Атака вируса vault новости
vault шифровальщик. Вымогательство денег
Шифровальщик VAULT впервые появился в России в феврале 2015г ., приобретя репутацию одного из наиболее опасных и неизлечимых вирусов. В ноябре началась вторая волна заражений, носящая более массовый характер. Третья волна приходится на середину января 2016г. и превосходит предыдущие по количеству зараженных устройств.
что собой представляет вирус VAULT
какие типы документов шифрует инкодер
как защитить компьютер от атак шифровальщика
как удалить VAULT с компьютера
как восстановить файлы VAULT
дешифратор VAULT в компьютерных сервисах
Вирус VAULT является одной из разновидностей трояна-инкодера.
Проникая на компьютер при помощи действий пользователя, программа шифрует определенный тип данных десятками алгоритмов с уникальной закономерностью.
Исходные данные не удаляются, а замещаются поврежденными, что делает возможность их восстановления практически невозможной.
Ключ, дающий возможность расшифровки информации, автоматически удаляется из системы по окончании шифрования.
Целью злоумышленников является вымогательство денег в обмен на расшифровку данных. Вероятность расшифровки файлов даже в этом случае не превышает 50%.
Пример заражения компьютера вирусом VAULT: на рабочий e-mail приходит запрос первичной документации от контрагента, либо уведомление о необходимости установить пакет обновлений от КонсультантПлюс. К письму прилагается файл с пояснительной информацией. Как только исполняемый и вспомогательный файлы запущены, начинается процесс шифрования данных.
Злоумышленников интересует коммерческая информация, а также фото-, аудио- и видеоматериалы. Таким образом, под ударом оказываются файлы следующих расширений: .rar, .zip, .jpg, .psd, .doc, .xls, .ppt, .pdf, .mp3, .ogg, .avi, .mpeg, .html, .txt, базы данных 1С и т.д.
При заражении компьютера в каждой папке создается текстовый документ с контактами мошенников. Стоимость расшифровки данных варьируется от 10 $ до 50 000 $. Оценка стоимости производится мошенниками после выхода пользователя на связь. Величина выкупа зависит от объема зашифрованной информации. При этом нет никаких гарантий того, что данные будут восстановлены хотя бы частично.
Рекомендации разработчика антивирусного ПО
В большинстве случаев, заражение происходит при отсутствии антивируса на компьютере, либо использовании бесплатной версии ПО. Наименее надежным, по нашему мнению, является антивирус Avast.
Тем не менее, нередко жертвами становятся и обладатели лицензированного антивирусного пакета программ, в том числе корпоративных версий.
Специалисты в сфере IT безопасности компаний ESET и Dr.Web выработали ряд универсальных рекомендаций , способствующих защите компьютера или ноутбука от вируса VAULT и аналогичных троянов-шифровальщиков:
своевременно устанавливайте критические обновления операционной системы
выбирайте антивирусные программы со встроенным фаерволом
запретите прием и передачу исполняемых файлов (.exe) на почтовом сервере
запретите выполнение макросов в Microsoft Office, либо аналогичном ПО
регулярно осуществляйте резервное копирование данных
дублируйте важную информацию на внешний носитель
На данный момент заражение вирусом VAULT и шифрование данных является однократным и не влечет за собой инфицирование системных файлов. Таким образом, для удаления вируса из системы достаточно сканирования утилитой CureIt от Dr.Web. Однако следует помнить , что попытки вылечить или удалить зараженные файлы, а также переустановить Windows, сведут возможность восстановить зашифрованные данные к нулю.
То есть, в удалении вируса нет ничего сложного, если вы готовы навсегда расстаться с зашифрованной информацией, либо у вас имеются резервные копии на внешнем носителе.
Как только вы обнаружили заражение Увидели измененные иконки файлов и новый тип расширений, например, .doc.vault , немедленно выключите компьютер или ноутбук. Чем дольше он будет работать, тем большее число файлов вы потеряете.
Повторим: сканирование диска антивирусом, лечение файлов, переустановка системы и прочие стандартные средства лишь снизят вероятность расшифровки данных.
Ни один из разработчиков антивирусного ПО до сих пор не смог создать утилиту для расшифровки информации, подвергнутой действию VAULT.
Точки восстановления системы вирусом уничтожаются. Существует шанс восстановить Windows из теневых копий при помощи утилиты Shadow Editor при работе с Windows Vista /7 /8 /10. Но в большинстве случаев, теневые копии также исчезают.
Если вы обладаете лицензионным продуктом NOD32 или Dr.Web, вы можете обратиться в их техническую поддержку с запросом о расшифровке данных.
Помимо этого, специалисты рекомендуют обратиться в полицию с заявлением, так как в действиях злоумышленников присутствуют признаки преступлений, предусмотренных ст. ст. 159.6, 163, 165, 272, 273 УК РФ.
Практический результат таких действий сводится к нулю. Дело в том, что пока не существует способа восстановления файлов, подвергнутых шифрованию VAULT. Остается единственный выход : физически извлечь HDD или SSD диск из устройства и установить новый. Возможно, в скором времени появится способ расшифровки информации и тогда данные могут быть восстановлены.
Трояны-вымогатели заметно эволюционировали за год с момента своего появления. Изначальный вариант вируса, который принято называть .vault (по разным классификациям: .xtbl, .cbf, trojan-ransom.win32.scatter), обнаружили в конце февраля 2015 г. В настоящий момент компьютерной безопасности угрожает очередная версия инфекции. За всю историю существования вируса были доработаны как программный код, так и функционал. В частности, изменялись ареал распространения инфекции, технология обработки файлов, а также ряд внешних представительских атрибутов.
Основные характеристики вируса-шифровальщика vault
Последний выпуск, .vault, функционирует с использованием передового алгоритма обмена ключей шифрования, что усложняет специалистам по компьютерной безопасности задачу подбора ключа расшифровки.
Один из вариантов сообщения .vault
Сценарий шифровщика .vault в ОС Windows выполняется в одном из следующих случаев:
– открытие пользователем инфицирующего вложения к фиктивному уведомлению, рассылаемому мошенниками;
– посещение взломанного веб-сайта со встроенным кодом инфицирования через уязвимости, например, Angler или Neutrino. В любом случая, обнаружить процесс внедрения программного кода без специальных инструментов непросто, а использование эффективных проемов по избежанию антивирусного ПО позволяет зловреду в большинстве случае обойти вирусные ловушки. Этап внедрения окончен, вирус-вымогатель переходит к сканированию жесткого диска, доступных USB-карт памяти, сетевых ресурсов, а также информации на онлайн-ресурсах для хранения и раздачи файлов, например, Dropbox. Программа проходиться по всем буквенным меткам дисков. Сканирование должно обнаружить файлы, расширения которых прописаны в алгоритме вирусной атаки как объекты. В зоне риска находиться более 200 форматов, включая наиболее популярные: документы Microsoft Office, мультимедийные файлы и изображения.
В следующей фазе атаки .vault кодирует обнаруженные в ходе сканирования объекты, используя стандарт AES-256, в то время как основная масса троянцев-вымогателей, свирепствующих на просторах Интернета, использует алгоритм RSA. Далее зловред запускает прикладную программу, которая объясняет пострадавшему пользователю суть происходящего, инструктируя о действиях по восстановлению заблокированных данных. Программа генерирует следующее сообщение:
Ваши рабочие документы и базы данных были зашифрованы и переименованы в формат .vault
Для их восстановления необходимо получить уникальный ключ.
ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:
КРАТКО
1. Зайдите на наш веб-ресурс
2. Получите уникальный ключ
3. Восстановите файлы в прежний вид
ДОПОЛНИТЕЛЬНО
a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)
b) Не забывайте про время, обычно оно играет против Вас
c) Стоимость полного восстановления на ресурсе не окончательная
При заходе на сайт мошенников в сети TOR у Вас будет полноценный личный кабинет c авторизацией, “службой поддержки” и даже партнерской программой, в стиле “получай деньги за каждый зараженный компьютер”. В добавок к зашифровке личных данных жертвы, вымогательское ПО добавляет к файлам новые расширения. Последовательность, присоединяемая к заблокированным объектам, зависит от версии зловреда. Ниже приводится полный печень таких расширений:
.vault, .xtbl, .cbf.
Таким образом, имя любого файла, например, ‘photo.jpg’, изменяется на ‘photo.vault’.
Файлы зашифрованные вирусом .vault
Чтобы возобновить доступ к демонстративно зашифрованным данным, жертву требуют выполнить указания по организации выкупа и выплатить порядка 500 дол. США. Оплата должна быть произведена в валюте биткойн на счет, который является уникальным для каждого инфицированного.
Схема действий жертвы, разработанная авторами вируса
Очень важно, когда именно Вы обнаружили вторжение. В любом случае, как только вирус был замечен, отключите сетевое соединение и выключите компьютер. Также целесообразно воздержаться от удаления каких либо файлов до разрешения ситуации. Если есть свежая резервная копия данных на не сетевом ресурсе или в облаке, запустите проверенное средство против зловредного ПО и удалите .vault с Вашего ПК, прежде чем перейти к восстановлению из резерва. При неблагоприятном развитии ситуации будет выполнен полный цикл атаки. В таком случае, необходимо установить, какое именно расширение добавлено к закодированным файлам, и проверить возможность лечения с помощью средств расшифровки.
Вымогательский вирус рекомендует пострадавшим открыть переход TOR, созданный для обработки платежа в биткойн. Фактически это страница “Служба расшифровки”, ссылки на которую содержаться в соответствующих оповещениях вымогательского характера. Она предоставляет подробную информацию о том, какие именно файлы были зашифрованы на ПК, излагая порядок действий по восстановлению. Как отмечено выше, преступники запрашивают эквивалент +-500 дол. США в биткойн с каждой зараженной системы. Сайт также предоставляет возможность получить доступ к читабельной версии одного из файлов бесплатно, а также представляет службу поддержки, услугами которой можно воспользоваться, если у плохих парней что-то пойдет не так.
Авторизация в личный кабинет шифровальщика .vault
Золотое правило: не плати ничего до тех пор, пока нет другого выхода. Если заплатить все же пришлось, имейте в виду, что процесс может затянуться, так как жуликам необходимо получить подтверждение оплаты. В свою очередь, они выдадут пару ключей, которые следует использовать для дешифровки в интерактивном окне программы-вымогателя. Есть информация, что разработчики .vault при получении выкупа создают условия, необходимые для восстановления файлов. Тем не менее, сама идея поддерживать шантажистов финансово определенно отталкивает, да и стоимость расшифровки велика для среднестатистического пользователя.
Надежное ПО для компьютерной безопасности эффективно устранит вирус-вымогатель .vault. Автоматическая очистка компьютера гарантирует полную ликвидацию всех элементов инфекции в системе.
- Загрузить рекомендованный защитный комплекс и проверить наличие вредоносных элементов на компьютере через команду “Начать сканирование” / Start Computer ScanЗагрузить программу для удаления .Vault
- В результате сканирования будет создан перечень выявленных объектов. Чтобы перейти к очистке системы от вируса и сопутствующих инфекций, щелкните “Устранить угрозы” / Fix Threats. Выполнение этого этапа процедуры удаления фактически обеспечивает полное искоренение вируса .vault. Теперь предстоит решить более сложную задачу – получить Ваши данные обратно.
Решение 1: Выполнить автоматическое восстановление файлов
Необходимо учитывать то факт, что троян .vault создает копии файлов, которые затем зашифровывает. Тем временем, происходит удаление исходных файлов. Имеются прикладные программы, способные восстановить удаленные данные. У Вас есть возможность использовать с этой целью такое средство, как Data Recovery Pro. Наблюдается тенденция применения новейшим вариантом вымогательского ПО безопасного удаления с несколькими перезаписями. Тем не менее, данный метод стоит попробовать.
Решение 2: Процедура резервного копирования
Во-первых и прежде всего, это отличный путь восстановления данных. К сожалению, этот метод работает исключительно при условии выполнения пользователем резервного копирования данных до момента вторжения на компьютер. Если это условие соблюдено, не упустите возможность извлечь выгоду из Вашей предусмотрительности.
Решение 3: Использовать теневые копии томов
Возможно, Вы еще не знаете, но операционная система создает так называемые теневые копии томов каждого файла, если активирован режим “Восстановление системы” (System Restore). Создание точек восстановления происходит с определенным интервалом, синхронно генерируются снимки текущего изображения файлов. Обратите внимание, этот метод не гарантирует восстановление самых последних версий Ваших файлов. Что ж, попытка не пытка! Есть два пути выполнения процедуры: вручную или с помощью автоматического средства. Сперва рассмотрим ручную процедуру.
Решение 4: Использовать опцию “Предыдущая версия”
В ОС Windows встроена функция восстановления предыдущих версий файлов. Она также работает применительно к папкам. Просто щелкните папку правой клавишей мыши, выберите “Свойства” / Properties, далее активируйте вкладку “Предыдущие версии” / Previous Versions. В поле версии представлен перечень резервных копий файла/папки с указанием соответствующего времени и даты. Выберите последнее сохранение и щелкните “Копировать” / Copy, чтобы восстановить объект в новом назначенном Вами месте. Выбрав простое восстановление через команду “Восстановить” / Restore, запустите механизм восстановления данных в исходной папке.
Использовать инструмент “Теневой проводник” ShadowExplorer
Процедура позволяет восстановить предыдущие версии файлов и папок в автоматическом режиме вместо ручной процедуры. Потребуется загрузить и установить ПО Теневой проводник ShadowExplorer. После запуска Проводника укажите название диска и дату создания версий файла. Щелкните правой клавишей по папке или файлу, который Вас интересует, выбрав команду “Экспорт” / Export. Затем просто укажите путь восстановления данных.
Vault на сегодняшний день является одним из наиболее жизнеспособных вирусов-вымогателей. Индустрия компьютерной безопасности не успевает заблаговременно реагировать на стремительное развитие встроенных функций инфекции. Отдельная группа преступников специализируется на уязвимых звеньях программного кода троянца, отвечая на эпизодической обнаружение таких уязвимостей лабораториями по изучению и устранению зловредов и компьютерными энтузиастами. В новых версиях инфекции-шифровальщика используется усовершенствованный принцип обмена ключей, что нивелирует возможности использования декодировщиков. Учтивая непрерывный характер развития компьютерного вредителя, на первое место выходит работа по предотвращению атаки.
Основное правило — храните резервные копии файлов в безопасном месте. К счастью, существует целый ряд недорогих или даже бесплатных служб безопасного накопления данных. Копировать данные на внешний несетевой накопитель не так удобно, но это также хороший способ защиты информации. Чтобы в корне разрушить планы по внедрению зловреда, не открывайте вложения в электронной почте, если она поступает из подозрительного источника: такая почта является популярным методом распространения программ-вымогателей. Также рекомендуется своевременно обновлять программное обеспечение. Это позволит устранить возможные уязвимости, сняв риск заражения через эксплоит-комплексы (наборы программ, эксплуатирующих уязвимости ПО для атаки на ОС). И последнее, используйте проверенный защитный модуль с возможностями динамического анализа.
Загрузить программу для удаления вируса .vault
Удаление вымогателя .Vault как таковое не позволяет расшифровать личные данные. Приведенные выше восстановительные процедуры часто, но не всегда, помогают решить проблему. К слову, данный вирус нередко устанавливается вместе с другими зловредами, поэтому определенно имеет смысл повторно проверить систему автоматическим противовирусным ПО, чтобы убедится в отсутствии вредных остаточных элементов вируса и сопутствующих угроз в Реестре Windows, а также других разделах компьютерной памяти.
Хранилище - Vault
В наши дни, когда пенсионеры в метро виртуозно орудуют планшетами, а дети, не умея писать на бумаге, вбивают тексты на клавиатуре, превосходя по скорострельности автомат Калашникова, похоже, пора и нам уделить некоторое внимание теме IT. Тем более, если эта тема пересекается с темой мошенничества. Кроме того, у нас есть повод – недавно мы столкнулись с весьма опасным вирусом, который может в доли секунды превращает ценные файлы в кучу бесполезного хлама.
В огромном количестве электронной почты, с которым приходится иметь дело знакомому бухгалтеру, это письмо ничем не выделялось. Обычное сообщение от партнёра, с вложенным заархивированным стандартным бухгалтерским документом. То есть, рассылка тематическая: если вы врач – вам может прийти сообщение о новых лекарствах, если вы строитель – предложение посетить семинар по новым технологиям заливных полов, и так далее. Даже маска адреса почты будет содержать заветные слова. А в тексте ее зацепили призывы проверить оплату жизненно важного счёта от поставщика 1С бухгалтерии. В любом случае, письмо может не вызвать у вас никаких подозрений. Набитой рукой, пятидесятый раз за день, знакомая отрыла архивную папку ZIP, увидела какое-то невероятно длинное имя документа и “открыл” этот файл, дважды кликнув на нём курсором. Это действие оказалось роковым.
Благодаря неплохой мощности нового компьютера, разрушающее действие вируса распространилось моментально. Печальное сходство с онкологией – чем сильнее организм заболевшего, тем быстрее распространяются метастазы. Все тексты и таблицы Microsoft Office, все изображения JPG, все PDF-файлы, все базы 1C и вся музыка в формате MP3 были очень качественно зашифрованы (RSA код) и к ним было добавлено расширение .vault. Выбраны форматы, которые представляют наибольшую ценность для владельца компьютера, будь это домашняя машина или рабочая.
Ситуация просто катастрофическая. Под угрозой оказался даже сам следующий выход номера! С какого-то момента бухгалтер перестал делать резервные копии, так как объемы стали слишком большие, да и просто давно ничего не происходило. В результате всей этой роковой цепи событий почти все жизненно необходимые для организации документы оказались фактически потеряны.
А длинное имя файла, как вы догадались, было призвано помочь злоумышленникам скрыть от пользователя расширение файла - его просто не было видно в окне, как его не раздвигай. В другой ситуации расширение можно было бы увидеть, каким бы длинным не было имя файла, но бухгалтер в спешке просто выполнил привычный набор движений мышкой. Конечно, расширение было .exe, или, полностью, Executive – исполняемый файл, запускающий какую-либо последовательность операций на машине. Многие знают, что такие файлы опасны, так же как и файлы с расширением .js (javascript), и не станут запускать их, если не уверены в их безвредности.
Не поддаётся расшифровке
COVID-19 неизбежно скажется на экономике
Кстати, наш бухгалтер пользуется почтой mail.ru, где все вложения проверяются антивирусом Kaspersky. Так вот, около этого вложения с вирусом обнадеживающе лучился красным значок антивируса Касперского с надписью “Проверено, вирусов нет!”. Неизвестно, чья в этом вина: mail.ru, что они не обновляют свой антивирус, или самой антивирусной компании, но факт остается фактом. Не все антивирусы всегда распознают этот тип вирусов. Во всяком случае, антивирус необходимо обновлять, иначе в нём нет почти никакого смысла. Впрочем, обновлять нужно и саму операционную систему. В итоге и Dr.Web не смог нам помочь с уже заархивированными файлами.
Оценив, сколько времени и усилий ушло бы на создание утерянных документов заново, мы пришли к весьма неутешительным выводам. Тогда мы решились пойти на контакт с мошенниками. Кроме того, приходится признаться, на этот шаг нас подталкивало и простое журналистское любопытство. Узнать, как работает мошенническая схема и предупредить людей об опасности – это, в конце концов, наша работа.
Есть возможность до оплаты восстановить четыре файла, чтобы убедиться, что они действительно могут дешифровать их. Но, что интересно, загруженные файлы проверяются негодяями вручную, оценивается важность документов и, если файл будет признан “слишком важным”, они могут отказаться его восстановить. Нам отказали в восстановлении нескольких файлов. Мы пытались вместо них загрузить другие, но заменить удалось не всё. В удобно встроенном чате нам ответили, что, мол, мы и так убедились в их способности восстанавливать документы – зачем нам ещё что-то восстанавливать (бесплатно).
На сайте даже имеется инфографика, наглядно и дружественно демонстрирующая, как восстановить данные. Особенно забавно выглядит последний пункт, предлагающий оставить отзыв в Интернете и даже возможность партнёрства. Похоже, что многие этой возможностью вовсю пользуются, судя по многочисленным предложениям дешифровать файлы VAULT по цене, намного превышающей “оригинальную” у самих исходных мошенников!
За период мытарств бухгалтер восстановила базу 1С, но оставшиеся файлы были все равно дороги ее сердцу. И восстановление их явно стоило больше времени, чем эти деньги. Забавно, что в отсутствии необходимости дешифровки 1С базы удалось получить скидку в 10%. Скидка в процессе пополнения правда уменьшалась. Хакеры поднимали цену. Потом после общения в чате немного понизили обратно. Это наводило на мысль о том, что после оплаты шантажисты не остановятся и попросят увеличить выкуп за файлы.
Мы совершенно не были уверены, что, перечислив деньги, мы действительно вернём наши документы. Но после завершения оплаты мы скачали утилиту с встроенным ключом, проверив её на вирусы всеми возможными способами, запустили, и действительно – все файлы были восстановлены. Однако нельзя гарантировать, что в других случаях всё пройдёт так же гладко. Лучше просто следовать простому правилу – не запускать исполняемые файлы, про которые вы ничего не знаете и регулярно сохранять важные файлы в бэкап.
Кругозор без горизонтов
Чтобы получить доступ к сервисам проекта, войдите на сайт через аккаунт. Если у вас еще нет аккаунта, его можно создать.
- добавить в избранное
![]()
Хватит наступать на грабли!
Посмотрите, что пишут пользователи, пострадавшие от действий троянцев-шифровальщиков, вымогающих деньги за возврат файлов (орфография, пунктуация и эмоции сохранены). Из многих сообщений становится понятно, чего делать ни в коем случае НЕЛЬЗЯ!
- На самом деле на компьютере у пользователя не стояло никакого антивируса, что я исправлю в будущем проведя беседу с пользователем. Пожалуйста помогите! Заранее спасибо.
Россия - С почты загрузил файл - архив, после все файлы ворд и эксель а также картинки зашифрованы. было расширение 1TXT
Россия - Файлы зашифрованы в формате 1txt
Открыли из почты сомнительное письмо и началось шифрование.
Россия - 10/10 примерно в 11 часов пришло письмо в яндексе,открыла письмо и произошло шифрование.
Россия - Сегодня после открытия файла с почты, все файлы формата DOC, XLS превартились в файлы формата VAULT
Россия
Вот текст письма, который я получила: "Уважаемый частный предприниматель!. Уведомляю Вас, что ваша Компания ***находящуюся по адресу *** нарушает действующее законодательство Российской Федерации. (ст.336.16 Налогового Кодекса РФ). Мы пробовали связаться с вами по телефону (…), однако Вас не застали. Просим Вас ознакомиться с материалами производства, которые прикреплены к данному письму. [!] NT-Print.docx
Файл, который испортил мне всю систему называется: 749f
Пожалуйста, посмотрите, что можно сделать. Мы готовы заплатить за проделанную работу. Заранее большое спасибо!
Казахстан
Очень нужна ваша помощь.
Обнаружил на своем домашнем компьютере вирус vault.
Зашифровал файлы майкрософт офис и фото.
Проблема в том, что мне не предполагают ввести код где-либо, только после установки их браузера и перехода по ссылке, чего я делать не хочу.
Скриншот не могу выложить,т.к. после установки dr.web антивирус блокирует их всплывание.
Могу только выслать файлы vault. я нашел их несколько hta, vault.key,confirmation.key.
Спасибо большое за помощь.
Подскажите, что делать.
Была произведена на компьютер вирусная атака по зашифровке файлов.
Текс сообщения следующий:
ATTENTION!
Your computer was attacked by trojan called cryptolocker. All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible.
To get your unique key and decode your files, you need to write us at email written below during 72 hours, otherwise your files will be destroyed forever!
Россия
Испания
Россия
Россия
Россия
Бразилия
Россия
Россия
Россия
Россия
Австралия
Sehr geehrte Damen und Herren,
Bitte testen Sie, ob Sie die Möglichkeit haben diese Dateien zu entschlüsseln.
Danke
Австрия
Россия
Россия
Россия
Россия
Более чем в 90% случаев пользователи запускают (активируют) на компьютере шифровальщиков собственными руками.
Восстановление файлов и лечение вируса шифровальщика (da vinci, enigma, vault, xtbl, cbf)
В данном видео рассмотрим последствия заражения вирусом шифровальщиком, а так же различные способы лечения вируса шифровальщика. А в частности рассмотрим способ с использованием софта для расшифровки файлов и средства восстановления файлов из контрольных точек системы. На функции, восстановления файлов остановимся поподробнее, так как она может быть полезна во многих ситуациях.Ну, а начнем мы с вируса шифровальщика. В одну из организаций, которые я обслуживаю, через электронную почту попал вирус, который шифрует все рабочие файлы. В частности, у меня он зашифровал все документы Word, Excel, бызу 1C, ключи, необходимые для электронного документооборота с налоговой и пенсионным фондом и многие другие. В общем, убил все рабочие файлы. Хотя антивирусная база была актуальная, на один из компьютеров вирусу все же удалось пробраться, хотя на других он был обезврежен.
Модификации вируса могут быть разные, но принцип работы одинаков, вы должны заплатить деньги злоумышленнику, чтобы он расшифровал файлы. В моем случае файлы имели примерно следующие имена email-iizomer@aol.com.ver-CL 0.0.1.0.id-VWWXZZZAABCCDDDEEFFGHHIIJJKLMMNNOPPQ-22.06.2015 11@18@024041.randomname-ZFHHJKLLMNNOOOOPQQRRSSSSTUUVVW.XXY.cbf.
Как правило, резервные копии создаются в организациях, а для домашних пользователей этот вопрос не особо актуален и очень даже зря. По этому, мы попробуем решить проблему средствами, которые предоставляют нам встроенные инструменты Windows, а в частности, это контрольные точки восстановления системы. По умолчанию, при установке операционной системы, защита системы настроена таким образом, что на системном диске (т.е. жестком диске, на котором устанавливается сама операционная система) включена функция защиты системы (Мой компьютер \ ПКМ \ Свойства \ Дополнительные параметры системы \ Защита системы \ С:Включено).
Как правило, данная функция используется для восстановления системных параметров, в случае если операционная система стала себя не адекватно вести или вообще не загружается. В данной ситуации можно выполнить восстановление системных файлов из контрольной точки восстановления и возможно, это поможет. Но, помимо этого, данная функция позволяет восстанавливать предыдущие версии файлов, т.е. файлы, которые находились на диске в момент создания контрольной точки.
Таким образом, можно восстановить измененные, переименованные или удаленные файлы. В нашем случае, потребуется восстановить версии файлов до заражения вирусом шифровальщиком (Мой компьютер \ Выбираем диск \ ПКМ \ Свойства \ Предыдущие версии файлов \ Выбираем дату контрольной точки \ Открыть \ Находим необходимые файлы \ Копируем в нужную папку). Если вы не помните путь к файлу, то можно воспользоваться поиском, он нормально работает!
Благодаря данному методу я восстановил порядка 60 гигобайт зашифрованных файлов. Но, тут не все так просто, в данной ситуации мне повезло, что все рабочие файлы располагались на системном разделе. Я не так давно устроился в эту организацию и еще не успел привести систему в удобный для меня вид. Если бы я это сделал, то все рабочие документы располагались бы на втором разделе, а на системном только файлы программ и операционной системы. И в данной ситуации этот метод мне бы не помог, так как автоматически функция защиты системы включена только на системном диске, а вирус шифрует файлы находящиеся на всех разделах. Причем у меня не было никогда необходимости включать функцию защиты на других разделах, но, благодаря данной ситуации, появилась, как говорится век живи век учись.
По этому, давайте настроим функцию защиты системы для остальных дисков (Мой компьютер \ ПКМ \ Свойства \ Дополнительные параметры системы \ Защита системы \ D \ Настроить \ Восстановить только предыдущие версии файлов, так как на данном диске система не установлена \ Объем можете выбирать по своему усмотрению, я же обычно ставлю 5%) И на последок, если вы заметили подобную активность вируса, срочно выключайте компьютер, так как шифратор работает в фоновом режиме из операционной системы. А далее, подключить жесткий диск к другому компьютеру, проверить на вирусы и сохранить информацию. Так же можно загрузиться из под Windows PE и просканировать систему портативным антивирусом. Если же так и не получилось расшифровать или восстановить файлы, то придется искать специалистов по расшифровке.
Читайте также:
