[ Закрыто ] VAULT. что делать? , bat encoder / CryptVault

RSS


Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия:

1. проверьте наличие теневых копий на дисках, если есть чистые теневые копии, восстановить документы можно без расшифровки.
Используйте для работы с теневыми копиями ShadowExplorer

если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование
пространства в 5-10% под теневые копии.

2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
для этого необходимо найти файл secring.gpg.
secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP%
юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает
данный ключ с помощью утилиты sdelete.exe.

Цитата
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"
Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов
не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.

что делает шифратор с исходными файлами:
Код
dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
echo %%i>> "%temp%\conf.list"
)

после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc,
и только затем переименовывается в 1.doc.vault.
т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
-------
Добавим,  что злоумышленники после завершения шифрования оставляют на диске файлы  VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg,
но зашифрованный с помощью pub key злоумышленников, поэтому  расшифровать его на нашей стороне невозможно.
В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли
с  целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
--------
если sec key найден, вы можете установить GnuPG и GPGShell и проверить возможность расшифровки.

скачайте отсюда и установите GnuPG
+
отсюда можно скачать GPGShell

В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------

как можно избежать встречи с VAULT?
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом.
Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:
Цитата
%userprofile%\Local Settings\Temp\_tc\*.js
%userprofile%\Appdata\Local\Temp\_tc\*.js
3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg.
в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую
пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае
шифрование состоится, но известным ключом. Или не состоится.

(с), chklst.ru

Ответы

Пред. 1 ... 3 4 5 6 7 ... 10 След.
Отвечу тоже, сканировал пользовательский %TEMP% восстанавливал все файлы, созданные с момомента запуска скрипта, через который всё и пошло.
В моем случае файл был с названием не securing.pgp, в названии был просто набор цифр и букв
Восстанавливать не обязательно rstudio, главное загрузиться с внешнего носителя, чтобы уже ничего на диск не записывалось.
Изменено: valeg odminchik - 30.10.2015 15:19:37
ну вот на пример я нашел скажем так подозреваемый файл, я его должен поробовать импортировать в GPGtools не переименовывая?
Ass Khan,
покажите список файлов здесь, которые вы нашли.
Цитата
valeg odminchik написал:
В моем случае файл был с названием не securing.pgp, в названии был просто набор цифр и букв
Восстанавливать не обязательно rstudio, главное загрузиться с внешнего носителя, чтобы уже ничего на диск не записывалось.
1. вышлите в почту safety@chklst.ru файл из цифр и букв, который вы считаете является секретным ключом.
2. не всегда и (чаще всего) ВАУЛТ затирает ключи, так что и среди удаленных их не найти. не то чтобы они просто лежали "на траве" в папке %TEMP% юзера.
хорошо , сейчас скину
Цитата
santy написал:
Цитата
valeg odminchik   написал:
В моем случае файл был с названием не securing.pgp, в названии был просто набор цифр и букв
Восстанавливать не обязательно rstudio, главное загрузиться с внешнего носителя, чтобы уже ничего на диск не записывалось.
1. вышлите в почту safety@chklst.ru файл из цифр и букв, который вы считаете является секретным ключом.
2. не всегда и (чаще всего) ВАУЛТ затирает ключи, так что и среди удаленных их не найти. не то чтобы они просто лежали "на траве" в папке %TEMP% юзера.

В моем случае удалось, их там было несколько(таких файлов)
вышлите все что нашли в архиве с паролем infected
Цитата
Ass Khan написал:
Макс Иванов, добрый день. Прошу Вас  детально написать именно через какую RStudio вы сканировали, сканировали по расширению или по названию. Заранее благодарен
R-Studio 5.2. Я сканировал полностью диск C:\, если встать на диск и нажать Scan, будет выбор как именно. Я выбрал детальный, он медленнее, но ищет лучше. После сканирования, у меня нашлось 4 папки Temp. В одной из них и был нужный файлик, видимо он был просто удалён, а не затёрт.
Здравствуйте,
27.10 уже попались, у одного пользователя зашифровали, просили 590$. Деньги не отправляли (гарантий никаких), просто смирились с удалением данных, предупредили остальных пользователей.
Сегодня 02.11 у другого пользователя вылезло другое письмо, с текстом
Цитата
"Подскажите, как долго ожидать оплату по августовской поставке сырья? Мы еще три недели тому отправляли на Ваш адрес оригиналы счетов. В случае, если в связи с какими-то обстоятельствами Вашей компанией они получены не были, я отпраляю Вам копии - прилагается к письму. Большая просьба дать ответ."
Пользователь открыл файл, вылезло окошко с вымоганием денег, но ничего не зашифровал, не знаю почему это ему не удалось.
Почитал Ваше прикрепленное сообщение, думаю как теперь его заблокировать.

Цитата
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например: [TABLE][TR][TH]Цитата[/TH][/TR][TR][TD]%userprofile%\Local Settings\Temp\_tc\*.js
%userprofile%\Appdata\Local\Temp\_tc\*.js[/TD][/TR][/TABLE]
Вот этот путь не могу понять. Пробовал и так добавить, пробовал %userprofile%\Local Settings\*\*.js - не получилось.
Запретил запуск *.js в этой же политике ограниченного запуска - теперь они не открываются, все нормально.
Теперь вопрос, это правильно, что я запретил запуск всех js-файлов? Ничего лишнего я не блокирую этой политикой?
да, с этой недели пошла новая рассылка. скорее всего тело шифратора закодировано в самом js, т.е. будет извлечено при запуске js и запущено.

новое тело сообщения:

Цитата
Уважаемые партнеры. Обращаю винмание, что согласно условиям нашего действующего договора Вы должны перечислить средства за сентябрьскую поставку до третьего ноября - счета см. приложение к письму. Надеемся на своевременное выполнение обязательств Вашей стороной.

возможно изменился алгоритм шифрования,
блокируем адрес
*waveiscomingsoon.com*
какие то запчасти шифратор отсюда пытается скачать.

по ограничению запуска:
добавьте через регедит эти файлы (из архива)  в реестр.
Изменено: santy - 02.11.2015 10:24:15
Пред. 1 ... 3 4 5 6 7 ... 10 След.
Читают тему (гостей: 2)