Як відновити файли після вірусу vault

Нещодавно користувачі зіткнулися з новою загрозою - вірусом, який шифрує файли, замінюючи стандартні розширення. В результаті документи, аудіо та відеозаписи, зображення стають недоступними. За ключ для розшифровки зловмисники вимагають серйозні гроші.

Шифрувальники настільки небезпечні, що від них не можуть врятуватися навіть великі організації: наприклад, в лютому 2016 року Голлівудському пресвітеріанської медичному центру довелося заплатити зловмисникам 17000 $ за ключ для дешифрування. Достеменно невідомо, який шифрувальник попрацював в Голлівуді, але користувачі Рунету зазвичай зустрічаються з вірусом Vault. Тому давайте подивимося, як відновити файли після вірусу Vault, якщо це можливо.

виявлення вірусу

Зараження складно не помітити: файли автоматично почнуть міняти розширення на .vault і перестануть відкриватися, а на екрані з`явиться повідомлення типу «Дані заблоковані. Для їх відновлення необхідно отримати унікальний ключ ». Нижче зазвичай адреса був призначений додатковий сайту і інструкція по оплаті і отримання коду дешифрування.

Якщо ви побачили таке повідомлення, то необхідно негайно вимкнути комп`ютер і витягнути все знімні носії. Vault шифрує інформацію поступово, тому у вас є час, щоб врятувати деякі файли.

Але як вірус потрапив на комп`ютер? Найімовірніше, по електронній пошті. Користувачам приходить лист з важливою темою (кредитна заборгованість, повістка до суду, підтвердження оплати і т.д.), вони послання відкривають, після чого на комп`ютер скачується програма для шифрування і банер Ваулт з інструкцією по оплаті коду дешифрування.

Для шифровки використовується безкоштовна і нешкідлива програма GPG, що застосовує алгоритм RSA-1024. Формально це не вірус, тому антивірусний захист не спрацьовує. Але ключ, необхідний для розшифровки інформації, залишається у хакера, а зламати код не вийде - на це піде кілька років перебору значень. Тому не відкривайте листи від невідомих відправників!

видалення шифрувальника

Видалити Ваулт досить просто: він не глибоко проникає в систему і псує життя тільки тим, що закриває доступ до інформації. Для чищення системи використовуйте лікує утиліту Dr.Web CureIt! або Kaspersky Virus Removal Tool. Запускати ці утиліти слід в безпечному режимі Windows.

Порядок простий:

1. Запустіть утиліту, виконайте глибоке сканування.
2. Видаліть виявлене шкідливе ПЗ.

Додатково слід видалити компоненти Ваулт, які зберігаються в прихованій папці за адресою C: Users Користувач AppData Loca Temp. Структура шкідливого коду виглядає наступним чином:

• 3c21b8d9.cmd.
• fabac41c.js.
• 04fba9ba_VAULT.KEY.
• VAULT.txt.
• Sdc0.bat.
• CONFIRMATION.KEY.
• VAULT.KEY.

Останні два компонента вам знадобляться, якщо ви вирішите заплатити зловмисникам за розшифровку. У них зберігається відкрита частина ключа (у хакерів закрита частина, без якої код не зняти) і інформація про кількість зашифрованих даних.

Є й інший варіант - записати на флешку Kaspersky Rescue Disk і завантажити з неї комп`ютер. Вам знадобиться працює комп`ютер, флешка, утиліта для запису і образ Kaspersky Rescue Disk 10.

За посиланням для скачування ви знайдете повну інструкцію по запису Kaspersky Rescue Disk на флеш-накопичувач. Після такого очищення системи можна приступати до розшифровки інформації.

розшифровка файлів

З шкідливим ПЗ ви швидко впораєтеся, але далі виникне серйозна проблема - не існує дешифратора, який швидко відкриє доступ до інформації, зашифрованої за алгоритмом RSA-1024. Позиція великих розробників антивірусного ПО зводиться до того, що у них немає технічної можливості зламати код. Тому варіантів залишається небагато:

• Якщо загублена інформація, яка не представляє великої цінності, то її простіше видалити з комп`ютера. І запам`ятати, що не потрібно відкривати дивні листи від невідомих відправників.
• Якщо зашифровані дані представляють велику цінність, доведеться заплатити відправникам вірусного ПЗ. Це крайній варіант, тому що немає впевненості, що вас не обдурять. До того ж ви стимулюєте зловмисників продовжувати розсилати заражені листи, адже це приносить їм гроші.

З доступних способів розшифровки можна спробувати кілька варіантів, але немає гарантії, що вони дадуть позитивний результат:

1. Зверніться на форум технічної підтримки великих розробників антивірусних програм. Лабораторія Касперського, Dr.Web, ESET. База даних шифрувальників постійно розширюється. Опишіть докладно проблему, можливо, у них знайдуться інструменти для її вирішення.
2. Використовуйте тіньові копії файлів (актуально, якщо була включена захист системи).

Відкрийте властивості зашифрованого файлу і перейдіть на вкладку «Попередні версії».

Якщо є колишні, незашифровані редакції, то ви можете їх відкрити або відновити. У такому випадку дані з розширенням .vault потрібно видалити з комп`ютера. На жаль, інших працюючих способів немає. Тому краще уникати зустрічі з шифрувальником: не відкривати дивні листи, не викачувати підозрілі програми, не переходити з невідомих посиланнях.