Случилось страшное, был пойман вирус-шифровальщик. Ну как пойман, по глупости открыт файл, с расширением *.js. Распространяется он элементарно, по почте, причем зачастую взламывают реально существующий, принадлежащий какой-то конкретной фирме ящик. В теле письма было указано, что якобы имеется какая-то задолженность и ее необходимо погасить и во вложении счет. А там, как вы понимаете, архив со зловредом.
Итак, вирус скачан и запущен, скорее всего вы не заметите его манипуляций до тех пор, пока не выдаст сообщение подобного содержания:
Ваши рабочие документы и базы данных были заблокированы и помечены форматом .vаult
Для их восстановления необходимо получить уникальный ключ
ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:
КРАТКО
1. Перейдите на наш веб-ресурс
2. Гарантированно получите Ваш ключ
3. Восстановите файлы в прежний видДЕТАЛЬНО
Шаг 1:
Скачайте Tor браузер с официального сайта: http://torproject.org
Шаг 2:
Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion
Шаг 3:
Найдите Ваш уникальный VAULT.KEY на компьютере — это Ваш ключ к личной клиент-панели. Не удалите его
Авторизируйтесь на сайте используя ключ VAULT.KEY
Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой
STEP 4:
После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё ПОДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке TEMP
c) Ваша стоимость восстановления не окончательная, пишите в чатДата блокировки: 21.08.2015 (10:49)
Больше статей и видео в нашем Дзен-канале
Если увидели данное сообщение, поздравляю, все имеющиеся на компьютере файлы, а так же файлы на сетевых дисках, к которым у вас есть доступ, зашифрованы. В моем случае шифрование произошло ключом RSA-1024, это типично для VAULT. Создание инструмента для дешифровки технически невозможно.
Есть небольшой шанс, что некоторые файлы всего лишь переименовались, но не зашифровались, проверить это можно так: при шифровании, оригинальный файл заменяется шифрованным и , соответственно, меняется дата создания/изменения, а вот переименованный будет той же даты, что и изначально. Это может спасти часть данных.
Теперь стоит хорошо подумать, стоит ли восстанавливать уничтоженное. Сумма, которую просят за дешифровку зависит от количества затронутых файлов. Соответственно чем больше файлов, тем больше денег нужно передать. В моем случае, за ~35 тысяч файлов, запросили 560$. Учитывая курс на лето 2015, это совсем не мало.
Если данные не очень важны, делайте следующее:
- отключите комп-р от сети, а лучше выключите его вовсе
- загрузитесь в безопасном режиме и просканируйте машину Dr.Web CureIt
- проверьте автозагрузку и службы (команда «msconfig«)
- обязательно вычистите папку «Temp«
- ну и само собой удалите вредоносное письмо из почты
Теперь рассмотрим вариант, при котором, вам нужно во что бы то ни стало восстановить ваши данные. Вариантов не так много, первый я описал выше, смотрите по дате создания файла и меняете расширение.
Второй способ: можете воспользоваться стандартным виндовым инструментом защиты файлов и папок. ПКМ на файле, «Свойства» и если есть вкладка «Предыдущие версии«, вам повезло 🙂
Третий способ, не уверен, что действенный — найти людей, которые занимаются расшифровкой. Запросят они в разы меньше денег, чем злоумышленники, но есть огромный шанс, что это окажутся шарлатаны и вы потеряете деньги и не восстановите документы.
Ответ Службы Технической Поддержки ЗАО «Лаборатория Касперского»:
Здравствуйте!В последнее время мы часто получаем запросы, связанные с действиями программ-шифровальщиков.
Некоторые вредоносные программы-шифровальщики используют технологии шифрования с помощью открытого ключа. Сама по себе эта технология является надежным способом защищенного обмена важными сведениями, однако злоумышленники используют её во вред. Они создают программы, которые, попав в компьютер, шифруют данные таким образом, что расшифровать их можно только имея специальный «приватный» ключ шифрования. Его злоумышленники, как правило, оставляют у себя и требуют деньги в обмен на ключ. К сожалению, в данной ситуации информацию практически невозможно расшифровать за приемлемое время, не имея «приватного» ключа шифрования.Лаборатория Касперского ведёт постоянную работу по борьбе с подобными программами. В частности, иногда, принцип шифрования, используемый злоумышленниками, удается выяснить благодаря изучению кода вредоносной программы и создать утилиту для дешифровки данных. Тем не менее, существуют образцы вредоносного ПО, анализ которых не дает подобной ценной информации.Для расшифровки файлов воспользуйтесь нашими утилитами (Rector Decryptor, RakhniDecryptor, RannohDecryptor, ScatterDecryptor или Xorist Decryptor). Каждая утилита содержит краткое описание, небольшую информацию о признаках заражения и инструкцию по работе. Пожалуйста, попробуйте выполнить расшифровку, выбрав соответствующую по описанию утилиту. Если расшифровать файлы не удалось, необходимо дождаться очередного обновления утилиты. Дата обновления для каждой утилиты указана в явном виде.
К сожалению, это всё, что можно сделать в данном случае.Ответ Drweb:
Здравствуйте.К сожалению, в данном случае расшифровка не в наших силах.
Собственно шифрование файлов выполнено общедоступным легитимным криптографическим ПО GPG (GnuPG) Криптосхема на базе RSA-1024. Подбор ключа расшифровки, к сожалению, невозможен.
Основная рекомендация:
обратитесь с заявлением в территориальное управление «К» МВД РФ по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. Образцы заявлений, а также ссылка на госпортал («Порядок приема сообщений о происшествии в органах внутренних дел РФ») есть на нашем сайте.
Поскольку это RSA-1024, без содействия со стороны автора/хозяина троянца — вольного или невольного (арест соотв. людей правоохранительными органами) — расшифровка не представляется практически возможной.
Если вы проследуете по ссылке в «письме», через браузер Tor, то увидите примерно следующее:
Заморочились ребята, не правда ли?
Кликаете «Выбрать ключ«, находите VAULT.KEY и нажимаете «Авторизация«. Теперь вы в «личном кабинете», здесь указана сумма, которую вы должны им перечислить за дешифровку, а так же кол-во шифрованных файлов.
В общем решение, перечислять им деньги или нет, только за вами. Были случаи, когда после перевода суммы, на счета вирусописателей, они присылали дешифратор. Но вполне вероятен вариант, что вы потеряете деньги и не получите ключ расшифровки.
Вывод здесь можно сделать только один, если не хотите расстаться с деньгами и важными данными, делайте резервные копии. Причем самым оптимальным вариантом будет копия на внешний жесткий диск или в облако (к примеру ЯндексДиск или GoogleDrive).
