[ Закрыто ] VAULT. что делать? , bat encoder / CryptVault

RSS


Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия:

1. проверьте наличие теневых копий на дисках, если есть чистые теневые копии, восстановить документы можно без расшифровки.
Используйте для работы с теневыми копиями ShadowExplorer

если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование
пространства в 5-10% под теневые копии.

2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
для этого необходимо найти файл secring.gpg.
secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP%
юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает
данный ключ с помощью утилиты sdelete.exe.

Цитата
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"
Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов
не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.

что делает шифратор с исходными файлами:
Код
dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
echo %%i>> "%temp%\conf.list"
)

после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc,
и только затем переименовывается в 1.doc.vault.
т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
-------
Добавим,  что злоумышленники после завершения шифрования оставляют на диске файлы  VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg,
но зашифрованный с помощью pub key злоумышленников, поэтому  расшифровать его на нашей стороне невозможно.
В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли
с  целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
--------
если sec key найден, вы можете установить GnuPG и GPGShell и проверить возможность расшифровки.

скачайте отсюда и установите GnuPG
+
отсюда можно скачать GPGShell

В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------

как можно избежать встречи с VAULT?
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом.
Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:
Цитата
%userprofile%\Local Settings\Temp\_tc\*.js
%userprofile%\Appdata\Local\Temp\_tc\*.js
3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg.
в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую
пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае
шифрование состоится, но известным ключом. Или не состоится.

(с), chklst.ru

Ответы

Пред. 1 ... 4 5 6 7 8 ... 10 След.
Здравствуйте, утром получила такое же письмо, открыла файл, запустила антивирус, который вирусов не обнаружил, могли бы вы мне помочь?
Текст письма был такой: Пожалуйста, сообщите, сколько еще ожидать оплату за услуги, оказанные в позапрошлом месяце? Мы еще три недели назад высылали Вам оригиналы счетов на оплату. Если в связи с какими-либо обстоятельствами Вашей компанией они получены не были, я отпраляю Вам скан-копии - см. вложение. Большая просьба ответить. Далее прикрепленный файл: Оплата - счета.zip - ZIP архив, размер исходных файлов 169 994 байт.
Уважаемый santy, я переслала вам письмо на адрес  safety@chklst.ru с темой infected, очень надеюсь на ваше помощь
Цитата
santy написал:
по ограничению запуска:
добавьте через регедит эти файлы (из архива)  в реестр.
Я правильно понял - Вы в этом файле ограничиваете запуск уже найденных скриптов, и для нового вируса с новым текстом надо будет блокировать еще?
Что будет если я заблокирую запуск всех js-файлов?
там и блокируется запуск всех js из архивов
запустите рег файл и проверьте какие ключи будут в рееесте. здесь
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\
Изменено: santy - 02.11.2015 11:17:23
Цитата
santy написал:
там и блокируется запуск всех js из архивов
запустите рег файл и проверьте какие ключи будут в рееесте. здесь
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer­\codeidentifiers\0\Paths\
Запустил у себя в компьютере, добавились запреты типа %userprofile%\AppData\Local\Temp\Rar*\*.com в вышеуказанную ветку (на com, scr, js-файлы), то есть защищаемся еще и от этих файлов в архивах,  спасибо, воспользуюсь в компьютерах.
Чисто из-за спортивного интереса - что будет, если я заблокирую запуск js-файлов ИЗ ЛЮБОГО МЕСТА, а не только из временных папок? То есть если в групповую политику добавлю пункт ограниченного запуска по пути "*js".  
если заблокируете, то соответственно js нигде не будет запускаться, в том числе и в браузерах (в расширениях браузеров)
 
Цитата
santy написал:
если заблокируете, то соответственно js нигде не будет запускаться, в том числе и в браузерах (в расширениях браузеров)

Проверил еще раз - в браузере запускается. Создал .js - файл с скриптом, и простейший html файл для подключения этого скрипта, политикой запретил запуск *.js файлов - двойное нажатие на js-файл выдает сообщение о запрете, но в браузере этот скрипт подключается нормально. Получается, запрещаю только прямое открытие файла, а в браузере подключается нормально?
Доброго дня . Вообщем славили мы это зло , тоже как в предидушем посте есть эти 2 файла причем они на каждом диске в корне и на рабочем столе . sec key не могу найти раскажите как его вообще искать через рстудио  что именно надо жать и как ?! диск отсканировал ... все файлы с этимже расширением поиски через кнопку "Поиск" по расширению и по фалам ничего недал, вручную перелапанив большенство системных папок в том числе и темп тоже мало чего дал , может надо както востанавливать( востановил папку темп  ничего там также ненашел).

З.Ы. извеняюсь за ошибки.
Изменено: Александр Котов - 02.11.2015 16:42:50 (Ошибки)
Александр,
в новом варианте ВАУЛТ от 2 ноября нет sec key. тут какой то другой алгоритм шифрования скорее всего применен. не gpg. завтра будет больше ясности.
Пред. 1 ... 4 5 6 7 8 ... 10 След.
Читают тему (гостей: 1)