[ Закрыто ] VAULT. что делать? , bat encoder / CryptVault

RSS


Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия:

1. проверьте наличие теневых копий на дисках, если есть чистые теневые копии, восстановить документы можно без расшифровки.
Используйте для работы с теневыми копиями ShadowExplorer

если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование
пространства в 5-10% под теневые копии.

2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
для этого необходимо найти файл secring.gpg.
secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP%
юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает
данный ключ с помощью утилиты sdelete.exe.

Цитата
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"
Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов
не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.

что делает шифратор с исходными файлами:
Код
dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
echo %%i>> "%temp%\conf.list"
)

после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc,
и только затем переименовывается в 1.doc.vault.
т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
-------
Добавим,  что злоумышленники после завершения шифрования оставляют на диске файлы  VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg,
но зашифрованный с помощью pub key злоумышленников, поэтому  расшифровать его на нашей стороне невозможно.
В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли
с  целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
--------
если sec key найден, вы можете установить GnuPG и GPGShell и проверить возможность расшифровки.

скачайте отсюда и установите GnuPG
+
отсюда можно скачать GPGShell

В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------

как можно избежать встречи с VAULT?
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом.
Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:
Цитата
%userprofile%\Local Settings\Temp\_tc\*.js
%userprofile%\Appdata\Local\Temp\_tc\*.js
3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg.
в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую
пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае
шифрование состоится, но известным ключом. Или не состоится.

(с), chklst.ru

Ответы

Есть свежий вирус. Вскрывать не стали, благо успели предупредить. Могу дать для анализа если нужно.
Сергей,
вышлите вложение из письма в архиве с паролем infected в почту safety@chklst.ru
или само письмо перешлите, если там не вложение используется, а ссылка на архиве в сети.
Изменено: santy - 21.08.2015 10:04:50
Цитата
santy написал:
вышлите вложение из письма в архиве с паролем infected в почту safety@chklst.ru
Отправил
ок, спасибо, получил. файл действительно не детектируется еще.
блокируем адрес
*hellobit.co*
+
новый текст сообщения

Цитата
Тема: Вопрос по счетам
Дата: 08/21/2015 05:24 AM
Здравствуйте,
Решите вопрос с оплатой за прошлый месяц... Вы обязаны были рассчитаться еще 10 дней назад.
Я еще раз отправляю сканы счетов №763 и №773 (в прикрепленном файле).
Услуги Вы по актам приняли, а средств все еще нет.
---
С Уважением к Вам,
фин. директор ОАО Пром-Поставки
Изменено: santy - 21.08.2015 10:58:31
Расшифровал уже на двух компьютерах используя GnuPG и GPGShell.
1.Воткнул винт в другую тачку чтобы неуспел зачиститься SWAP
2.Просканировал диск с папкой TEMP с помощью R-Studio
3.В папке TEMP нашел удаленные secring.gpg и pubring.gpg
4.Импортировал в GnuPG с помощью GPGKeys
5.С помощью GPGTools расшифровал.
Правда приходится расшифровывать по одному файлу, может и есть что-то с возможностью пакетной обработки, я пока не искал... поскорей поделился радостью.
Цитата
Rustem Khassanov написал:
1.Воткнул винт в другую тачку чтобы неуспел зачиститься SWAP
2.Просканировал диск с папкой TEMP с помощью R-Studio
3.В папке TEMP нашел удаленные secring.gpg и pubring.gpg
Rustem,
каким образом вы восстанавливаете исходный secring.gpg?
(напишите подробнее в почту safety@chklst.ru)

ведь там в алгоритме шифратора добавлены команды перезаписи ключа мусорным блоком, и только после этого secring.gpg удаляется.
например, так

Цитата
echo 77406a1e885873e930cb056a91c09c60 25ca7a7cd21f132ab320494e> "%temp%\secring.qpq"
echo 9767d5483a3b7af1 6d0f24b86d997bc025ca7a7c7bff218e4077430c>> "%temp%\secring.qpq"
echo 9767d548 3a3b7af16d0f24b8 6d997bc025ca7a7c 7bff218e4077430c>> "%temp%\secring.qpq"
echo 59665d79acda3f3369aca9093c843d11 a3811a181107cc4cc68cd952>> "%temp%\secring.qpq"
echo 071faa5ef941ecc1 ca70214e1e7597484c2e533d97cf86b0e479bce7>> "%temp%\secring.qpq"
echo acda3f33 ca70214e 91c09c6030cb056a cb2f4cf2 7bff218e4077430c>> "%temp%\secring.qpq"
move /y "%temp%\secring.qpq" "%temp%\secring.gpg"
Изменено: santy - 21.08.2015 13:01:36
Цитата
santy написал:
Александр,
для расшифровки своими силами этих файлов недостаточно. нужен ваш secring.gpg
http://chklst.ru/forum/discussion/1481/vault-chto-delat

для расшифровки документов с помощью мошенников (и за деньги), этого достаточно, поскольку у них есть секретный ключ к VAULT.k



А если  secring.gpg  0??
Alexandr Amarie,
если secring.gpg нулевой, то и результат расшифровки будет нулевой.
это все равно, что вы с помощью голого гвоздя пробуете открыть секретный замок.
Доброго дня.
Вопрос по поводу шифровальщиков.
1 - сможет ли шифровальщик забраться в защищенную паролем (сторонними программами ) папку и там все перелапатить ?
2 - если я в своих фотографиях (а именно они меня больше беспокоят), заменю расширение на другое (например foto.cyop)? шифровальщик пройдет мимо их, он нацелен именно на расширение или он способен прощупать файл на предмет фотографии ?

спасибо
Антоша Свистунов, Достаточно создать правило в HIPS и защитить свои файлы и документы от шифровальщика...
Изменено: Серж Макаревич - 25.08.2015 16:56:06
Читают тему (гостей: 1)