Tema virusov Vault je danes zelo aktualna. Večino uporabnikov zanima, kaj storiti, če je njihov računalnik okužen in kateri je najprimernejši način za odstranitev zlonamerne programske opreme. O tem bomo razpravljali v tem članku.

Kaj so virusi Vault?

Preden se dotaknemo vprašanja odstranjevanja zlonamerne programske opreme, se je treba seznaniti z njihovim splošnim konceptom. Virus Vault je šifrirnik podatkov. Sposoben je prodreti v operacijski sistem in spremeniti razširitve vseh podatkov v računalniku. Težava se še posebej poveča, ko okužba doseže sistemske datoteke.

Ko je naprava okužena z virusom Vault, morate najprej razumeti, od kod prihaja. Težava je v tem, da šifrirnik podatkov izgleda drugače. Za nekatere uporabnike deluje kot program za arhiviranje datotek, za druge pa se izkaže kot posebna razširitev brskalnika. V vseh primerih je samo en izhod - nujno se je treba znebiti virusa Vault.

Izvedba inšpekcijskega pregleda

Prvi korak je preveriti napravo glede prisotnosti vohunske programske opreme in zlonamernih datotek v sistemu. Za to potrebujete učinkovit protivirusni program. Najboljši možnosti sta Dr.Web ali Nod32. Uporabite lahko tudi Avast. Najprej morate posodobiti bazo virusov in nato zagnati globinsko skeniranje. Ta postopek pogosto traja veliko časa.

Po zaključku postopka lahko analizirate dobljene rezultate. Predstavljeni seznam bo zagotovo vseboval virus Vault. Ostala dejanja je mogoče predvideti. Ozdraviti boste morali vso zlonamerno programsko opremo. Če tega ni mogoče storiti, jih morate popolnoma odstraniti. Za to je v protivirusnem programu poseben gumb. Po pregledu računalnika se pomaknite na naslednji korak.

Odstranjevanje programov

Najprej bi morali odstraniti vse vrste nenavadne vsebine in programe, ki jih že dolgo niste uporabljali. Virusi Vault se praviloma odlikujejo po tem, da radi pišejo različne neuporabne vsebine, ki pomagajo šifrirati podatke. Če jih odstranite, lahko poenostavite rešitev problema.

Najprej morate iti na "Nadzorno ploščo" in izbrati "Dodaj ali odstrani programe". Vredno je malo počakati, da se ustvari seznam prenesenih vsebin. Po tem se morate znebiti vseh neznanih programov. Hkrati boste lahko svojo napravo očistili aplikacij, ki jih že dolgo ni nihče uporabljal. Ko je ta postopek končan, zaprite okno in nadaljujte z naslednjimi koraki, potrebnimi za rešitev naloge.

Čiščenje registra

Večina uporabnikov, ki se odloči odstraniti virus Vault, ne posveča dovolj pozornosti registru. Ampak zaman. Navsezadnje registrira zlonamerni program, ki se ga je pogosto precej težko znebiti. Zato morate vsekakor razmisliti o čiščenju registra. Če želite to narediti, morate izvesti poseben ukaz, ki vam pomaga pri obisku zahtevane storitve.

Najprej morate klikniti Win + R in nato zagnati ukaz regedit. Ko pritisnete gumb "Enter", se odpre register računalnika. Po vstopu v zahtevano storitev je vredno razmisliti o tem, kaj je potrebno za uspešno rešitev težave. Na levi strani lahko vidite veliko map z dolgimi imeni. Treba jih je obiti. Glavni cilj je »Urejanje«.

Tam morate poiskati »Iskanje« in v vrstico vnesti »Vault«. Po tem morate skenirati napravo in počakati na rezultate skeniranja. Zlonamerne datoteke, ki so odkrite med skeniranjem, je treba izbrisati. Ta postopek je popolnoma varen, zato ni skrbi, da bi poškodovali operacijski sistem. Samo z desno miškino tipko kliknite vrstice in izberite ukaz »Izbriši«. Ko je vse pripravljeno, lahko nadaljujete. Ostalo je le še nekaj osnovnih korakov za rešitev težave z izsiljevalsko programsko opremo.

Programska pomoč

Vsak postopek odstranjevanja zlonamerne programske opreme vključuje uporabo dodatnih pripomočkov. Omogočajo vam iskanje virusov in zaščito vaše naprave pred njimi tako, da jih nevtralizirajo. Najboljša možnost je na primer Cclener. Program odlično očisti vaš računalnik in pomaga sprostiti prostor na sistemskem pogonu C.

Vse kar morate storiti je, da preprosto prenesete CCleaner in si vzamete čas za namestitev. Nato morate nastaviti zahtevane nastavitve skeniranja. To se naredi na levi strani okna. Po tem lahko varno kliknete gumb »Skeniraj«. Traja le nekaj sekund, da se rezultati skeniranja prikažejo na zaslonu. Vse kar morate storiti je, da kliknete gumb »Počisti« in analizirate prejete podatke.

Uporabite lahko tudi SpyHunter, da se znebite izsiljevalske programske opreme. Program je sposoben zaznati zlonamerno in vohunsko programsko opremo ter druge datoteke, ki ogrožajo sistem. Ko so namestitve in skeniranje končani, je priporočljivo znova zagnati računalnik. Posledično virus uporabniku ne bo povzročal nevšečnosti.

Dejanja z datotekami

Po vseh opravljenih korakih se običajno pojavi naslednje vprašanje: "Kaj storiti, če so osebni podatki šifrirani?" Obstaja več načinov za obvladovanje te naloge, zato bo vsak uporabnik lahko izbral najboljšo možnost zase. Prva metoda je primerna za posebej previdne ljudi, ki zapisujejo vse datoteke na medij.

V tem primeru lahko odstranite vso poškodovano vsebino in jo nadomestite z nečim drugim, kar ne ogroža sistema. Druga metoda vključuje uporabo posebnih protivirusnih programov. Njihovim storitvam je treba poslati šifrirane podatke, oni pa bodo poslali dešifriranje. Program Dr.Web je postal zelo priljubljen, saj se odlično spopada z nalogo.

Med razvojem računalniške tehnologije je bilo nekaj virusov. Vsi poznajo svoje obrazce, ki zamašijo pomnilnik računalnika ali telefona, brišejo datoteke, jih zamenjajo in številne druge. Najnevarnejši pa so izsiljevalski virusi. To so lahko trojanci ali posebej nevaren virus Vault (dobesedno preveden kot kripta). Šifrirani so pod različnimi črkami, ki jih uporabnik odpre in s tem sproži proces prodiranja virusa. Nato so vse datoteke šifrirane in jih je zelo težko ali celo nemogoče pridobiti nazaj. Hekerji računajo na to in zahtevajo denar v zameno za vrnitev informacij.

Virus izsiljevalske programske opreme Vault – kaj je to?

Vault velja za enega najnevarnejših virusov. Nekateri protivirusni programi tega preprosto ne zaznajo. Datoteka najpogosteje prihaja s podaljškom.js. Zato, preden odprete element s takšno razširitvijo, si ga podrobneje oglejte. Po zagonu mine nekaj časa, ki je potreben za branje datotek v računalniku in prenos posebnega pripomočka za šifriranje informacij s strežnika razvijalcev. Postopek šifriranja se začne takoj po prenosu programa. Vsi podatki, ki so v računalniku na različnih diskih, bodo kodirani, razen tistih, ki so potrebni za delovanje sistema Windows.

Kodirnik Vault je brezplačen program gpg z algoritmom šifriranja RSA 1024. Ta pripomoček je preprost obide vse zaščite antivirusi, saj v bistvu ni virus. Nato se ustvarita javni in zasebni ključ. Zaprti ostanejo na strežniku razvijalcev ali napadalcev, odprti pa ostanejo na računalniku uporabnika, ki se je z njimi okužil.

Po določenem času bo skoraj vse na računalniku šifrirano, vse informacije bodo imele končnico *.vault in uporabnik bo popolnoma izgubil nadzor nad njimi. In pripomoček bo ustvaril poseben ključ, ki ga bodo poznali le hekerji.

Poti okužbe

Ta virus se širi prek sporočil prek pošte ali socialnih omrežij in celo Skypa, in sicer v obliki arhiva, da ga ne bi opazili, ali datoteke s končnico .js.

Lahko pride kot sporočilo podjetij, s katerimi uporabnik komunicira, pod krinko plačila neke vrste račun ali usklajevalni dokument za računovodje. Zato morate biti previdni in natančno prebrati, kaj pošiljajo.

Prva dejanja

Če se računalnik začne upočasnjevati ali izkazovati pretirano aktivnost in so nekatere datoteke na diskih že šifrirane, morate takoj izklopiti računalnik z gumbom ali ga celo izključiti iz električnega omrežja. Takrat boste lahko shranili vsaj del podatkov.

Odstranimo trdi disk in ga povežemo z drugim računalnikom, pri čemer vnaprej izklopimo internet. Ko ga vklopite, zaženite vse s protivirusnim programom in poskusite najti spodaj navedene datoteke.

če najdeni ključi, potem poiščemo storitve dešifriranja na internetu. Dešifriramo podatke in formatiramo pogon C.

če Nič najdenega, formatirajte pogon C in nadaljujte z naslednjimi navodili.

Kako odstraniti Vault

Preden uporabnik odkrije ta virus, bo njegova aktivnost že zaključena z uspešnim izidom. Zato morate storiti naslednje, da preprečite izgubo podatkov:

• Shranite datoteko confirmation.key, bo prikazal količino šifriranih podatkov. Zahvaljujoč njej lahko hekerji vidijo, koliko datotek je treba obnoviti, in zahtevajo določen znesek.
• Najti Vault.key. Ta datoteka je ključ ali identifikator šifriranih informacij.
• Shrani Vault.txt. Vsebuje vse informacije o hekerjih in njihovi spletni strani.

Ko te datoteke shranite iz mape Temp, jih lahko popolnoma počistite in zaženete program CureIT, ki ga ponuja protivirusni program Doctor Web. Nato znova zaženite osebno napravo.

Če nič od naštetega ni v mapi Temp, lahko uporabite standardno iskanje na pogonu C. Verjetnost, da boste našli Vault.key, je zelo nizka; po zaključku šifriranja se izbriše. Če pa se najde, je to skoraj popolno jamstvo za dekodiranje informacij.

Obnovitev šifriranih datotek

Če virus Vault šifrira vaš računalnik, lahko obnovite šifrirane datoteke na več načinov. Ključ za dešifriranje je nekaj časa shranjen na trdem disku, ki se, ko je vse končano, pošlje na strežnik hekerjev in se ustrezno izbriše iz računalnika.

Morda bo še čas, da ga najdemo. Imenuje se secret.gpg. Če greste na Moj računalnik in v iskalno vrstico v zgornjem desnem kotu vnesite ime in pritisnite gumb "Enter", sistem bo poskušal najti to datoteko. Če ga odprete, lahko dobite prijavo in geslo za spletno mesto, kjer je shranjen dekriptor. Več o tem, kako to storite, v spodnjem videu:

Podatke lahko poskusite tudi sami obnoviti iz varnostnih kopij, če ste jih ustvarili. Z desno miškino tipko kliknite kodirani element in poiščite element " Lastnosti" Iščem razdelek " Prejšnje različice"in obnoviti. To bo delovalo, če je ta funkcija omogočena v sistemu.

Plačilo prevarantom

Seveda, da ne izgubite podatkov, če jih ne morete obnoviti, se lahko obrnete na same napadalce in jim plačate. Vendar njihovi strežniki ne delujejo 24 ur na dan in boste morali čakati več ur, da povratne informacije delujejo. Poleg tega ni dejstvo, da bodo ustvarjalci Vaulta po plačilu denarja dešifrirali vse datoteke.

Čeprav, sodeč po številnih pregledih, prevaranti dejansko dešifrirajo informacije. V zvezi s tem so prevaranti zelo skrbni - obstaja prilagodljiv sistem popustov (če uporabniku uspe znova pobrati podoben virus) in celo tehnična podpora.

Vse informacije o njihovi spletni strani in o tem, kako stopiti v stik z njimi, po okužbi prejmete v beležnici.

Kaj ponujajo protivirusni laboratoriji?

Na primer protivirusni program laboratorij Doctor Web predlaga, da ne izbrišete datotek, ne očistite sistema in po odkritju okužbe vse pustite na svojem mestu. Nato se z naknadno izjavo obrnite na policijo. Vzorci aplikacij so predstavljeni na povezavi http://legal.drweb.ru/templates.

Po tem se morate obrniti na protivirusno tehnično podporo in zagotoviti kopijo šifriranega elementa. Vse, kar morate storiti, je počakati na odgovor službe za podporo. Čez nekaj časa boste prejeli Vault decryptor v odgovoru na pismo Dr.Weba. Na žalost je ta funkcija na voljo le tistim uporabnikom, ki so kupili plačljivi protivirusni paket.

U Antivirus Kaspersky Za to obstaja tudi poseben dekriptor, Vault decryptor. To je program, ki samostojno išče šifrirane datoteke in jih dešifrira.

Če imate protivirusni programEsed Prikimaj 32 , potem skenirajte in očistite sistem s tem protivirusnim programom, nato pa se obrnite na tehnično podporo - [e-pošta zaščitena]. Na tehnično podporo se obrnite le, če imate licenčni protivirusni program.

U protivirusni programAvast Za dešifriranje virusa Vault obstajajo posebni pripomočki. Najdete jih na uradni spletni strani Avast.

Kako se zaščititi pred virusom Vault

Da bi se zaščitili pred takšnimi virusi, morate:

• Ne odpirajte datotek s pripono .js in jih ne pošljite protivirusnemu programu v pregled.
• Vse pomembne informacije iz računalnika shranite na oblačni disk.
• Ne prenašajte piratskih pripomočkov in jih ne nameščajte v svoj računalnik.

Pred kratkim so uporabniki naleteli na novo grožnjo - virus, ki šifrira datoteke z zamenjavo standardnih končnic. Posledično dokumenti, zvočni in video posnetki ter slike postanejo nedostopni. Napadalci zahtevajo velik denar za ključ za dešifriranje.

Šifrerji so tako nevarni, da jim tudi velike organizacije ne morejo ubežati: na primer, februarja 2016 je moral Hollywood Presbyterian Medical Center napadalcem plačati 17.000 dolarjev za ključ za dešifriranje. Ni zagotovo znano, katera izsiljevalska programska oprema je delovala v Hollywoodu, vendar uporabniki Runeta običajno naletijo na virus Vault. Poglejmo torej, kako obnoviti datoteke po virusu Vault, če je to mogoče.

Kako obnoviti datoteke po virusu Vault

Odkrivanje virusov

Okužbo je težko zgrešiti: datoteke bodo samodejno spremenile končnico v .vault in se prenehale odpirati, sporočilo, kot je »Podatki blokirani. Če jih želite obnoviti, morate pridobiti edinstven ključ." Spodaj je običajno naslov spletnega mesta ter navodila za plačilo in prejem kode za dešifriranje.

Če vidite takšno sporočilo, morate takoj izklopiti računalnik in odstraniti vse izmenljive medije. Vault postopoma šifrira informacije, tako da imate čas, da shranite nekaj datotek.

Toda kako je virus prišel v računalnik? Najverjetneje po elektronski pošti. Uporabniki prejmejo pismo s pomembno zadevo (kreditni dolg, sodni poziv, potrdilo o plačilu ipd.), odprejo sporočilo, nato pa se na računalnik naloži šifrirni program in pasica Vault z navodili za plačilo kode za dešifriranje.

Za šifriranje uporabljamo brezplačen in neškodljiv program GPG, ki uporablja algoritem RSA-1024. Formalno to ni virus, zato ne deluje. Toda ključ, ki je potreben za dešifriranje informacij, ostane pri hekerju in kode ne bo mogoče razbiti - trajalo bo več let iskanja vrednosti. Zato ne odpirajte elektronske pošte neznanih pošiljateljev!

Odstranjevanje izsiljevalske programske opreme

Odstranjevanje trezorja je precej preprosto: ne prodre globoko v sistem in kvari življenje samo z blokiranjem dostopa do informacij. Za čiščenje sistema uporabite Dr.Web CureIt! ali Kaspersky Virus Removal Tool. Te pripomočke je treba izvajati v varnem načinu Windows.

Postopek je preprost:

Poleg tega morate odstraniti komponente trezorja, ki so shranjene v skriti mapi na C:\Users\User\AppData\Loca\Temp. Struktura zlonamerne kode je naslednja:

• 3c21b8d9.cmd.
• fabac41c.js.
• 04fba9ba_VAULT.KEY.
• VAULT.txt.
• Sdc0.bat.
• POTRDITEV.KLJUČ.
• KLJUČ ZA VAULT.

Zadnji dve komponenti vam bosta koristili, če se odločite plačati napadalcem za dešifriranje. Hranijo javni del ključa (hekerji imajo zasebni del, brez katerega kode ni mogoče odstraniti) in podatke o količini šifriranih podatkov.

Obstaja še ena možnost - zapišite Kaspersky Rescue Disk na bliskovni pogon in zaženite računalnik z njega. Potrebovali boste delujoč računalnik, bliskovni pogon, pripomoček za zapisovanje in sliko programa Kaspersky Rescue Disk 10.

Dešifriranje datoteke

Hitro se boste spopadli z zlonamerno programsko opremo, potem pa se bo pojavila resna težava - ni dekriptorja, ki bi hitro odprl dostop do informacij, šifriranih z algoritmom RSA-1024. Stališče velikih razvijalcev protivirusne programske opreme je, da nimajo tehnične možnosti za vdiranje kode. Zato je na voljo le nekaj možnosti:

• Če se izgubijo informacije, ki niso velike vrednosti, jih je lažje izbrisati iz računalnika. In ne pozabite, da vam ni treba odpirati čudnih pisem neznanih pošiljateljev.
• Če so šifrirani podatki velike vrednosti, boste morali plačati pošiljatelju virusne programske opreme. To je skrajna možnost, ker ni gotovosti, da ne boste prevarani. Poleg tega spodbujate napadalce, da nadaljujejo s pošiljanjem okužene elektronske pošte, saj jim to prinaša denar.

Od razpoložljivih metod dešifriranja lahko poskusite več možnosti, vendar ni nobenega zagotovila, da bodo dale pozitiven rezultat:

1. Obiščite forume za tehnično podporo večjih razvijalcev protivirusne programske opreme. Kaspersky Lab, Dr.Web, ESET. Baza podatkov o izsiljevalski programski opremi se nenehno širi. Podrobno opišite težavo, morda bodo imeli orodja za njeno rešitev.
2. Uporabite senčne kopije datotek (ustrezno, če je omogočena sistemska zaščita).

Odprite lastnosti šifrirane datoteke in pojdite na zavihek »Prejšnje različice«.

Če obstajajo prejšnje, nešifrirane izdaje, jih lahko odprete ali obnovite. V tem primeru je treba podatke s končnico .vault izbrisati iz računalnika. Drugih načinov dela žal ni. Zato se je bolje izogniti srečanju z izsiljevalsko programsko opremo: ne odpirajte čudnih pisem, ne prenašajte sumljivih programov, ne sledite neznanim povezavam.

Pozdravljeni, dragi bralci. Slučajno sem srečal en zelo neprijeten in nevaren šifrirnik, ki šifrira uporabniške podatke tako, da jih nadomesti s standardno razširitvijo. Po okužbi z virusom ransomware trezorja se takoj pojavi glavno vprašanje - kako obnoviti poškodovane datoteke in dešifrirati podatke. Zaradi posebnosti mehanizma delovanja zlonamerne programske opreme in iznajdljivosti napadalcev žal ni enostavne rešitve za ta problem.

Opis virusa izsiljevalske programske opreme trezorja

Vse se začne z dejstvom, da v beležnici nenadoma odprete besedilno datoteko z naslednjo vsebino:

Vaši delovni dokumenti in baze podatkov so bili blokirani in označeni s formatom .vault, morate pridobiti edinstveni ključ. POSTOPEK ZA PRIDOBITEV KLJUČA: NA KRATKO 1. Pojdite na naš spletni vir. . Obnovite datoteke v njihovo prejšnjo obliko PODROBNO 1. korak: Prenesite brskalnik Tor z uradnega spletnega mesta: https://www.torproject.org 2. korak: Z brskalnikom Tor obiščite spletno mesto: http://restoredz4xpmuqr.onion Korak 3: Poiščite svoj edinstveni VAULT.KEY na vašem računalniku - to je vaš ključ do vaših osebnih plošč strank. Ne izbrišite ga Prijavite se na spletno mesto s ključem VAULT.KEY Pojdite na razdelek s pogostimi vprašanji in preberite nadaljnji postopek 4. KORAK: Ko prejmete ključ, lahko obnovite datoteke z našo odprtokodno programsko opremo ali varno uporabite svojo programsko opremo DODATNO a ) Datotek ne boste mogli obnoviti brez edinstvenega ključa (ki je varno shranjen na našem strežniku) b) Če ne najdete svojega VAULT.KEY, poglejte v začasno mapo TEMP c) Vaš strošek obnovitve ni dokončen, pišite na klepet Datum blokiranja: 08.04.2015 (11:14)

Pojav takšnega sporočila že pomeni, da trezorski virus okužil vaš računalnik in začel šifrirati vaše datoteke. V tem trenutku morate takoj izklopiti računalnik, ga odklopiti iz omrežja in odstraniti vse izmenljive medije. O tem, kako zdraviti virus, bomo govorili kasneje, zdaj pa vam bom povedal, kaj se je zgodilo v vašem sistemu.

Najverjetneje ste prejeli pismo po pošti od zaupanja vredne nasprotne stranke ali prikrito kot znana organizacija. To je lahko zahteva za izvedbo računovodske uskladitve za določeno obdobje, zahteva za potrditev plačila računa po pogodbi, ponudba za seznanitev s kreditnim dolgom pri Sberbank ali kaj drugega. A informacije bodo takšne, da vas bodo zagotovo zanimale in boste odprli e-poštno priponko z virusom. Na to računamo.

Torej odprete prilogo, ki ima pripono .js in je skript Java. Teoretično bi vas to že moralo opozoriti in preprečiti odpiranje, a če berete te vrstice, pomeni, da vas ni opozorilo in vas ni ustavilo. Skript prenese trojanca ali banner Vault, kot ga lahko imenujemo v tem primeru, in program za šifriranje s strežnika napadalcev. Vse postavi v uporabnikov začasni imenik. In postopek šifriranja datotek se takoj začne na vseh mestih, kjer ima uporabnik dostop - omrežni pogoni, bliskovni pogoni, zunanji trdi diski itd.

Vault je brezplačen pripomoček za šifriranje, ki deluje kot izsiljevalska programska oprema. gpg in priljubljen šifrirni algoritem - RSA-1024. Ker se ta pripomoček v bistvu uporablja marsikje in sam po sebi ni virus, ga antivirusi prepuščajo in ne blokirajo njegovega dela. Za šifriranje datotek se ustvarita javni in zasebni ključ. Zasebni ključ ostane na strežniku hekerjev, odprt na uporabnikovem računalniku.

Po začetku šifriranja mine nekaj časa. Odvisno je od več dejavnikov - hitrosti dostopa do datoteke, zmogljivosti računalnika. Nato se v besedilni datoteki prikaže informativno sporočilo, katerega vsebino sem navedel na samem začetku. Na tej točki so nekatere informacije že šifrirane.

Natančneje, naletel sem na modifikacijo virusa trezorja, ki je deloval samo na 32-bitnih sistemih. Poleg tega se v sistemu Windows 7 z omogočenim UAC pojavi zahteva za vnos skrbniškega gesla. Brez vnosa gesla virus ne more narediti ničesar. V sistemu Windows XP začne delovati takoj po odprtju datoteke iz pošte, brez vprašanj.

Virus doda pripono trezorja v datoteke doc, jpg, xls in druge

Kaj točno naredi virus z datotekami? Na prvi pogled se zdi, da preprosto spremeni razširitev iz standardne v .trezor. Ko sem prvič videl delo tega šifrirnika virusov, sem mislil, da je to otročja prevara. Datoteko sem preimenoval nazaj in bil zelo presenečen, ko se ni odprla po pričakovanjih, temveč se je namesto zahtevane vsebine odprla zmešnjava nerazumljivih simbolov. Potem sem ugotovil, da vse ni tako preprosto, začel sem ugotavljati in iskati informacije.

Virus je napadel vse priljubljene vrste datotek - doc, docx, xls, xlsx, jpeg, pdf in drugi. Standardnemu imenu datoteke je bila dodana nova končnica .vault. Pri nekaterih tudi šifrira datoteke z lokalnimi bazami podatkov 1C. Tega nisem imel, zato tega osebno nisem opazil. Preprosto preimenovanje datoteke nazaj, kot razumete, tukaj ne pomaga.

Ker postopek šifriranja ni takojšen, se lahko zgodi, da ko ugotovite, da imate v računalniku virus, bodo nekatere datoteke še vedno normalne, nekatere pa bodo okužene. Dobro je, če večina ostane nedotaknjena. Toda najpogosteje na to ne morete računati.

Povedal vam bom, kaj se skriva za spremembo razširitve. Po šifriranju, na primer, datoteke file.doc zraven, virus trezorja ustvari šifrirano datoteko file.doc.gpg, nato pa se šifrirana datoteka.doc.gpg premakne na mesto prvotne datoteke z novim imenom .doc in šele po tem se preimenuje v datoteko doc.vault. Izkazalo se je, da izvirna datoteka ni izbrisana, ampak je prepisana s šifriranim dokumentom. Po tem je ni več mogoče obnoviti s standardnimi orodji za obnovitev izbrisanih datotek. Tukaj je del kode, ki izvaja podobno funkcionalnost:

Dir /B "%1:"&& for /r "%1:" %%i in (*.xls *.doc) do (echo "%%TeMp%%\svchost.exe" -r Cellar --yes - q --no-verbose --trust-model vedno --encrypt-files "%%i"^& premakni /y "%%i.gpg" "%%i"^& preimenuj "%%i" "%% ~nxi.vault">> "%temp%\cryptlist.lst" echo %%i>> "%temp%\conf.list")

Virusna okužba Datoteke trezorja so šifrirane

Najprej uporabnik prejme pismo s sporočilom o izpisku iz davčnega urada / vodomer / račun za svetovalca plus.
Pismo je vsebovalo povezavo do priložene datoteke iz vira download-attach.com. (zgleda, da se gostovanje plačuje v Bitcoinih) V arhivu na tej povezavi je največ zanimivosti zakrita datoteka js, z zelo podrobnim imenom.
Pri zagonu Uporabnik %TEMP%. prikaže se več datotek in v zagon se zapiše zagonski skript revault.js

Tukaj je nekaj datotek, ki so bile identificirane:
svchost.exe - glavna dvojiška datoteka gnupg
iconv.dll - deljena knjižnica za izvajanje gnupg
audiodg.exe - sIzbriši iz zbirke Sysinternals Suite

Izvedba virusa Datoteke trezorja so šifrirane

V našem primeru se je ob zagonu računalnika zagnala skripta revault.js, ki je zagnala bat datoteko cryptlist.cmd. Tukaj se je izgubila majhna nit
Potem pa se je začelo secured.bat Tam se dogajajo vse najtemnejše stvari.
Program najprej ustvari certifikat za šifriranje datotek na računalniku z imenom gk.vlt (Cellar/RSA/1024 bit)
Nato iz nje izvozi zasebni ključ, ki je potreben za dešifriranje datotek v datoteko vaultkey.vlt
Nato ustvari javni ključ pk.vlt, ki je vnaprej določen v sami datoteki bat. Ta datoteka bo kasneje uporabljena za šifriranje ključa, potrebnega za dešifriranje vaših podatkov.

Nato je napisan vaultkey.vlt
BDATE - trenutni datum
UNAME - trenutno uporabniško ime
CNAME - ime računalnika
ULANG - sistemski jezik (v tem primeru je napisano RU)
In nekaj naključnih zgoščenih vrednosti 01HSH 02HSH 03HSH 04HSH 05HSH FHASH

Šifriranje virusov Datoteke trezorja so šifrirane

Šifriranje datoteke z zamenjavo izgleda takole
1 - Šifriranje datoteke
2 - Premikanje šifrirane datoteke na mesto izvirnika
3 - Dodajanje pripone .vault datoteki

Na 1. stopnji sta datoteki *.xls in *.doc šifrirani.
Na 2. stopnji se ustvarijo in zaženejo datoteke win.vbs, sdwrase.js, sdwrase.cmd, ki onemogočijo senčno kopiranje v sistemu, če je sistem Vista ali novejši
Datoteke *.pdf *.rtf so šifrirane.
Na stopnji 3 so datoteke *.psd *.dwg *.cdr šifrirane.
Na stopnji 4 so datoteke *.cd *.mdb *.1cd *.dbf *.sqlite šifrirane.
Na stopnji 5 so datoteke *.jpg *.zip šifrirane.

Vsaka datoteka se prešteje, nato se število šifriranih datotek vsake vrste datoteke zapiše v vaultkey.vlt
(Očitno za splošno oceno šifriranih podatkov)

Nato se vaš zasebni ključ in zbrani podatki o količini podatkov šifrirajo z napadalčevim ključem.
Po tem se vaš ključ, potreben za dešifriranje podatkov, izbriše s 16 (!) prepisi.

Vaše datoteke so šifrirane z vašim ključem, vaš ključ pa je šifriran z napadalčevim ključem.

Nato se ustvarijo datoteke z opozorili.

Spletno mesto z virusi Datoteke trezorja so šifrirane

Spletna stran napadalcev gostuje v anonimnem omrežju TOR in je zelo tehnološko napredna za tovrstne "projekte".
Obstaja popoln osebni račun in "demo različica" za 3 datoteke, ki napadalcu omogoča, da dešifrira datoteko, ki ste jo naložili, in jo prenese s svojega strežnika. TODA, preden vam omogoči dostop do datoteke, jo bo napadalec ročno pregledal in če se mu zdi datoteka pomembna, potem ne boste prejeli dostopa do teme, o tem boste obveščeni.

Obstaja celo razdelek za pomoč.

Plačilo samo v bitcoinih.
Lahko se tudi pogovorite z avtorjem. Prepričevanje in grožnje so neuporabne. Napadalec lahko blokira vašo možnost klepeta.

Gesla brskalnika - tehnika za krajo gesel iz brskalnikov, okuženih z virusom Datoteke trezorja so šifrirane računalnik

Po ustvarjanju datotek z obvestili je "bonus"
Ustvarjena sta skripta Ultra.js in up.vbs.
Prvi prenese datoteko s prehoda tor2web preko povezave hxxp_//tj2es2lrxelpknfp.onion.city/p.vlt in jo preimenuje v ssl.exe
To je orodje za shranjevanje gesel Browser Password Dump v2.6 podjetja SecurityXploded
Shranjuje vsa gesla vašega brskalnika v cookie.vlt
Nato druga datoteka začne nalagati vaša gesla na isti strežnik (POST v skript /x.php)
Ta strežnik je anonimiziran na enak način kot strežnik za obnovitev in plačilo (nič dodatnega v glavah, vrstica Server: Anon)