|
Вирус Vault зашифровал файлы на ПК
|
|
04.11.2015, 00:27
|
|
#1
|
Регистрация: 11.09.2011
Сообщений: 448
|
Вирус Vault зашифровал файлы на ПК
|
Всем привет,
друзья, кто сталкивался с вирусом Vault? Знакомый умудрился поймать этот вирус и он зашифровал все его .doc файлы, при открытии файлов выдает ошибку..
|
|
|
04.11.2015, 02:19
|
|
#2
|
Регистрация: 11.02.2012
Сообщений: 2,241
|
Тут посмотри http://serveradmin.ru/vault-virus/
А още там шифрование невирусной утилитой с 2 ключами. Один у вас, второй у вымогателей.
Расшифровать без того чтобы им забашлять не получится.
Есть правила, которые мне вдолбили мастера, еще когда я собрал свой первый комп, - никогда, никогда, никогда не открывать прикрепленные к письму файлы, что бы там ни было важного написано! Сразу удалять! Прежде чем распаковать скачанный архив, даже от вашей жены, - войди в него без распаковки и проверь что внутри.
|
|
|
04.11.2015, 10:26
|
|
#3
|
Регистрация: 26.03.2011
Сообщений: 1,395
|
Аналогично было у знакомой бухгалтерши - пришло письмо типа вы не проплатили 20000 рублей (хотя она живет в Украине), она автоматом не вникнув в детали открыла архив, который естественно был exe, и все - все файлы бухгалтерии за 4 года накрылись. Переговоры с вымогателями сводились к одному - отдать им штуку баксов. Причем они работали грамотно - только на киви кошелек или через биткоины. Поэтому поддерживаю miraida в том что нельзя открывать архивы какие либо. Более того - не переходить по присланным спискам бездумно. Безопасность прежде всего.
Сообщение от miraida
Есть правила, которые мне вдолбили мастера, еще когда я собрал свой первый комп, - никогда, никогда, никогда не открывать прикрепленные к письму файлы, что бы там ни было важного написано! Сразу удалять!
| Это ,так называемый, old school . Золотые правила тех времен, когда вирус распространялся на дискетках а не через интернет
Bentley, я более чем уверен что это одностороннее шифрование, цель которого - получить деньги от жертвы.
|
|
|
04.11.2015, 14:50
|
|
#4
|
Регистрация: 11.02.2012
Сообщений: 2,241
|
Сообщение от Матрос
одностороннее шифрование
| В архиве зип идет документ блабла.docx.js
При попытке открыть его через ява скрипт подгружается утилита шифрования, она не вирусная и ее антивир пропускает. И еще там пару файликов с виду безопасных.
Утилита запускается, создает уникальный ключ у вас на компе, и с его помощью шифрует все файлы перезаписывая их поверх старых. По окончании этот уникальный ключ шифруется уже ключом вымогателей. После чего оба ключа затираются многократной перезаписью. Зашифрованный файлик выкидывается на рабочий стол. Создается баннер вымогатель.
Все.
Сам вирус удалить из системы не сложно. Но восстановить информацию можно только с помощью ключа который находится на стороне вымогателя.
Более подробно читайте в описании вируса - в гугеле счас полно информации.
Будьте бдительны - именно сейчас идет вторая мощная волна рассылки этого зловреда!
Если вам на почту пришло подозрительное письмо - не открывайте его, а сделайте пометку о фишинге (в гугель почте есть такая метка) - письмо отправится в спам, а копия пойдет в тех поддержку гугеля - там ее проверят и примут меры по блокировке почтовых ящиков с рассылкой.
|
|
|
04.11.2015, 18:56
|
|
#5
|
Регистрация: 26.03.2011
Сообщений: 1,395
|
miraida, думаете вымогатели будут мелочиться на восстановление данных?
|
|
|
04.11.2015, 20:42
|
|
#6
|
Регистрация: 11.02.2012
Сообщений: 2,241
|
Сообщение от Матрос
miraida, думаете вымогатели будут мелочиться на восстановление данных?
| Почитайте больше инфы по ним. Их сайт в зоне онион тора. Они ничего сами не восстанавливают. Вы им скидываете тот зашифрованный файлик, в котором инфа сколько файлов у вас было зашифровано и ваш ключ. Они его расшифровывают с помощью своего ключа и выставляют вам счет по своему усмотрению (от 100 до 9000 баксов). После оплаты отдают вам ваш ключ для расшифровки. И дают инструкцию как расшифровать.
А расшифровываете вы уже сами.
Если бы они так не делали - то весь их черный бизнес потерял бы смысл, так как первые поплатившиеся сразу бы раструбили на всю сеть, что там нае...во и ничего не делается.
Например тут подробно описано http://kp-mosk.ru/18-k-publication/1...-virus-cryptor
Смотрите под спойлерами.
|
|
|
04.11.2015, 20:50
|
|
#7
|
Регистрация: 11.02.2012
Сообщений: 2,241
|
Забыл добавить что щас прицепом там идет еще неприятный бонус, цитата:
После создания файликов с обовещениями идет "бонус"
Создаются скрипты ultra.js и up.vbs.
Первый скачивает файл с шлюза tor2web по ссылке hxxp_//tj2es2lrxelpknfp.onion.city/p.vlt и переименовывается в ssl.exe
Это дампер паролей Browser Password Dump v2.6 by SecurityXploded
Он сохраняет все ваши пароли с браузеров в файл cookie.vlt
Далее, второй файл запускает выгрузку ваших паролей на тот же сервер (POST скрипту /x.php)
Этот сервер обезличен так же, как и сервер для восстановления и оплаты (ничего лишнего в заголовках, строка Server: Anon) |
|
|
|
04.11.2015, 21:03
|
|
#8
|
Регистрация: 11.02.2012
Сообщений: 2,241
|
Тут как то был спор по поводу нужен ли антивирус. И многие товарищи хвастались, что работают без него, а при заражении просто переустанавливают систему. Так вот при ловле такого вируса переустановка не поможет, так как он в первую очередь нацелен не на систему, а именно на ваши файлы на всех дисках.
Наличие связки антивирус + фаервол, возможно, и не дало бы скрипту подгрузить неизвестный файл, а модуль Анализа поведения сообщил бы о подозрительной активности приложения или скрипта. И, возможно, это бы спасло вас от атаки.
Ну, а там где нет антивируса вовсе - исход такой атаки понятен - трындец всем файлам.
|
|
|
04.11.2015, 23:11
|
|
#9
|
Регистрация: 26.03.2011
Сообщений: 1,395
|
да, моя знакомая что-то другое схватила, точно не Vault, но до боли похожее. Во всяком случае там связь была только через почту. Сайта и в помине не было. Спасибо за развернутую информацию, есть о чем почитать
|
|
|
17.11.2015, 18:19
|
|
#10
|
Регистрация: 17.11.2015
Сообщений: 33
|
Поставьте линукс и не парьтесь о вирусах
|
|
Здесь присутствуют: 1 (пользователей: 0, гостей: 1)
|
|
|