Возможна расшифровка файлов, пострадавших от действия последней версии троянца-шифровальщика «Vault»

Тема в разделе "Борьба с типовыми зловредами", создана пользователем mike 1, 9 ноя 2015.

  1. mike 1
    Онлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, пострадавших от действия опасного троянца-энкодера Trojan.Encoder.2843, известного пользователям под именем «Vault».

    Данная версия шифровальщика, получившая по классификации Dr.Web наименование Trojan.Encoder.2843, активно распространяется злоумышленниками при помощи массовых почтовых рассылок. В качестве вложения в письма используется небольшой файл, содержащий сценарий на языке JavaScript. Этот файл извлекает из себя приложение, которое и выполняет остальные действия, необходимые для обеспечения работы энкодера. Данная версия троянца-шифровальщика распространяется со 2 ноября 2015 года.

    Принцип работы этой вредоносной программы также весьма любопытен. В системный реестр Windows записывается зашифрованная динамическая библиотека (.DLL), а в запущенный процесс explorer.exe троянец встраивает небольшой код, который считывает файл из реестра в память, расшифровывает и передает на него управление.

    Список шифруемых файлов Trojan.Encoder.2843 также хранит в системном реестре и для каждого из них использует уникальный ключ, состоящий из заглавных латинских букв. Шифрование файлов осуществляется с использованием алгоритмов Blowfish-ECB, сессионный ключ шифруется с использованием RSA при помощи интерфейса CryptoAPI. Каждому зашифрованному файлу присваивается расширение .vault.

    Специалисты компании «Доктор Веб» разработали специальную методику, во многих случаях позволяющую расшифровывать пострадавшие от этого троянца файлы. Если вы стали жертвой вредоносной программыTrojan.Encoder.2843, воспользуйтесь следующими рекомендациями:

    • обратитесь с соответствующим заявлением в полицию;
    • ни в коем случае не пытайтесь переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит;
    • не удаляйте никакие файлы на вашем компьютере;
    • не пытайтесь восстановить зашифрованные файлы самостоятельно;
    • обратитесь в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web);
    • к тикету приложите любой зашифрованный троянцем файл;
    • дождитесь ответа специалиста службы технической поддержки; в связи с большим количеством запросов это может занять некоторое время.
    Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания «Доктор Веб» не дает полной гарантии расшифровки всех пострадавших от действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.

    Источник: Возможна расшифровка файлов, пострадавших от действия последней версии троянца-шифровальщика «Vault»
     
    fseto, Kиpилл, akok и 3 другим нравится это.
  2. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Насколько я понимаю из статьи "лечить" до расшифровки файлов OS пораженные Vault настоятельно не рекомендуется?
     
  3. mike 1
    Онлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    akok, можно, но копии удаляемых файлов просто нужно делать. При необходимости найденное можно из карантина восстановить. :)

    + Не рекомендую использовать команды по очистке временных папок, журналов и т.д. для любых шифровальщиков.
     
    Последнее редактирование: 10 ноя 2015
    akok нравится это.
  4. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Ну это и так понятно.

    Мы так и поступаем, значит нечего волноваться
     
  5. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.325
    Симпатии:
    278
    Для чего этот пункт?
    На SZ есть отдельная статья, куда обращаться при заражении вирусом, тоже зачем? Интересно, пользуются ли ею "счастливчики".
     
  6. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    fseto, это текст статьи от др веб без изменений с нашей стороны :)
     
  7. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    На SZ есть не только этот пункт. В той же статье про обращение в милицию написано и про остальные пункты (не заниматься самолечением, не искажать картину преступления и т.д.).
    А также есть тема с разбором предыдущей версии этого шифровальщика. И в этой статье про расшифровку ключевая фраза
     
  8. mike 1
    Онлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
  9. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.038
    Симпатии:
    4.478
    Угу, забыл из скрипта убрать...шаблон.
     
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
  11. fseto
    Оффлайн

    fseto Студент 2 курс

    Сообщения:
    1.325
    Симпатии:
    278
    akok, regist, речь не о том, что где-то, что-то изменено. Повторю вопрос, зачем обращаться в полицию, смогут ли они оказать пострадавшему помощь?
     
  12. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    Это не кошелек, но они смогу прекратить преступную деятельность.
     
  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Конечно сразу результата не будет, но да в будущем благодаря этого возможна расшифровка. Вот свежий пример CoinVault и Bitcryptor больше не угрожают пользователям.
    И напомню, что пока пострадавшие не написали заявление, то дело на авторов шифровальщика никто не заведёт (а как следствие их и ловить никто не будет).
     
  14. mike 1
    Онлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    Тут народ пишет, что уже новая версия появилась vault, возможно что-то исправили.
     

Поделиться этой страницей