة يفتحها المستخدم وبالتالي تبدأ عملية اختراق الفيروس. وبعد ذلك يتم تشفير جميع الملفات ويكون استعادتها أمرًا صعبًا جدًا أو حتى مستحيلًا. يعتمد المتسللون على هذا ويطالبون بالمال مقابل إعادة المعلومات.

فيروس Vault Ransomware - ما هو؟

يعتبر Vault من أخطر الفيروسات. بعض برامج مكافحة الفيروسات ببساطة لا تدرك ذلك. الملف في أغلب الأحيان يأتي مع التمديد.js. لذلك، قبل فتح عنصر بمثل هذا الامتداد، قم بإلقاء نظرة فاحصة عليه. بعد الإطلاق، يمر بعض الوقت اللازم لقراءة الملفات الموجودة على جهاز الكمبيوتر وتنزيل أداة مساعدة خاصة لتشفير المعلومات من خادم المطورين. تبدأ عملية التشفير على الفور بعد تنزيل البرنامج. سيتم تشفير جميع البيانات الموجودة على الكمبيوتر على الأقراص المختلفة، باستثناء تلك اللازمة لتشغيل Windows.

برنامج Vault encoder هو برنامج gpg مجاني مع خوارزمية تشفير RSA 1024 يتجاوز كافة وسائل الحمايةمضادات الفيروسات، لأنه في الأساس ليس فيروسًا. ثم يتم إنشاء المفاتيح العامة والخاصة. تظل مغلقة على خادم المطورين أو المهاجمين، وتبقى مفتوحة على جهاز الكمبيوتر الخاص بالمستخدم المصاب به.

بعد فترة زمنية معينة، سيتم تشفير كل شيء تقريبًا على الكمبيوتر، وستكون جميع المعلومات ذات امتداد *.vault وسيفقد المستخدم السيطرة عليها تمامًا. وستقوم الأداة المساعدة بإنشاء مفتاح خاص لن يعرفه سوى المتسللين.

طرق العدوى

ينتشر هذا الفيروس من خلال الرسائل عبر البريد أو شبكات التواصل الاجتماعي وحتى Skype، على شكل أرشيف حتى لا يتم ملاحظته أو ملف بامتداد .js.

وقد تأتي كرسالة من الشركات التي يتفاعل معها المستخدم، تحت ستار الدفعنوع من الفاتورة أو وثيقة التسوية للمحاسبين. لذلك عليك توخي الحذر وقراءة ما يرسلونه بعناية.

الإجراءات الأولى

إذا بدأ الكمبيوتر في التباطؤ أو أظهر نشاطًا زائدًا وكانت بعض الملفات الموجودة على الأقراص مشفرة بالفعل، فيجب عليك إيقاف تشغيل الكمبيوتر على الفور باستخدام الزر أو حتى فصله عن مصدر الطاقة. بعد ذلك ستتمكن من حفظ جزء من البيانات على الأقل.

نقوم بإزالة القرص الصلب وتوصيله بجهاز كمبيوتر آخر، مع إيقاف تشغيل الإنترنت مسبقًا. بعد تشغيله، قم بتشغيل كل شيء باستخدام أحد برامج مكافحة الفيروسات وحاول العثور على الملفات المدرجة أدناه.

لو تم العثور على المفاتيح، ثم نبحث عن خدمات فك التشفير على الإنترنت. نقوم بفك تشفير المعلومات وتنسيق محرك الأقراص C.

لو لم يتم العثور على شيءقم بتهيئة محرك الأقراص C وانتقل إلى التعليمات اللاحقة.

كيفية إزالة قبو

قبل أن يكتشف المستخدم هذا الفيروس، سيكون نشاطه قد اكتمل بالفعل بنتيجة ناجحة. لذلك عليك القيام بما يلي لتجنب فقدان بياناتك:

• احفظ الملف Confirm.key، سيعرض كمية البيانات المشفرة. بفضله، يمكن للمتسللين معرفة عدد الملفات التي تحتاج إلى استعادتها والمطالبة بمبلغ معين.
• يجد Vault.key. هذا الملف هو المفتاح أو المعرف للمعلومات المشفرة.
• يحفظ Vault.txt. يحتوي هذا على جميع المعلومات حول المتسللين وموقعهم الإلكتروني.

بعد حفظ هذه الملفات من المجلد Temp، يمكنك مسحها بالكامل وتشغيلها من خلال برنامج CureIT المقدم من برنامج مكافحة الفيروسات Doctor Web. ثم أعد تشغيل جهازك الشخصي.

إذا لم يكن أي مما سبق موجودًا في المجلد Temp، فيمكنك استخدامه البحث القياسيعلى محرك الأقراص C. احتمال العثور على Vault.key منخفض جدًا؛ ويتم حذفه بعد اكتمال التشفير. ولكن إذا تم العثور عليه، فهذا ضمان كامل تقريبًا لفك تشفير المعلومات.

استعادة الملفات المشفرة

إذا قام فيروس Vault بتشفير جهاز الكمبيوتر الخاص بك، فيمكنك استعادة الملفات المشفرة بعدة طرق. يتم تخزين مفتاح فك التشفير على القرص الصلب لبعض الوقت، وبعد الانتهاء من كل شيء، يتم إرساله إلى خادم المتسللين ثم يتم حذفه من جهاز الكمبيوتر.

ربما لا يزال هناك وقت للعثور عليه. يطلق عليه Secret.gpg. إذا ذهبت إلى جهاز الكمبيوتر وفي شريط البحث في الزاوية اليمنى العليا أدخل الاسمواضغط على زر "أدخل"، وسيحاول النظام العثور على هذا الملف. من خلال فتحه، يمكنك الحصول على تسجيل الدخول وكلمة المرور للموقع حيث يتم تخزين برنامج فك التشفير. تعرف على المزيد حول كيفية القيام بذلك في الفيديو أدناه:

يمكنك أيضًا محاولة استعادة البيانات من النسخ الاحتياطية بنفسك، إذا قمت بإنشائها. انقر بزر الماوس الأيمن على العنصر المشفر وابحث عن العنصر " ملكيات" أبحث عن القسم " الإصدارات السابقة"واستعادة. سيعمل هذا إذا تم تمكين هذه الميزة على النظام.

الدفع للمحتالين

بالطبع، حتى لا تفقد المعلومات إذا لم تتمكن من استعادتها، يمكنك الاتصال بالمهاجمين أنفسهم والدفع لهم. ومع ذلك، فإن خوادمهم لا تعمل على مدار الساعة وسيتعين عليك الانتظار عدة ساعات حتى تعمل التعليقات. بالإضافة إلى ذلك، ليس حقيقة أنه بعد دفع الأموال، سيقوم منشئو Vault بفك تشفير جميع الملفات.

على الرغم من أنه، استنادًا إلى العديد من المراجعات، يقوم المحتالون بالفعل بفك تشفير المعلومات. في هذا الصدد، يكون المحتالون دقيقين للغاية - فهناك نظام مرن للخصومات (إذا تمكن المستخدم من التقاط فيروس مماثل مرة أخرى) وحتى الدعم الفني.

تتلقى جميع المعلومات حول موقع الويب الخاص بهم وكيفية الاتصال بهم في المفكرة بعد الإصابة.

ماذا تقدم مختبرات مكافحة الفيروسات؟

على سبيل المثال، مكافحة الفيروسات طبيب مختبر ويبيقترح عدم حذف الملفات، وعدم تنظيف النظام، وترك كل شيء في مكانه بعد اكتشاف الإصابة. ثم، مع بيان لاحق، اتصل بالشرطة. يتم تقديم نماذج الطلبات على الرابط http://legal.drweb.ru/templates.

بعد ذلك، تحتاج إلى الاتصال بالدعم الفني لمكافحة الفيروسات وتقديم نسخة من العنصر المشفر. كل ما عليك فعله هو انتظار الرد من خدمة الدعم. بعد مرور بعض الوقت، ستتلقى برنامج فك تشفير Vault في رسالة رد من Dr.Web. لسوء الحظ، هذه الميزة متاحة فقط للمستخدمين الذين اشتروا حزمة مكافحة فيروسات مدفوعة الأجر.

ش مضاد الفيروسات كاسبيرسكييوجد أيضًا برنامج فك تشفير خاص لهذا الغرض، Vault decryptor. هذا برنامج يبحث بشكل مستقل عن الملفات المشفرة ويفك تشفيرها.

اذا كنت تمتلك مضاد للفيروساتإسيد إيماءة 32 ، فيجب عليك فحص النظام وتنظيفه باستخدام برنامج مكافحة الفيروسات هذا، ثم الاتصال بالدعم الفني - [البريد الإلكتروني محمي]. يجب عليك الاتصال بالدعم الفني فقط إذا كان لديك برنامج مكافحة فيروسات مرخص.

ش مضاد للفيروساتأفاستهناك أدوات مساعدة خاصة لفك تشفير فيروس Vault. يمكن العثور عليها على موقع Avast الرسمي.

كيف تحمي نفسك من فيروس Vault

ولكي تحمي نفسك من مثل هذه الفيروسات عليك بما يلي:

• لا تفتح الملفات ذات الامتداد .js أو ترسلها إلى أحد برامج مكافحة الفيروسات لفحصها.
• قم بتخزين جميع المعلومات المهمة من جهاز الكمبيوتر الخاص بك على محرك أقراص سحابي.
• لا تقم بتنزيل الأدوات المساعدة المقرصنة أو تثبيتها على جهاز الكمبيوتر الخاص بك.

واجه المستخدمون مؤخرًا تهديدًا جديدًا - وهو فيروس يقوم بتشفير الملفات عن طريق استبدال الامتدادات القياسية. ونتيجة لذلك، لا يمكن الوصول إلى المستندات وتسجيلات الصوت والفيديو والصور. يطالب المهاجمون بأموال جدية مقابل مفتاح فك التشفير.

تعد أدوات التشفير خطيرة للغاية لدرجة أنه حتى المؤسسات الكبيرة لا تستطيع الهروب منها: على سبيل المثال، في فبراير 2016، اضطر مركز هوليوود المشيخي الطبي إلى دفع مبلغ 17000 دولار للمهاجمين مقابل مفتاح فك التشفير. ليس من المعروف على وجه اليقين ما هي برامج الفدية التي نجحت في هوليوود، لكن مستخدمي Runet عادةً ما يواجهون فيروس Vault. لذلك دعونا نرى كيفية استعادة الملفات بعد فيروس Vault، إن أمكن.

كيفية استعادة الملفات بعد فيروس Vault

الكشف عن الفيروسات

من الصعب تفويت الإصابة: ستقوم الملفات تلقائيًا بتغيير امتدادها إلى .vault وتتوقف عن الفتح، وتظهر رسالة مثل "تم حظر البيانات. لاستعادتها، تحتاج إلى الحصول على مفتاح فريد. " يوجد أدناه عادةً عنوان موقع الويب وتعليمات الدفع واستلام رمز فك التشفير.

إذا رأيت مثل هذه الرسالة، فيجب عليك إيقاف تشغيل الكمبيوتر على الفور وإزالة كافة الوسائط القابلة للإزالة. يقوم Vault بتشفير المعلومات تدريجيًا، بحيث يكون لديك الوقت لحفظ بعض الملفات.

ولكن كيف وصل الفيروس إلى جهاز الكمبيوتر؟ على الأرجح عن طريق البريد الإلكتروني. يتلقى المستخدمون خطابًا بموضوع مهم (دين ائتماني، أمر استدعاء، تأكيد الدفع، وما إلى ذلك)، ويقومون بفتح الرسالة، وبعد ذلك يتم تنزيل برنامج تشفير ولافتة Vault مع تعليمات الدفع مقابل رمز فك التشفير على الكمبيوتر.

بالنسبة للتشفير، نستخدم برنامج GPG المجاني وغير الضار، والذي يستخدم خوارزمية RSA-1024. رسميا، هذا ليس فيروسا، لذلك فهو لا يعمل. لكن المفتاح الضروري لفك تشفير المعلومات يبقى مع المتسلل، ولن يكون من الممكن فك الشفرة - سيستغرق الأمر عدة سنوات من البحث في القيم. لذلك، لا تفتح رسائل البريد الإلكتروني من مرسلين غير معروفين!

إزالة برامج الفدية

تعد إزالة Vault أمرًا بسيطًا للغاية: فهو لا يخترق النظام بعمق ولا يفسد الحياة إلا عن طريق منع الوصول إلى المعلومات. لتنظيف النظام، استخدم Dr.Web CureIt! أو أداة إزالة فيروسات كاسبيرسكي. يجب تشغيل هذه الأدوات المساعدة في الوضع الآمن لنظام التشغيل Windows.

الإجراء بسيط:

بالإضافة إلى ذلك، يجب عليك إزالة مكونات Vault المخزنة في مجلد مخفي على C:\Users\User\AppData\Loca\Temp. هيكل التعليمات البرمجية الضارة هو كما يلي:

• 3c21b8d9.cmd.
• fabac41c.js.
• 04fba9ba_VAULT.KEY.
• VAULT.txt.
• Sdc0.bat.
• تأكيد.مفتاح.
• مفتاح المدفن.

سيكون المكونان الأخيران مفيدًا لك إذا قررت الدفع للمهاجمين مقابل فك التشفير. يقومون بتخزين الجزء العام من المفتاح (يمتلك المتسللون جزءًا خاصًا، والذي بدونه لا يمكن إزالة الرمز) ومعلومات حول كمية البيانات المشفرة.

هناك خيار آخر - انسخ قرص Kaspersky Rescue Disk على محرك أقراص فلاش وقم بتشغيل جهاز الكمبيوتر الخاص بك منه. ستحتاج إلى جهاز كمبيوتر يعمل، ومحرك أقراص محمول، وأداة مساعدة للحرق، وصورة لـ Kaspersky Rescue Disk 10.

فك تشفير الملف

ستتعامل بسرعة مع البرامج الضارة، ولكن بعد ذلك ستنشأ مشكلة خطيرة - لا يوجد برنامج فك تشفير يفتح الوصول بسرعة إلى المعلومات المشفرة باستخدام خوارزمية RSA-1024. يتمثل موقف كبار مطوري برامج مكافحة الفيروسات في أنهم لا يمتلكون القدرة التقنية على فك التعليمات البرمجية. لذلك، لم يتبق سوى عدد قليل من الخيارات:

• إذا فقدت معلومات ليست ذات قيمة كبيرة، فمن الأسهل حذفها من الكمبيوتر. وتذكر أنك لست بحاجة إلى فتح رسائل غريبة من مرسلين غير معروفين.
• إذا كانت البيانات المشفرة ذات قيمة كبيرة، فسيتعين عليك الدفع لمرسلي برامج الفيروسات. يعد هذا خيارًا متطرفًا لأنه ليس هناك يقين من أنك لن يتم خداعك. بالإضافة إلى ذلك، فإنك تشجع المهاجمين على الاستمرار في إرسال رسائل البريد الإلكتروني المصابة، لأن ذلك يجلب لهم المال.

من بين طرق فك التشفير المتاحة، يمكنك تجربة عدة خيارات، ولكن ليس هناك ما يضمن أنها ستعطي نتيجة إيجابية:

1. قم بزيارة منتديات الدعم الفني لكبار مطوري برامج مكافحة الفيروسات. كاسبيرسكي لاب، دكتور ويب، إسيت. تتوسع قاعدة بيانات برامج الفدية باستمرار. قم بوصف المشكلة بالتفصيل، ربما سيكون لديهم الأدوات اللازمة لحلها.
2. استخدم النسخ الاحتياطية من الملفات (ذات الصلة إذا تم تمكين حماية النظام).

افتح خصائص الملف المشفر وانتقل إلى علامة التبويب "الإصدارات السابقة".

إذا كانت هناك إصدارات سابقة غير مشفرة، فيمكنك فتحها أو استعادتها. في هذه الحالة، يجب حذف البيانات ذات الامتداد ‎.vault من الكمبيوتر. لسوء الحظ، لا توجد أساليب عمل أخرى. لذلك، من الأفضل تجنب مواجهة برامج الفدية: لا تفتح رسائل غريبة، ولا تقم بتنزيل برامج مشبوهة، ولا تتبع روابط غير معروفة.

مرحبا عزيزي القراء. لقد صادفت أن التقيت ببرنامج تشفير مزعج وخطير للغاية يقوم بتشفير بيانات المستخدم عن طريق استبدالها بامتداد قياسي. بعد الإصابة بفيروس Vault Ransomware، يظهر السؤال الرئيسي على الفور - كيفية استعادة الملفات التالفة وفك تشفير المعلومات. ولسوء الحظ، لا يوجد حل بسيط لهذه المشكلة بسبب خصوصيات آلية تشغيل البرامج الضارة وسعة الحيلة التي يتمتع بها المهاجمون.

وصف فيروس الفدية Vault

يبدأ كل شيء بحقيقة أنك فجأة تفتح ملفًا نصيًا في "المفكرة" بالمحتوى التالي:

تم حظر مستندات العمل وقواعد البيانات الخاصة بك ووضع علامة عليها بتنسيق .vault لاستعادتها، تحتاج إلى الحصول على مفتاح فريد. استعادة الملفات إلى شكلها السابق الخطوة التفصيلية 1: تنزيل متصفح Tor من الموقع الرسمي: https://www.torproject.org الخطوة 2: باستخدام متصفح Tor، قم بزيارة الموقع: http://restoredz4xpmuqr.onion الخطوة. 3: ابحث عن VAULT.KEY الفريد الخاص بك على جهاز الكمبيوتر الخاص بك - وهذا هو مفتاحك إلى لوحات عملائك الشخصية. لا تقم بحذفه قم بتسجيل الدخول إلى الموقع باستخدام مفتاح VAULT.KEY انتقل إلى قسم الأسئلة الشائعة واقرأ الإجراء الإضافي الخطوة 4: بعد استلام المفتاح، يمكنك استعادة الملفات باستخدام برنامجنا مفتوح المصدر أو استخدام برنامجك الخاص بأمان بالإضافة إلى ذلك ) لن تتمكن من استرداد الملفات بدون مفتاح فريد (يتم تخزينه بشكل آمن على خادمنا) ب) إذا لم تتمكن من العثور على VAULT.KEY الخاص بك، فابحث في المجلد المؤقت TEMP ج) تكلفة الاسترداد ليست نهائية، فاكتب إلى تاريخ حجب الدردشة: 04/08/2015 (11:14)

ظهور مثل هذه الرسالة يعني ذلك بالفعل فيروس قبوأصاب جهاز الكمبيوتر الخاص بك وبدأ في تشفير ملفاتك. في هذه اللحظة، يجب عليك إيقاف تشغيل الكمبيوتر على الفور، وفصله عن الشبكة وإزالة جميع الوسائط القابلة للإزالة. سنتحدث عن كيفية علاج الفيروس لاحقًا، لكن الآن سأخبرك بما حدث في نظامك.

على الأرجح، لقد تلقيت رسالة عبر البريد من طرف نظير موثوق به أو متنكر في هيئة منظمة معروفة. يمكن أن يكون هذا طلبًا لإجراء تسوية محاسبية لفترة معينة، أو طلب تأكيد دفع الفاتورة بموجب اتفاقية، أو عرضًا للتعرف على دين الائتمان في بنك التوفير، أو أي شيء آخر. لكن المعلومات ستكون مثيرة للاهتمام بالتأكيد وستفتح مرفقًا بالبريد الإلكتروني يحتوي على الفيروس. وهذا ما نعول عليه.

لذلك، تقوم بفتح مرفق له ملحق .js وهو عبارة عن برنامج نصي Java. من الناحية النظرية، يجب أن ينبهك هذا بالفعل ويمنعك من الفتح، لكن إذا كنت تقرأ هذه السطور، فهذا يعني أنه لم ينبهك ولم يمنعك. يقوم البرنامج النصي بتنزيل حصان طروادة أو Banner Vault، كما يمكن تسميته في هذه الحالة، وبرنامج تشفير من خادم المهاجمين. يضع كل شيء في الدليل المؤقت للمستخدم. وتبدأ عملية تشفير الملفات على الفور في جميع الأماكن التي يمكن للمستخدم الوصول إليها - محركات أقراص الشبكة، ومحركات الأقراص المحمولة، ومحركات الأقراص الثابتة الخارجية، وما إلى ذلك.

Vault عبارة عن أداة مساعدة مجانية للتشفير تعمل كبرنامج فدية. gpgوخوارزمية التشفير الشائعة - آر إس إيه-1024. نظرًا لأن هذه الأداة تُستخدم في جوهرها في العديد من الأماكن وليست فيروسًا في حد ذاتها، فإن برامج مكافحة الفيروسات تسمح لها بالمرور ولا تمنع عملها. يتم إنشاء مفتاح عام وخاص لتشفير الملفات. ويظل المفتاح الخاص موجودًا على خادم المتسللين، ومفتوحًا على كمبيوتر المستخدم.

يمر بعض الوقت بعد بدء عملية التشفير. يعتمد ذلك على عدة عوامل - سرعة الوصول إلى الملفات وأداء الكمبيوتر. ثم تظهر رسالة معلومات في ملف نصي، قمت بتقديم محتوياته في البداية. في هذه اللحظة، بعض المعلومات مشفرة بالفعل.

وعلى وجه التحديد، عثرت على تعديل لفيروس vault، الذي يعمل فقط على أنظمة 32 بت. علاوة على ذلك، في نظام التشغيل Windows 7 مع تمكين UAC، ينبثق طلب لإدخال كلمة مرور المسؤول. بدون إدخال كلمة المرور، لا يستطيع الفيروس فعل أي شيء. في نظام التشغيل Windows XP، يبدأ العمل فورًا بعد فتح ملف من البريد، دون طرح أي أسئلة.

يضع الفيروس امتداد القبو على ملفات doc وjpg وxls وغيرها من الملفات

ما الذي يفعله الفيروس بالملفات بالضبط؟ للوهلة الأولى يبدو أنه يغير الامتداد ببساطة من قياسي إلى .قبو. عندما رأيت لأول مرة عمل برنامج تشفير الفيروسات هذا، اعتقدت أنها كانت عملية احتيال طفولية. لقد قمت بإعادة تسمية الملف مرة أخرى وتفاجأت جدًا عندما لم يتم فتحه كما هو متوقع، ولكن بدلاً من المحتوى المطلوب، تم فتح مجموعة من الرموز غير المفهومة. ثم أدركت أن كل شيء ليس بهذه البساطة، بدأت في معرفة ذلك والبحث عن المعلومات.

هاجم الفيروس جميع أنواع الملفات الشائعة - وثيقة, دوكإكس, xls, xlsx, jpeg, بي دي إفو اخرين. تمت إضافة ملحق جديد .vault إلى اسم الملف القياسي. بالنسبة للبعض، يقوم أيضًا بتشفير الملفات باستخدام قواعد بيانات 1C المحلية. لم يكن لدي أي من هذه الأشياء، لذلك لم ألاحظها شخصيًا. مجرد إعادة تسمية الملف مرة أخرى، كما تفهم، لا يساعد هنا.

نظرًا لأن عملية التشفير ليست فورية، فقد يحدث أنه عندما تكتشف أن لديك فيروسًا على جهاز الكمبيوتر الخاص بك، ستظل بعض الملفات طبيعية، وسيصاب بعضها الآخر. من الجيد أن يظل معظمها على حاله. لكن في أغلب الأحيان لا يمكنك الاعتماد على هذا.

سأخبرك بما هو مخفي وراء تغيير الامتداد. بعد تشفير الملف file.doc بجانبه مثلا، يقوم فيروس الخزنة بإنشاء ملف مشفر file.doc.gpg، ثم يتم نقل الملف المشفر.doc.gpg إلى مكان الأصلي بملف اسم جديد .doc، وبعد ذلك فقط تتم إعادة تسميته إلى ملف doc.vault. اتضح أن الملف الأصلي لم يتم حذفه، ولكن تم استبداله بمستند مشفر. بعد ذلك، لا يمكن استعادتها باستخدام الأدوات القياسية لاستعادة الملفات المحذوفة. فيما يلي جزء من التعليمات البرمجية التي تنفذ وظائف مماثلة:

Dir /B "%1:"&& لـ /r "%1:" %%i في (*.xls *.doc) قم بتنفيذ (صدى "%%TeMp%%\svchost.exe" -r Cellar --yes - q --no-verbose --trust-model Always --تشفير الملفات "%%i"^& نقل /y "%%i.gpg" "%%i"^& إعادة تسمية "%%i" "%%" ~nxi.vault">> "%temp%\cryptlist.lst" echo %%i>> "%temp%\conf.list")

عدوى فيروسية يتم تشفير ملفات Vault

أولا يتلقى المستخدم رسالة بها رسالة حول مستخرج من مأمورية الضرائب / عداد المياه / حساب استشاري بلس.
تحتوي الرسالة على رابط لملف مرفق من المصدر تحميل-attach.com. (يبدو أن تكلفة الاستضافة يتم دفعها بعملة البيتكوين) يحتوي الأرشيف الموجود على هذا الرابط على الأشياء الأكثر إثارة للاهتمام ملف js غامض، مع اسم مفصل للغاية.
عند تشغيله مستخدم %TEMP%تظهر عدة ملفات ويتم كتابة البرنامج النصي لبدء التشغيل في بدء التشغيل revault.js

وإليكم بعض الملفات التي تم التعرف عليها:
ملف Svchost.exe - ثنائي gnupg الرئيسي
Iconv.dll - مكتبة مشتركة لتشغيل gnupg
audiodg.exe - sDelete من مجموعة Sysinternals

تنفيذ الفيروسات يتم تشفير ملفات Vault

في حالتنا، عند بدء تشغيل الكمبيوتر، تم إطلاق البرنامج النصي revault.js، الذي أطلق ملف الخفافيش cryptlist.cmd. لقد ضاع خيط صغير هنا
ثم بدأت Secure.batإنه المكان الذي تحدث فيه كل الأشياء المظلمة.
أولا يقوم البرنامج بإنشاء شهادة لتشفير الملفات على جهاز الكمبيوتر باسم gk.vlt (Cellar/RSA/1024 bit)
ثم يقوم بتصدير المفتاح الخاص منه، وهو أمر ضروري لفك تشفير الملفات إلى ملف vaultkey.vlt
ثم يقوم بإنشاء مفتاح عام pk.vlt، وهو محدد مسبقًا في ملف الخفافيش نفسه. سيتم استخدام هذا الملف لاحقًا لتشفير المفتاح المطلوب لفك تشفير بياناتك.

بعد ذلك، يتم كتابة vaultkey.vlt
BDATE - التاريخ الحالي
UNNAME - اسم المستخدم الحالي
CNAME - اسم الكمبيوتر
ULANG - لغة النظام (في هذه الحالة تكون مكتوبة RU)
وبعض التجزئات العشوائية 01HSH 02HSH 03HSH 04HSH 05HSH FHASH

تشفير الفيروسات يتم تشفير ملفات Vault

تشفير الملفات مع الاستبدال يبدو هكذا
1-تشفير الملفات
2- نقل الملف المشفر إلى مكان الأصل
3 - إضافة امتداد .vault إلى الملف

في المرحلة 1، يتم تشفير ملفات *.xls و*.doc.
في المرحلة 2، يتم إنشاء الملفات win.vbs وsdwrase.js وsdwrase.cmd وتشغيلها، مما يؤدي إلى تعطيل النسخ الاحتياطي في النظام إذا كان النظام يعمل بنظام Vista أو أعلى
وملفات *.pdf *.rtf مشفرة.
في المرحلة 3، يتم تشفير ملفات *.psd *.dwg *.cdr.
في المرحلة 4، يتم تشفير ملفات *.cd *.mdb *.1cd *.dbf *.sqlite.
في المرحلة 5، يتم تشفير ملفات *.jpg *.zip.

يتم حساب كل ملف، ثم تتم كتابة عدد الملفات المشفرة لكل نوع ملف إلى vaultkey.vlt
(على ما يبدو لتقييم عام للبيانات المشفرة)

بعد ذلك، يتم تشفير مفتاحك الخاص والمعلومات المجمعة حول كمية البيانات باستخدام مفتاح المهاجم.
وبعد ذلك يتم حذف المفتاح المطلوب لفك تشفير البيانات مع 16 عملية إعادة كتابة (!).

يتم تشفير ملفاتك باستخدام مفتاحك، ويتم تشفير مفتاحك باستخدام مفتاح المهاجم.

ثم يتم إنشاء الملفات مع التنبيهات.

موقع الفيروسات يتم تشفير ملفات Vault

تتم استضافة موقع المهاجمين على شبكة TOR المجهولة وهو متقدم تقنيًا للغاية لهذا النوع من "المشاريع"
يوجد حساب شخصي كامل و"إصدار تجريبي" لـ 3 ملفات، مما يسمح للمهاجم بفك تشفير الملف الذي قمت بتحميله وتنزيله من الخادم الخاص به. ولكن، قبل منحك حق الوصول إلى الملف، سيقوم المهاجم بمراجعته يدويًا وإذا اعتبر الملف مهمًا، فلن تتمكن من الوصول إلى الموضوع، وسيتم إعلامك بذلك.

حتى أن هناك قسمًا للمساعدة.

الدفع فقط بالبيتكوين.
يمكنك أيضًا التحدث إلى المؤلف. الإقناع والتهديدات لا فائدة منها. يمكن للمهاجم حظر خيار الدردشة الخاص بك.

كلمات مرور المتصفح - تقنية لسرقة كلمات المرور من المتصفحات المصابة بفيروس يتم تشفير ملفات Vaultحاسوب

بعد إنشاء الملفات مع الإخطارات هناك "مكافأة"
يتم إنشاء البرامج النصية Ultra.js وup.vbs.
الأول يقوم بتحميل الملف من بوابة tor2web عبر الرابط hxxp_//tj2es2lrxelpknfp.onion.city/p.vlt ويعيد تسميته إلى ssl.exe
هذا عبارة عن أداة تفريغ كلمات المرور الخاصة بالمتصفح الإصدار 2.6 من برنامج SecurityXploded
يقوم بحفظ جميع كلمات مرور المتصفح الخاص بك في ملف تعريف الارتباط.vlt
بعد ذلك، يبدأ الملف الثاني في تحميل كلمات المرور الخاصة بك إلى نفس الخادم (POST إلى البرنامج النصي /x.php)
هذا الخادم مجهول الهوية بنفس طريقة خادم الاسترداد والدفع (لا يوجد شيء إضافي في الرؤوس، خادم السطر: Anon)