[ Закрыто ] VAULT. что делать? , bat encoder / CryptVault

RSS


Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия:

1. проверьте наличие теневых копий на дисках, если есть чистые теневые копии, восстановить документы можно без расшифровки.
Используйте для работы с теневыми копиями ShadowExplorer

если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование
пространства в 5-10% под теневые копии.

2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
для этого необходимо найти файл secring.gpg.
secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP%
юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает
данный ключ с помощью утилиты sdelete.exe.

Цитата
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"
Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов
не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.

что делает шифратор с исходными файлами:
Код
dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
echo %%i>> "%temp%\conf.list"
)

после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc,
и только затем переименовывается в 1.doc.vault.
т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
-------
Добавим,  что злоумышленники после завершения шифрования оставляют на диске файлы  VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg,
но зашифрованный с помощью pub key злоумышленников, поэтому  расшифровать его на нашей стороне невозможно.
В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли
с  целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
--------
если sec key найден, вы можете установить GnuPG и GPGShell и проверить возможность расшифровки.

скачайте отсюда и установите GnuPG
+
отсюда можно скачать GPGShell

В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------

как можно избежать встречи с VAULT?
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом.
Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:
Цитата
%userprofile%\Local Settings\Temp\_tc\*.js
%userprofile%\Appdata\Local\Temp\_tc\*.js
3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg.
в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую
пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае
шифрование состоится, но известным ключом. Или не состоится.

(с), chklst.ru

Ответы

Цитата
santy написал:

3.для восстановления secring.gpg ищем среди удаленных файл:
e6335bfe.7c8f89eb
Нашёл 43487a9e.ca8469cb, но там ))) :

**********************************************
 Browser Password Recovery Report
**********************************************

в pubring.gpg:

pub  1024R/FDD770F3 27.10.2015 Cellar

santy, как можно попробовать расшифровать?
Скрытый текст
Изменено: Sergey Lobashev - 28.10.2015 01:17:46
Сергей,
Цитата
Sergey Lobashev написал:
Нашёл 43487a9e.ca8469cb, но там ))) :
43487a9e.ca8469cb - здесь это другой файл, содержит отчет о найденных на диске паролях

                                **********************************************
                                         Browser Password Recovery Report
                               **********************************************

созданный этой утилитой
____________________________________________________________­__________
Produced by BrowserPasswordDump from http://www.SecurityXploded.com

ключ же экспортируется сюда, до момента его шифрования
e6335bfe.7c8f89eb

без ключа, который был создан в secring.gpg
или без экспортированного из secring.gpg в файл e6335bfe.7c8f89eb
расшифровка невозможна.
Изменено: santy - 28.10.2015 04:42:21
Вот закрытый ключ(export)(может кому еще поможет), вытянул поиском по диску, на котором прошелся свежий шифровщик
Затереть не смог, так как не отработал uac, запущен был под пользователем, на машинке с включенным uac

Во вложении
Изменено: valeg odminchik - 28.10.2015 20:01:16
Будь добр. Приложи ключ файлом. Спасибо
Цитата
valeg odminchik написал:
Вот закрытый ключ(export)(может кому еще поможет)
в том и "прелесть" PGP, что ключ уникален, и полезен в расшифровке лишь в одном случае и одному пользователю.
остальным полезен, разве что взглянуть на него, как он выглядит по своему содержанию.
Добрый день!
27 октября постарадали от этого же шифровальщика.
Помогите достать ключ из файла. Нашёл все файлы secring.gpg, pubring.gpg, 708ca0c2.233aa420, e6335bfe.7c8f89eb, d4a76286.exe и ещё всякие. Все не нулевого размера.

 
Возьмите GPGShell, в ней запустите GPGtools и попробуйте импортировать secring.pgp
МАкс Иванов,
вышлите в почту safety@chklst.ru несколько зашифрованных файлов и ключ secring.gpg для проверки расшифровки
santy, спасибо большое, всё расшифровалось!
Добавлю одно, после того как поймали этот вирус, прошло больше суток. Успел зашифровать почти 30 тыс. файлов. secring.gpg нашёл с помощью R-Studio. Сделал детальный поиск. И файл этот был найден в папке TEMP.
Может кому-нибудь пригодится информация.
Ещё раз спасибо!
Макс Иванов, добрый день. Прошу Вас  детально написать именно через какую RStudio вы сканировали, сканировали по расширению или по названию. Заранее благодарен
Читают тему (гостей: 1)