[IMG WIDTH=480 HEIGHT=359]http://s019.radikal.ru/i613/1504/98/2a135d5a843b.jpg[/IMG]
Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия:
1. [URL=http://www.outsidethebox.ms/9960/#versions][B]проверьте наличие теневых копий на дисках[/B][/URL], если есть чистые теневые копии, восстановить документы можно без расшифровки.
Используйте для работы с теневыми копиями [URL=http://www.shadowexplorer.com/downloads.html][B]ShadowExplorer[/B][/URL]
если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование
пространства в 5-10% под теневые копии.
2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
для этого необходимо найти файл [B]secring.gpg[/B].
secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP%
юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает
данный ключ с помощью утилиты [URL=https://technet.microsoft.com/ru-ru/sysinternals/bb897443.aspx][B]sdelete.exe[/B][/URL].
[QUOTE]"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"
[/QUOTE]
Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов
не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.
[B]что делает шифратор с исходными файлами:[/B]
[CODE]dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
echo %%i>> "%temp%\conf.list"
)
[/CODE]после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc,
и только затем переименовывается в 1.doc.vault.
[B]т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
[/B]-------
Добавим, что злоумышленники после завершения шифрования оставляют на диске файлы VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg,
но зашифрованный с помощью pub key злоумышленников, поэтому расшифровать его на нашей стороне невозможно.
В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли
с целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
--------
если sec key найден, вы можете установить [B]GnuPG и GPGShell[/B] и проверить возможность расшифровки.
скачайте отсюда и установите [URL=ftp://ftp.gnupg.org/gcrypt/binary/gnupg-w32cli-1.4.19.exe][B]GnuPG[/B][/URL]
+
отсюда можно скачать [URL=http://www.jumaros.de/rsoft/index.html][B]GPGShell[/B][/URL]
В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------
[B]как можно избежать встречи с VAULT?[/B]
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы [B]*.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat[/B], то такой документ никак не может быть офисным документом.
Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:
[QUOTE]%userprofile%\Local Settings\Temp\_tc\*.js
%userprofile%\Appdata\Local\Temp\_tc\*.js
[/QUOTE]
3. Пробуйте с помощью HIPS запретить запись в файл [B]%TEMP%\pubring.gpg[/B].
в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую
пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.
4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае
шифрование состоится, но известным ключом. Или не состоится.
[B](с), chklst.ru[/B]
