Меню
ГлавнаяСвязь

Возможна расшифровка файлов, пострадавших от действия последней версии троянца-шифровальщика «Vault. Vault вирус – как восстановить файлы

Вирус Vault – это шифровальщик данных, который попадает на компьютер после открытия определенного письма в электронной почте. Письмо содержит в себе документ с расширением.doc и сам скрипт шифровальщика с расширением.js. В документе находится подробная инструкция и ссылка, куда перейти и сколько заплатить для того, чтобы расшифровать зараженные файлы.

Пораженным файлам, к их расширению.doc, .xls, .pdf, или.jpeg добавляется расширение.vault.

Vault вирус – что делать при обнаружении

Первое, что нужно сделать после обнаружения заражения файлов – это отключиться от сети и просканировать систему с помощью антивирусной программы, установленной на компьютере или Защитника Windows.

Сам вирус как правило располагается в папке Temp (C:/Windows/Temp) и имеет следующую структуру:

Это все удаляется, кроме последних дух файлов:

  • VAULT.KEY - это ключ шифрования.
  • CONFIRMATION.KEY - содержит точную информацию о количестве заблокированных файлов.

Vault вирус – как восстановить файлы. Способ №1

  • На зараженном файле кликаем правой кнопкой мыши и в самом низу выбираем «Свойства».
  • В появившемся окне переходим на вкладку «Предыдущие версии».
  • Здесь в окне «Версии файлов» выбираем ранее сохраненный файл и нажимаем «Восстановить».
  • Все, файл восстановлен и готов к дальнейшему использованию.
  • Или меню Пуск / Панель управления/ Система/Восстановление/ и в меню справа выбираем «Восстановление файлов».

И в появившемся окне нажимаем «Восстановить мои файлы».

У этого способа есть одно но, он работает тогда, когда на компьютере не забывают создавать «Точки восстановления системы».


Vault вирус – как восстановить файлы. Способ №2

Он заключается в том, что можно обратиться за помощью к антивирусным лабораториям. Таким как Лаборатория Касперского или Dr. Web. У них как правило есть готовые решения. У «Касперского» это RectorDecryptor, приложение, которое само ищет и исправляет пораженные файлы.

Dr. Web предлагает свой дешифровщик Dr web VAULT.

  • Скачав его и запустив, в окне поиска нужно подставить зашифрованный файл с расширением.vault.
  • И после некоторого поиска получаем расшифрованный файл.

Но к сожалению, этот способ тоже не является универсальным. Так как разработчики вируса тоже не стоят на месте и изменяют ключ, и данные решения от Касперского и Dr. WEB могут просто не подойти.


Vault вирус – как восстановить файлы. Способ №3

Этот способ подойдет для продвинутых пользователей. Суть его заключается в том, чтобы в самом скрипте шифровальщика найти ключ для расшифровки. Имя файла ключа secring.gpg.

Загвоздка этого метода заключается в том, что может в системе и не быть этого файла, то есть, он может быть удален самим шифровальщиком.


Итак, главное, это не вестись на провокацию и не паниковать, и тем более не торопиться платить деньги. Нужно постараться использовать все имеющиеся способы восстановления файлов.

На сегодняшний день тема Vault-вирусов достаточно актуальна. Очень многие пользователи часто интересуются, а что же делать в случае заражения персонального компьютера, и что можно предпринять, чтобы удалить вредоносную программу раз и навсегда.

Vault-вирус – это некий шифровальщик данных. Он проникает в систему и меняет расширения данных, которые находятся на компьютере. Намного серьезнее проблема становится в тот момент, когда вирус поражает системные файлы.

Когда компьютер заражается Vault-вирусом, в первую очередь важно определить, откуда он появился. Шифровальщик данных может выглядеть по-разному. У одних пользователей он выглядит как программа архиватор, у других выступает в качестве расширения для браузера. В любой из этих случаев выход лишь один – это удаление, поэтому рассмотрим подробнее vault вирус и как удалить его.

Как удалить вирус Vault?

Чтобы избавиться от вируса, необходимо просканировать компьютер на наличие вирусов и шпионов. Здесь на помощь придет антивирусная программа. Самым оптимальным вариантом будет Nod32 или Dr.Web. Можно применять и «Аваст». В первую очередь у антивирусной программы необходимо обновить вирусную базу данных. После этого только приступать к глубокой проверке. Процедура обычно занимает достаточное количество времени.

После проверки системы антивирусной программой необходимо проанализировать результаты. В перечне удаленных вредоносных программ должен присутствовать вирус шифровальщик vault. Все вредоносные программы необходимо вылечить либо, в случае если это действие будет недоступно, удалить их. После этого необходимо преступить к следующему этапу.

Vault-вирусы часто любят создавать разный бесполезный контент. при этом зашифровывая данные. Этот контент, а также программы, которые долгое время не использовались, необходимо удалить с компьютера. Удаление этих вещей значительно упрощает решение проблемы.

Для этого необходимо зайти в «Панель управления» и найти «Установка и удаление программ». После загрузки списка, необходимо удалить все незнакомые программы. Важно также удалить и приложения, которыми долгое время уже никто не пользовался. Следующим шагом будет очистка реестра.

Многие пользователи, которые задумываются о vault вирусе и как удалить его, практически не уделяют внимания реестру. Это напрасно, так как в реестре регистрируются все программы, в том числе и вредоносные. Для очистки реестра от вредоносной программы необходимо выполнить следующие действия.

Нажав на клавиатуре Windows+R, появится окно, в котором нужно запустить команду regedit. Откроется реестр. После попадания в редактор реестра в левой части можно увидеть много различных папок, которые имеют длинные названия. Их надо все обойти по возможности удалить все подозрительные ветки. Главной целью является «Правка» этих файлов. Но хочу предостеречь вас, не надо удалять все файлы с упоминанием слова VAULT, некоторые из них нужны для корректной работы системы.

В процессе избавления от вирусов важно прибегать к помощи дополнительных утилит. Они способны искать вирусы и защищать компьютер путем обезвреживания вредоносных программ. Хорошим примером выступает программа Ccleaner. Программа способна отлично чистить компьютер, а также освобождать место на системном диске.

Для избавления от самого вируса шифровальщика vault можно применять программу SpyHunter, способную обнаруживать шпионов, вирусы и различные вредоносные файлы.

Как восстановить файлы после Vault-вируса?

Чтобы восстановить утраченный контент, можно воспользоваться сохраненными копиями и просто перезаписать данные на устройство. Однако бывают ситуации, когда сохраненных копий просто не существует после того, как в компьютере «похозяйничал» вирус Vault. Как расшифровать файлы, если нет копий. В этом случае придется воспользоваться антивирусными программами. Для этого необходимо отправить зашифрованные данные их службам, которые, в свою очередь, возвращают уже расшифрованные данные. Весьма успешно с этой задачей умеет справляться Dr.Web.

Недавно пользователи столкнулись с новой угрозой – вирусом, который шифрует файлы, заменяя стандартные расширения. В результате документы, аудио и видеозаписи, изображения становятся недоступными. За ключ для расшифровки злоумышленники требуют серьезные деньги.

Шифровальщики настолько опасны, что от них не могут спастись даже крупные организации: например, в феврале 2016 года Голливудскому пресвитерианскому медицинскому центру пришлось заплатить злоумышленникам 17000$ за ключ для дешифровки. Доподлинно неизвестно, какой шифровальщик поработал в Голливуде, но пользователи Рунета обычно встречаются с вирусом Vault. Поэтому давайте посмотрим, как восстановить файлы после вируса Vault, если это возможно.


Как восстановить файлы после вируса Vault

Обнаружение вируса

Заражение сложно не заметить: файлы автоматически начнут менять расширение на.vault и перестанут открываться, а на экране появится сообщение типа «Данные заблокированы. Для их восстановления необходимо получить уникальный ключ». Ниже обычно указан адрес сайта и инструкция по оплате и получению кода дешифровки.

Если вы увидели такое сообщение, то необходимо немедленно выключить компьютер и вытащить все съемные носители. Vault шифрует информацию постепенно, поэтому у вас есть время, чтобы спасти некоторые файлы.

Но как вирус попал на компьютер? Вероятнее всего, по электронной почте. Пользователям приходит письмо с важной темой (кредитная задолженность, повестка в суд, подтверждение оплаты и т.д.), они послание открывают, после чего на компьютер скачивается программа для шифрования и баннер Ваулт с инструкцией по оплате кода дешифровки.

Для шифровки используется бесплатная и безобидная программа GPG, применяющая алгоритм RSA-1024. Формально это не вирус, поэтому не срабатывает. Но ключ, необходимый для расшифровки информации, остается у хакера, а взломать код не получится – на это уйдет несколько лет перебора значений. Поэтому не открывайте письма от неизвестных отправителей!

Удаление шифровальщика

Удалить Ваулт достаточно просто: он не глубоко проникает в систему и портит жизнь только тем, что закрывает доступ к информации. Для чистки системы используйте лечащую утилиту Dr.Web CureIt! или Kaspersky Virus Removal Tool. Запускать эти утилиты следует в безопасном режиме Windows.

Порядок простой:


Дополнительно следует удалить компоненты Ваулт, которые хранятся в скрытой папке по адресу C:\Users\Пользователь\AppData\Loca\Temp. Структура вредоносного кода выглядит следующим образом:

  • 3c21b8d9.cmd.
  • fabac41c.js.
  • 04fba9ba_VAULT.KEY.
  • VAULT.txt.
  • Sdc0.bat.
  • CONFIRMATION.KEY.
  • VAULT.KEY.

Последние два компонента вам пригодятся, если вы решите заплатить злоумышленникам за расшифровку. В них хранится открытая часть ключа (у хакеров закрытая часть, без которой код не снять) и информация о количестве зашифрованных данных.

Есть и другой вариант – записать на флешку Kaspersky Rescue Disk и загрузить с неё компьютер. Вам понадобится работающий компьютер, флешка, утилита для записи и образ Kaspersky Rescue Disk 10.

Расшифровка файлов

С вредоносным ПО вы быстро справитесь, но дальше возникнет серьезная проблема – не существует дешифратора, который быстро откроет доступ к информации, зашифрованной по алгоритму RSA-1024. Позиция крупных разработчиков антивирусного ПО сводится к тому, что у них нет технической возможности взломать код. Поэтому вариантов остается немного:

  • Если утеряна информация, которая не представляет большой ценности, то её проще удалить с компьютера. И запомнить, что не нужно открывать странные письма от неизвестных отправителей.
  • Если зашифрованные данные представляют большую ценность, придется заплатить отправителям вирусного ПО. Это крайний вариант, потому что нет уверенности, что вас не обманут. К тому же вы стимулируете злоумышленников продолжать рассылать зараженные письма, ведь это приносит им деньги.

Из доступных способов расшифровки можно попробовать несколько вариантов, но нет гарантии, что они дадут положительный результат:

  1. Обратитесь на форум технической поддержки крупных разработчиков антивирусных программ. Лаборатория Касперского, Dr.Web, ESET. База данных шифровальщиков постоянно расширяется. Опишите подробно проблему, возможно, у них найдутся инструменты для её решения.
  2. Используйте теневые копии файлов (актуально, если была включена защита системы).

Откройте свойства зашифрованного файла и перейдите на вкладку «Предыдущие версии».

Если есть прежние, незашифрованные редакции, то вы можете их открыть или восстановить. В таком случае данные с расширением.vault нужно удалить с компьютера. К сожалению, других работающих способов нет. Поэтому лучше избегать встречи с шифровальщиком: не открывать странные письма, не скачивать подозрительные программы, не переходить по неизвестным ссылкам.

Прежде чем узнать о том, как восстановить файлы после вируса Vault, нужно немного узнать о самом вредоносном коде. Как же действует механизм этого «злого монстра»? Чем же он может так насолить пользователю? Почему нельзя продолжать работу с повреждёнными файлами ? Давайте рассмотрим эту актуальную проблему подробнее.

Вирус Vault работает по шифровальной системе: он берёт файл, создаёт его копию, шифрует его, подменяя имена, и представляет вам уже заблокированный документ. Процесс шифрования зависит от того, насколько мощный у вас компьютер. Если скорость обмена данных с диском высокая, то и быстрота заражения ваших личных файлов будет велика. Поэтому при уже запущенной атаке рекомендуется сразу отключать компьютер полностью, дабы сократить количество информации, которая будет зашифрована.

Где можно заразить компьютер Ваултом и как от него защититься?

Как и большинство вредоносных кодов, этот вирус можно заполучить в интернете. На почту приходят письма разного характера (чаще всего якобы от банковских служб, кредитных отделов, каких-либо государственных учреждений), которое обязательно вас заинтересует и заставит нажать на ту самую ссылку, которая и запустит загрузку вируса Vault на ваш компьютер или ноутбук. После завершения шифровального процесса на вашем устройстве появится текстовый документ. В нём сообщается о том, что ваши документы и данные закодированы и для их разблокировки вам нужно получить специальный ключ.

Антивирусы практически не реагируют на этот код, так как для его работы использует популярный алгоритм шифрования RSA-1024, который по своей природе не является вирусом. В связи с этим возникает множество проблем: как тогда защититься от вредоносного кода, если даже антивирусы бессильны? Конечно, очень важна бдительность при работе в интернете. Хакеры не сидят сложа руки, а пользователи интернета являются очень лёгкой добычей. А всё из-за невнимательности: пользователи нажимают на всё подряд, особенно это касается рекламных баннеров, под которыми и скрываются «тёмные силы». Всплывающая реклама не только мешает работе в сети, но и может стать причиной ваших будущих технических проблем.

Как обезопасить себя от вируса Ваулт?

  1. Если ваш компьютер уже им заражён, вы знаете что именно делать не нужно. Но если вы до сих пор не поняли, почему ваши файлы зашифрованы, читайте дальше.
  2. При получении любого письма на электронную почту всегда тщательно проверяйте следующие данные: от кого пришло (часто злоумышленники пишут похожее название электронного адреса с каким-нибудь знакомым брендом, но с небольшими изменениями, чтобы пользователи не заметили), тема письма, его содержание (любое сомнительное письмо сразу должно удаляться из вашего почтового ящика) и оформление письма.
  3. Для начала подумайте: вы подписывались на получение почтовой рассылки от этой компании? Если нет, то тут однозначно можно отправлять в чёрный список. Если да, то всё же ещё раз внимательно посмотрите, кто отправитель письма. Скопируйте этот адрес и найдите его в поисковой системе. Возможно, кто-то сталкивался с подобным и на форумах написал, что же это за отправитель. Можете скопировать и таким же способом найти текст самого письма. Это очень полезная практика, которая позволит вам «выиграть войну» ещё до её начала.
  4. Нигде не пишите свой номер или другие конфиденциальные данные на сайтах, интернет-ресурсах.
  5. Никогда не открывайте ссылки, если не уверены хотя бы в одном пункте.

Этих рекомендаций должно быть достаточно. Как вы могли заметить, везде здесь основным ключевым моментом является бдительность самого пользователя. Малейшая неосторожность может стать переломной в жизни ваших файлов, документов, фотографий и другой информации.

Как удалить вирус vault и вылечить компьютер

Теперь перейдём к тому, как можно вернуть к жизни зашифрованные файлы. Весь процесс восстановления будет разбит на три части:

  1. Удаление троянских файлов.
  2. Лечение повреждённых секторов.
  3. Возвращение потерянных файлов.

Давайте рассмотрим каждый этап отдельно.

Удаление троянских файлов

Вредоносные коды хранятся в системной папке Temp (после работы вируса Vault). Их названия следующие:

  1. 3c21b8d9.cmd
  2. 04fba9ba_VAULT.KEY
  3. CONFIRMATION.KEY
  4. fabac41c.js
  5. Sdc0.bat
  6. VAULT.KEY
  7. VAULT.txt

Третий, шестой и седьмой файлы нужно сохранить на всякий случай, а вот остальные необходимо удалить. VAULT.KEY обязательно пригодится для расшифровки , ибо без него вы не сможете восстановить потерянную информацию, ведь это есть не что иное, как ключ шифрования. А файл CONFIRMATION.KEY необходим для получения ключа разблокировки. Текстовый файл Vault (седьмой номер) содержит информацию о том, как можно получить ключ к спасению у злоумышленников.

Небольшое лечение

Возможно, это и не принесёт каких-либо плодов, но всё равно пройдитесь Антивирусом по компьютеру. Проведите процедуру сканирования и удаления вредоносных файлов, но проследите, чтобы предыдущие документы не были удалены (если вы хотите восстановить информацию на компьютере).

Восстановление файлов

Для начала мы попробуем бесплатные способы, без обращения к хакерам.

  1. Восстановление предыдущей версии файла. В Windows 7 есть такая полезная штука, как откат к предыдущей версии того или иного документа (будь то фотография, видео или музыка и так далее). Нажмите правой кнопкой мыши на файл, затем на «Свойства» и последнюю вкладку «Предыдущие версии». Если система обнаружит следы старых версий документа, то считайте, что вам очень повезло. В противном случае этот метод вам не поможет.

  1. Посмотрите, нет ли резервной копии документации на дисках или других источниках. Если вы не настраивали эту функцию, скорее всего, её нет. Резервное копирование производится либо на другой локальный диск компьютера, либо на внешний носитель информации.
  2. Проверьте корзину на всех устройствах (онлайн-сервисы хранения информации, жёсткие диски, компьютеры, ноутбуки). Есть маленькая вероятность, что некоторые данные лежат там.
  3. Если ни один из способов не помог, остаётся лишь заплатить деньги мошенникам. Это единственный вариант, если потерянная информация вам действительно нужна. Так вы сможете узнать, как расшифровать файлы, повреждённые вирусом Vault. Пользователи делятся в сети отзывами о том, что этот способ реально помогает и после ввода ключа данные восстанавливаются . Наверное, если бы хакеры просто вымогали деньги, то никто бы не отправлял их после пары отрицательных отзывов.

Подведём итоги

Сегодня вы узнали о том, что такое вирус Vault и как восстановить файлы после его работы. Конечно, способы не самые приятные (особенно четвёртый), но за свою невнимательность надо платить. Надеемся, что в следующий раз вы будете внимательнее и не попадёте в такую неприятную ситуацию. Обязательно делитесь результатами борьбы с вирусом в комментариях.

Шифрование данных - это новый способ с помощью которого мошенники пытаются получить денежные средства с обманутых людей. По сети, уже очень давно ходит такие вирусы, которые шифруют все документы, картинки и прочее файлы, устанавливая им различные не понятные , после чего появляется сообщение о том, что для расшифровки нужно отправить 5000 рублей, и только тогда вы сможете получить обратно свои файлы.

Как бы это не было грустно, но многие ведутся на эти обманны и попросту из-за безысходности, да бы сохранить свои фотки или вордовские документы, платят этим мошенникам деньги, чем и мотивируют их на продолжение своей беззаконной деятельности.

Так вот, сейчас расскажу вам, что такое Vault вирус и как можно восстановить файлы, после заражения . Именно этот вирус последнее время начал бродить по сети. Распространялся он по почте (E-Mail ), в виде письма от бухгалтерии, типа: “Очень важные документы за ноябрь, обязательно посмотрите”. И как только пользователь открывал архив запускался процесс шифрования файлов в формат Vault. После этого, как правило, уже не один нужный файл больше не открывался корректно.

Видимо это была какая-то очередная массовая рассылка, потому что данную проблему я обнаружил у двух моих знакомых, как оказалось позже, что и на работе вирусом Vault заразилось ещё одиннадцать компьютеров.

Как я пробовал побороть вирус Vault и восстановить поврежденные файлы

Итак, как я думаю, вы уже поняли, что мои друзья обратились ко мне, да бы я помог им вернуть эти файлы, так как на компьютере лежали фотографии, рабочие документы, и много другой полезной информации. Когда я посмотрел на оба компьютера, ситуация была абсолютно одинаковой, одно и тоже письмо от бухгалтерии, и документы все зашифрованы в формат vault.

Как и все, сначала я конечно запустил , сканирование прошло и нашло несколько файлов, которые по окончанию были успешно удалены. Таким образом, возможно, я удалили вирус Vault, и вероятней всего при создание новых файлов они не будут изменены, но зашифрованные файлы в Vault остались в том же формате, а это не то что нам нужно.

В интернете рекомендовали найти ключи в определенных папках. Но, как только я туда полез, там ничего обнаружено не было, причем отрицательный результат касался обоих компьютеров. Потом, ещё рекомендовали восстановить данные, которые были повреждены вирусом Vault, с помощью теневых файлов, но с этим к сожалению как-то тоже не сложилось.

Дальше, я попробовал воспользоваться различными дешифраторами, но они никак не могли справится со свой задачей и не расшифровали файлы с расширением Vault. Причиной этому скорей всего было то, что данные дешифраторы были созданы ещё до появления такого расширения, поэтому скорей всего они не могли распознать новый формат вируса.

Потом, мной было принято следующее решение, я написал в службу поддержки Dr. Web с просьбой помочь удалить вирус Vault и восстановить файлы . Пообщавшись некоторое время в конце концов, я все таки получил ответ на вопрос, как расшифровать файлы в Vault, в виде ещё одного дешифратора.

Запустив его, моей радости не было придела, данный утилита вернула все файлы на свое место причём на обоих компьютера. Да что там я, видели бы вы лица моих знакомых, когда я вернул им их компьютеры.

Лечение вируса Vault и восстановление файлов

Сначала качаем дешифратор вот по и сохраняем куда душа пожелает.

Теперь, запустив его жмем на кнопку «Сontinue ».

После этого появится окно поиска, в котором нужно подставить хотя бы один зашифрованный файл в формате vault .

Пройдет некоторое время поиска подобных данных и их дешифровка обратно в нормальный вид.

Закончив свою работу, вы сможете рядом с зашифрованными увидеть такие же файлы, только в нормальном рабочем состояние.

Как бы на этом всё, вот таким вот образом было найдено решение на вопрос, как лечить вирус Vault и потом восстановить зашифрованные файлы. Отмечу, что должное нужно отдать Dr. Web и сказать им за это огромное спасибо.