Вирус Vault зашифровал файлы на ПК Опции темы
Старый 04.11.2015, 00:27
  #1
Bentley
 
Аватар для Bentley
Регистрация: 11.09.2011
Сообщений: 448

Вирус Vault зашифровал файлы на ПК
Всем привет,
друзья, кто сталкивался с вирусом Vault? Знакомый умудрился поймать этот вирус и он зашифровал все его .doc файлы, при открытии файлов выдает ошибку..
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Старый 04.11.2015, 02:19
  #2
miraida
 
Аватар для miraida
Регистрация: 11.02.2012
Сообщений: 2,241

Тут посмотри http://serveradmin.ru/vault-virus/

А още там шифрование невирусной утилитой с 2 ключами. Один у вас, второй у вымогателей.
Расшифровать без того чтобы им забашлять не получится.

Есть правила, которые мне вдолбили мастера, еще когда я собрал свой первый комп, - никогда, никогда, никогда не открывать прикрепленные к письму файлы, что бы там ни было важного написано! Сразу удалять! Прежде чем распаковать скачанный архив, даже от вашей жены, - войди в него без распаковки и проверь что внутри.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Старый 04.11.2015, 10:26
  #3
Матрос
 
Аватар для Матрос
Регистрация: 26.03.2011
Сообщений: 1,395

Аналогично было у знакомой бухгалтерши - пришло письмо типа вы не проплатили 20000 рублей (хотя она живет в Украине), она автоматом не вникнув в детали открыла архив, который естественно был exe, и все - все файлы бухгалтерии за 4 года накрылись. Переговоры с вымогателями сводились к одному - отдать им штуку баксов. Причем они работали грамотно - только на киви кошелек или через биткоины. Поэтому поддерживаю miraida в том что нельзя открывать архивы какие либо. Более того - не переходить по присланным спискам бездумно. Безопасность прежде всего.

Сообщение от miraida Посмотреть сообщение
Есть правила, которые мне вдолбили мастера, еще когда я собрал свой первый комп, - никогда, никогда, никогда не открывать прикрепленные к письму файлы, что бы там ни было важного написано! Сразу удалять!
Это ,так называемый, old school . Золотые правила тех времен, когда вирус распространялся на дискетках а не через интернет


Bentley, я более чем уверен что это одностороннее шифрование, цель которого - получить деньги от жертвы.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Старый 04.11.2015, 14:50
  #4
miraida
 
Аватар для miraida
Регистрация: 11.02.2012
Сообщений: 2,241

Сообщение от Матрос Посмотреть сообщение
одностороннее шифрование
В архиве зип идет документ блабла.docx.js
При попытке открыть его через ява скрипт подгружается утилита шифрования, она не вирусная и ее антивир пропускает. И еще там пару файликов с виду безопасных.

Утилита запускается, создает уникальный ключ у вас на компе, и с его помощью шифрует все файлы перезаписывая их поверх старых. По окончании этот уникальный ключ шифруется уже ключом вымогателей. После чего оба ключа затираются многократной перезаписью. Зашифрованный файлик выкидывается на рабочий стол. Создается баннер вымогатель.

Все.

Сам вирус удалить из системы не сложно. Но восстановить информацию можно только с помощью ключа который находится на стороне вымогателя.
Более подробно читайте в описании вируса - в гугеле счас полно информации.
Будьте бдительны - именно сейчас идет вторая мощная волна рассылки этого зловреда!



Если вам на почту пришло подозрительное письмо - не открывайте его, а сделайте пометку о фишинге (в гугель почте есть такая метка) - письмо отправится в спам, а копия пойдет в тех поддержку гугеля - там ее проверят и примут меры по блокировке почтовых ящиков с рассылкой.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Старый 04.11.2015, 18:56
  #5
Матрос
 
Аватар для Матрос
Регистрация: 26.03.2011
Сообщений: 1,395

miraida, думаете вымогатели будут мелочиться на восстановление данных?
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Старый 04.11.2015, 20:42
  #6
miraida
 
Аватар для miraida
Регистрация: 11.02.2012
Сообщений: 2,241

Сообщение от Матрос Посмотреть сообщение
miraida, думаете вымогатели будут мелочиться на восстановление данных?
Почитайте больше инфы по ним. Их сайт в зоне онион тора. Они ничего сами не восстанавливают. Вы им скидываете тот зашифрованный файлик, в котором инфа сколько файлов у вас было зашифровано и ваш ключ. Они его расшифровывают с помощью своего ключа и выставляют вам счет по своему усмотрению (от 100 до 9000 баксов). После оплаты отдают вам ваш ключ для расшифровки. И дают инструкцию как расшифровать.
А расшифровываете вы уже сами.

Если бы они так не делали - то весь их черный бизнес потерял бы смысл, так как первые поплатившиеся сразу бы раструбили на всю сеть, что там нае...во и ничего не делается.



Например тут подробно описано http://kp-mosk.ru/18-k-publication/1...-virus-cryptor
Смотрите под спойлерами.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Старый 04.11.2015, 20:50
  #7
miraida
 
Аватар для miraida
Регистрация: 11.02.2012
Сообщений: 2,241

Забыл добавить что щас прицепом там идет еще неприятный бонус, цитата:

После создания файликов с обовещениями идет "бонус"
Создаются скрипты ultra.js и up.vbs.
Первый скачивает файл с шлюза tor2web по ссылке hxxp_//tj2es2lrxelpknfp.onion.city/p.vlt и переименовывается в ssl.exe
Это дампер паролей Browser Password Dump v2.6 by SecurityXploded
Он сохраняет все ваши пароли с браузеров в файл cookie.vlt
Далее, второй файл запускает выгрузку ваших паролей на тот же сервер (POST скрипту /x.php)
Этот сервер обезличен так же, как и сервер для восстановления и оплаты (ничего лишнего в заголовках, строка Server: Anon)
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Старый 04.11.2015, 21:03
  #8
miraida
 
Аватар для miraida
Регистрация: 11.02.2012
Сообщений: 2,241

Тут как то был спор по поводу нужен ли антивирус. И многие товарищи хвастались, что работают без него, а при заражении просто переустанавливают систему. Так вот при ловле такого вируса переустановка не поможет, так как он в первую очередь нацелен не на систему, а именно на ваши файлы на всех дисках.

Наличие связки антивирус + фаервол, возможно, и не дало бы скрипту подгрузить неизвестный файл, а модуль Анализа поведения сообщил бы о подозрительной активности приложения или скрипта. И, возможно, это бы спасло вас от атаки.

Ну, а там где нет антивируса вовсе - исход такой атаки понятен - трындец всем файлам.

Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Старый 04.11.2015, 23:11
  #9
Матрос
 
Аватар для Матрос
Регистрация: 26.03.2011
Сообщений: 1,395

да, моя знакомая что-то другое схватила, точно не Vault, но до боли похожее. Во всяком случае там связь была только через почту. Сайта и в помине не было. Спасибо за развернутую информацию, есть о чем почитать
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Старый 17.11.2015, 18:19
  #10
FileXmaster
 
Аватар для FileXmaster
Регистрация: 17.11.2015
Сообщений: 33

Поставьте линукс и не парьтесь о вирусах
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  

 
 
 

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Как переименование файлы внутри папки? OSMOS Вопросы 23 25.12.2014 21:21
Когда ставить premium only на все файлы? jacksons Файлообмен 4 17.10.2014 23:48
Вирус WordPress 2012 Xenolith Оффтоп 0 15.04.2012 15:04
Файлы очень часто абузят Borec1603 Файлообмен 11 18.01.2012 23:27

Метки
vault, ваулт, вирус


Здесь присутствуют: 1 (пользователей: 0, гостей: 1)
 
Опции темы

Быстрый переход


Текущее время: 11:50. Часовой пояс GMT +3.