[ Закрыто ] VAULT. что делать? , bat encoder / CryptVault

RSS


Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия:

1. проверьте наличие теневых копий на дисках, если есть чистые теневые копии, восстановить документы можно без расшифровки.
Используйте для работы с теневыми копиями ShadowExplorer

если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование
пространства в 5-10% под теневые копии.

2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
для этого необходимо найти файл secring.gpg.
secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP%
юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает
данный ключ с помощью утилиты sdelete.exe.

Цитата
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"
Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов
не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.

что делает шифратор с исходными файлами:
Код
dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
echo %%i>> "%temp%\conf.list"
)

после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc,
и только затем переименовывается в 1.doc.vault.
т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
-------
Добавим,  что злоумышленники после завершения шифрования оставляют на диске файлы  VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg,
но зашифрованный с помощью pub key злоумышленников, поэтому  расшифровать его на нашей стороне невозможно.
В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли
с  целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
--------
если sec key найден, вы можете установить GnuPG и GPGShell и проверить возможность расшифровки.

скачайте отсюда и установите GnuPG
+
отсюда можно скачать GPGShell

В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------

как можно избежать встречи с VAULT?
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом.
Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:
Цитата
%userprofile%\Local Settings\Temp\_tc\*.js
%userprofile%\Appdata\Local\Temp\_tc\*.js
3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg.
в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую
пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае
шифрование состоится, но известным ключом. Или не состоится.

(с), chklst.ru

Ответы

Есть еще несколько моментов которые меня очень смущают , 1 побило только 2 пк в сети остальные не тронуло первый непосредственно который запустил и 2 не знаю каким боком просто так ..., хотелось бы уточнить как он ходит в сети и вместе с ним же был еще 1 вирь который скрывает папки и делает ярлыки ( такое он сделал на общем диске) его я конечно победил но само тело так и не нашел... не нод  не другие приспособы не определили  его не нашли. И самый беспокоящий меня момент  сидел я за своим пк читал ваш форум ( был запущем тим вивер на моем пк когда подхватили сеё чудо) пк в сети , и в один момент без моего ведома к моему рабочему столу  подключились и даже мышкой поводили, но быстро сленяли... Сразу снес его ... но меня терзают смутные сомнения как???! мой же пк не был заражен все с ним гуд проверка новым нодом, куреитом и т.д  ничего не нашло...

Так же общался с несколькими фирмами от которых пришло данное письмо нам , на что они сказали у них всю сеть побило и единственной способ который они увидили сносить систему под корень и т.д. откуда он взялся и почему пошла рассылка с их мыла они недоумевают.
Изменено: Александр Котов - 02.11.2015 19:18:15
На форуме есть раздел: Обнаружение вредоносного кода и ложные срабатывания.
Если есть подозрение на заражение системы, то нужно создать в разделе свою тему > описать проблему и...
Создайть образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
Здравствуйте. Помогите разобраться. 27.10.2015 в 19:31 зашифровались всё файлы на компьютере. Что успел сделать: восстановить теневую копию на диске С, хотя по всей видимости файлы были запущенны с диска D (нашел на диске D secring.gpg с нулевым размером и ряд других вышеупомянутых тут бесполезных файлов с НЕнулевым размером), несколько раз сканировал диски R-studio и вот после очередного сканирования, при перезагрузке компьютера пропала картинка с инструкцией с рабочего стола и на диске С появились файлы pubring.gpg как раз от 27.10.2015 19:31 и НЕнулевой secring.gpg (663 байта) от 27.10.2015 20:42. После чего были установлены GnuPG и GPGShell, в GPGKeys не помню точно но вроде там уже был импортирован ключ Cellar, при Импорте pubring.gpg от 27.10.2015 19:31 пишет, что ключ уже загружен, всё отлично. При импорте secring.gpg пишет что "не найдено данных формата OpenPGP"
P.S.после последнего сканирования диска R-studio, были найдены в удаленных файлах еще 3 файла secring.gpg (не в папке ТЕМР, а в в папках для gif архивов и jpg картинках) все не нулевого размера, но во всех пишет одно и тоже при импорте.
Собственно вопрос в каком направлении двигаться дальше? Есть ли шансы на восстановление и как вообще файлы появились на диске С.
Добрый вечер!
Словили такую заразу сегодня, причем письмо пришло от контрагентов, поэтому и не вызвало ни каких сомнений. Установил и загрузился с чистого жесткого диска Windows7 32bit,  есть тимвивер, могу установить еще хоть что. Беглый осмотр дал: зашифровались только doc, xls, pdf, может еще чего. Картинки, фото, фильмы не тронулись.  в папочке E:\Users\Елена\AppData\Roaming есть файлы CONFIRMATION.key, VAULT.hta, VAULT.key. поймали 2 ноября - похоже новая версия. Скажите, пожалуйста, какой конкретно файл поискать для расшифровки. могу предоставить доступ по тимвиверу. СПАСИБО!!!
Рекувой вот что нашлось - гляньте,пожалуйста, что может помочь. Все фотки (jpg, bmp, png) и фильмы с телефонов не зашифровались!!! среди зашифрованных доков нашел файлы - 0B3F8B00, 14C74E40, 97DC4E40 правда даты там давние 19-03-2013, 4-08-2010.
1.png (250.55 КБ)
Изменено: Алексей Сафронов - 02.11.2015 23:00:28
Поймали вирус 27,10,2015. Нужный файл "pubring.gpg"(не пустой) нашел при помощи r-undelete, по пути "Root\Users\user\AppData\Roaming\gnupg\". Добавил в
GPGKeys


Пробую раскодировать не получается.

gpg: [don't know]: indeterminate length for invalid packet type 4

File: C:\ДОГОВОРА\ДОГОВОР ПОДРЯДА 1.doc
Time: 02.11.2015 22:55:33 (02.11.2015 19:55:33 UTC)


Или я неумею пользоваться GPG или ключ не тот.
Цитата
Андрей Иннокентьев написал:
Собственно вопрос в каком направлении двигаться дальше? Есть ли шансы на восстановление и как вообще файлы появились на диске С.
вышлите в почту safety@chklst.ru найденные ключи pubring.gpg, secring.gpg и несколько зашифрованных файлов
Цитата
Андрей Бугоров написал:
Поймали вирус 27,10,2015. Нужный файл "pubring.gpg"(не пустой) нашел при помощи r-undelete, по пути "Root\Users\user\AppData\Roaming\gnupg". Добавил в
GPGKeys
Андрей, для расшифровки документов нужен не pubring.gpg а secring.gpg. Это касается шифрования ВАУЛТ до 30 ноября.
со второго ноября ВАУЛТ использует другой алгоритм шифрования.
Santy, подскажите, пожалуйста. Похоже словили новый вирус - фотки не тронуты, *.mov тоже.  Рекувой доступны следующие файлы- посмотрите, пожалуйста, на фотке выше. Если что то более-менее похожее на ключ - скажите восстановлю и вышлю Вам вместе с шифрованными файлами. диски F и E  - это бывшие С и D (было 2 жестких - один с виндой и второй с профилем пользователя и всякими файлами). второй и третий сверху в папочке F:\Windows\Temp - очень похожи на то что нужно. Можно Вам выслать? СПАСИБО!!!
Алексей  Сафонов,
вышлите в почту safety@chklst.ru
Добрый день.
2 ноября поймали этот вирус. Примерное время заражения знаем.
Восстановил программой R-Studio на отдельный диск все файлы, созданные между 2 и 3-м числом.
Имеются CONFIRMATION.KEY и VAULT.KEY, файлы pubring.gpg а secring.gpg в удалённых не найдены.
Можем выслать образцы зашифрованных файлов, и восстановленные файлы, созданные в за период заражения.
Какие файлы вам можно выслать для анализа? У нас, как я понимаю, новая версия этого вируса.

Спасибо.

 
Читают тему (гостей: 1)