[ Закрыто ] VAULT. что делать? , bat encoder / CryptVault

1 2 3 4 5 ... 10 След.
RSS


Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия:

1. проверьте наличие теневых копий на дисках, если есть чистые теневые копии, восстановить документы можно без расшифровки.
Используйте для работы с теневыми копиями ShadowExplorer

если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование
пространства в 5-10% под теневые копии.

2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
для этого необходимо найти файл secring.gpg.
secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP%
юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает
данный ключ с помощью утилиты sdelete.exe.

Цитата
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"
Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов
не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.

что делает шифратор с исходными файлами:
Код
dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
echo %%i>> "%temp%\conf.list"
)

после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc,
и только затем переименовывается в 1.doc.vault.
т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
-------
Добавим,  что злоумышленники после завершения шифрования оставляют на диске файлы  VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg,
но зашифрованный с помощью pub key злоумышленников, поэтому  расшифровать его на нашей стороне невозможно.
В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли
с  целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
--------
если sec key найден, вы можете установить GnuPG и GPGShell и проверить возможность расшифровки.

скачайте отсюда и установите GnuPG
+
отсюда можно скачать GPGShell

В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------

как можно избежать встречи с VAULT?
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом.
Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:
Цитата
%userprofile%\Local Settings\Temp\_tc\*.js
%userprofile%\Appdata\Local\Temp\_tc\*.js
3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg.
в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую
пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае
шифрование состоится, но известным ключом. Или не состоится.

(с), chklst.ru
убрали утилитку sdelete.exe
добавили шифрование удаленных файлов средствами самой системы.
с помощью системной программы cipher.exe

Цитата
Cipher.exe является инструментом командной строки (входит в Windows 2000), которые можно использовать для управления зашифрованных данных с помощью шифрованной файловой системы (EFS). По состоянию на июнь 2001 года, Microsoft разработал усовершенствованную версию инструмента Cipher.exe, что обеспечивает возможность постоянно переписывать (или "стереть" все удаленные данные на жестком диске. Эта функция повышает безопасность, гарантируя, что даже злоумышленник, который получил полный физический контроль над компьютером для Windows 2000 не сможет восстановить ранее удаленные данные.

https://www.virustotal.com/ru/file/b948633b6f3e1a04959cf174beb6116726b951c7a76ccdc1­71151f157d45a69e/.../1428505266/

раскодировал файл svchost.exe из js шифратора

Цитата
gpg (GnuPG) 1.4.18
Copyright © 2014 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: *****
Поддерживаются следующие алгоритмы:
С открытым ключом: RSA, RSA-E, RSA-S, ELG-E, DSA
Симметричные шифры: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256,
                   TWOFISH, CAMELLIA128, CAMELLIA192, CAMELLIA256
Хэш-функции: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Алгоритмы сжатия: Без сжатия, ZIP, ZLIB, BZIP2
Изменено: santy - 08.04.2015 19:08:14
примерный исходник декодера для VAULT
в текущий каталог скопируйте файлы
gpg.exe, iconv.dll из каталога с GnuPG
добавьте в текущий каталог ваш секретный ключ
(в тексте программы он показан как uncrypt.key)

Код
@ECHO OFF
attrib -s -h -r UNCRYPT.KEY
if not exist UNCRYPT.KEY (echo UNCRYPT.KEY NOT EXIST - press any key&pause&goto eof)
gpg.exe --import UNCRYPT.KEY

FOR %%f IN (C D E F G ) DO call :decode %%f
goto eof
:decode
dir /B "%1:\"&& for /r "%1:\" %%i in (*.vault) do (
RENAME "%%~fi" "%%~ni.gpg" & gpg.exe --batch --no-verbose -q --decrypt-files "%%~pi%%~ni.gpg" & del /f /q "%%~pi%%~ni.gpg"
)

dir /B "%1:\"&& for /r "%1:\" %%i in (*.gpg) do (
gpg.exe --batch --no-verbose -q --decrypt-files "%%~fi" & del /f /q "%%~fi"
)

:eof
ECHO.
ECHO FINISHED!
первый ключ VaultCrypt злоумышленников
gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\38\abraun\VAULT (c рабочего стола).KEY
Time: 27.04.2015 10:13:51 (27.04.2015 4:13:51 UTC)

----------
второй ключ злоумышленников появился

VaultCrypt
956D C11A 4A5D 3AA5 2E8D  0483 1DAE 0B11 81A3 F5F1
0x1DAE0B1181A3F5F1
ID ключа: 0x81A3F5F1
дата создания: 21.04.2015

Цитата
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1 - GPGshell v3.78

mI0EVTXwewEEALwrwle1wOckuOpuI2gWVONqBV1v4b3N0yvjSfkvGwdOKaU7­w7hF
K3H+2k2NbbucryAxkBYl6At921lyPg//gCXNpTC3iv4KvrFFtElDLpACrXj1­O2oC
ECS0an9H3D2TSPEZ0VyvTUHj6AlYD83yibdCaPfL0L+emsK3C21sANOTABEB­AAG0
ClZhdWx0Q3J5cHSIuAQTAQIAIgUCVTXwewIbLwYLCQgHAwIGFQgCCQoLBBYC­AwEC
HgECF4AACgkQHa4LEYGj9fEZ1wP/d4B4Q3MOEkZxUyPkLhgG42uNKLYzUTPb­kh0m
/U9OEDsp0yKWQqQtC3K7sf2xduzgx6ysOfT6eXhPo7HdBCYi1R1eBgzcWgQw­E5MM
L4X40OMcPjvAWQFzX+qgiu1yulRSAepiKW6jSe8GRzdIj63SCmz7OipKSkW7­Kk1j
NrwjZJg=
=gKhC
-----END PGP PUBLIC KEY BLOCK-----

gpg: зашифровано 1024-битным ключом RSA с ID 81A3F5F1, созданным 21.04.2015
     "VaultCrypt"
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\46\doc_vault_2015_04_22\doc\DATA\5\VAULT.KEY
Time: 27.04.2015 10:06:05 (27.04.2015 4:06:05 UTC)
Изменено: santy - 27.04.2015 07:16:03
текущие варианты защиты от шифратора VAULT (помимо резервного копирования):
1. локальные политики.
запрет на запуск исполняемых файлов
*.doc.js
*.doc*.js
*.xls.js
*.xls*.js
2. запретить перезапись, удаление файлов pubring.gpg  в %TEMP% юзера
Изменено: santy - 27.04.2015 10:04:17
похоже теперь и свои приватные ключи будут менять регулярно :)

Код
gpg: ключ D6B5E4AA: импортирован открытый ключ "VaultCrypt"
gpg: Всего обработано: 1
gpg:                 импортировано: 1

- Public keyring updated. -

File: X:\active\shifr\bat.encoder.vault\47\doc.vault_20150427.1\doc\data\1\a1bb100b.ddb6e814
Time: 27.04.2015 15:33:52 (27.04.2015 9:33:52 UTC)
Отправила моя сотрудница мне письмо  - Саша, у меня акты не открывается.
У меня открылось.
У нее тоже открывалось, но ругалось как оказалось.
У меня NOD выругался, но не убил сразу.
почти все doc, xls, jpeg, pdf и zip повалило в VAULT
NOD выругался дважды - 17 и 18.08

Все что нашел - удалил
secring.gpg. пустой

в C\Documents and Settings\Sasha\Application Data лежат CONFIRMATION.KEY (17.08) и VAULT.KEY (18.08)
в C:\Documents and Settings\Sasha\Local Settings лежат :    4077430c_VAULT.KEY (17.08) и
VAULT.KEY (18.08)


борьба возможна?
Александр,
здесь все подробно изложено. что делать.
http://chklst.ru/forum/discussion/1481/vault-chto-delat

если документы зашифрованы, если копий документов нет, если теневые копии не поддерживаются, если secring.gpg нулевой,
то придется или прощаться (и по новой создавать) с рабочими документами, или с энной суммой денег, которые злоумышленники просят у вас за расшифровку своего безобразия.

и провести учения среди персонала на предмет: какие документы из писем можно безопасно открывать, а какие нельзя открывать и удалять сразу в корзину.
Изменено: santy - 20.08.2015 12:38:53
Здравствуйте. Получили письмо "счастья". Зашифровано 21 000 файлов.
Имем :
VAULT.KEY
pubring.gpg

Как я понимаю последний - это открытый ключ. Можно ли на основе двух файлов сделать SEC.KEY?
Александр,
для расшифровки своими силами этих файлов недостаточно. нужен ваш secring.gpg
http://chklst.ru/forum/discussion/1481/vault-chto-delat

для расшифровки документов с помощью мошенников (и за деньги), этого достаточно, поскольку у них есть секретный ключ к VAULT.key
1 2 3 4 5 ... 10 След.
Читают тему (гостей: 1)