Vault virusu faylları necə bərpa etmək olar. .vault uzantılı fayl necə açılır

  1. Çox güman ki, fayllarınızı şifrələmək kimi bir problemlə qarşılaşdınız və buna görə də məlumatınız və ya istəyiniz olmadan. Sizə poçtla və çox güman ki, artıq yazışdığınız təsdiqlənmiş göndəricidən gələn məktubda bir keçid açmaqla. Amma bəlkə də reklam olaraq! Ancaq fakt budur ki, sizdə aşağıdakı kimi özünü göstərən simptomlar var:

    2. Birdən Notepad-da aşağıdakı məzmunlu mətn faylı açılır:

    1. İş sənədləriniz və verilənlər bazalarınız kilidlənib və .vault formatı ilə işarələnib
    2. Onları bərpa etmək üçün unikal açar əldə etməlisiniz
    3. Açarın əldə edilməsi proseduru:
    4. QISA
    5. 1. Veb resursumuza keçin
    6. 2. Açarınızı almağa zəmanət verilir
    7. 3. Faylları orijinal formasına qaytarın
    8. ƏTRAFLI
    9. Addım 1:
    10. Tor brauzerini rəsmi internet saytından yükləyin:
      11. https://www.torproject.org
    11. Addım 2:
    12. Tor brauzerindən istifadə edərək sayta daxil olun:
      13. https://restoredz4xpmuqr.onion
    13. Addım 3:
    14. Kompüterinizdə unikal VAULT.KEY-inizi tapın - bu, şəxsi müştəri panelinizin açarıdır. Onu silməyin
    15. VAULT.KEY açarından istifadə edərək sayta daxil olun
    16. Tez-tez verilən suallar bölməsinə keçin və sonrakı proseduru oxuyun
    17. ADDIM 4:
    18. Açarı aldıqdan sonra siz açıq mənbə proqramımızdan istifadə edərək faylları bərpa edə və ya öz proqram təminatınızı təhlükəsiz istifadə edə bilərsiniz
    19. ƏLAVƏ OLARAQ
    20. a) Unikal açar olmadan faylları bərpa edə bilməyəcəksiniz (bu, serverimizdə etibarlı şəkildə saxlanılır)
    21. b) VAULT.KEY-nizi tapa bilmirsinizsə, müvəqqəti TEMP qovluğuna baxın
    22. c) Bərpa dəyəriniz yekun deyil, söhbətə yazın
    23. Bloklanma tarixi: 04/08/2015 (11:14)
  2. Öz mülahizənizlə. Siz faylda yazıldığı kimi edə bilərsiniz (amma mən etməzdim). Niyə? Etibarlı olmadığı üçün qəsbçilərə pul vermək onların gücünü dəstəkləmək və inkişaf etdirməkdir. Və sonra, çox güman ki, bir şifrə açma açarı alacaqsınız.
  3. Belə bir mesajın görünüşü artıq kassa virusunun kompüterinizə yoluxduğunu və faylları şifrələməyə başladığını bildirir. Bu anda dərhal kompüteri söndürməli, şəbəkədən ayırmalı və bütün çıxarıla bilən medianı çıxarmalısınız. Virusu necə müalicə etmək barədə daha sonra danışacağıq, lakin hələlik sisteminizdə baş verənləri sizə danışacağam.
  4. Çox güman ki, etibarlı bir qarşı tərəfdən poçtla məktub aldınız və ya tanınmış bir təşkilat kimi gizləndiniz. Bu, müəyyən bir müddət üçün mühasibat uzlaşmasının aparılması tələbi, müqaviləyə əsasən hesab-fakturanın ödənilməsini təsdiqləmək tələbi, əmanət bankında kredit borcu ilə tanış olmaq təklifi və ya başqa bir şey ola bilər. Ancaq məlumat elə olacaq ki, sizi mütləq maraqlandıracaq və virusla birlikdə e-poçt əlavəsini açacaqsınız. Bizim ümid etdiyimiz budur.
  5. Beləliklə, siz .js uzantısı olan və Java skripti olan qoşma açırsınız. Teorik olaraq, bu, artıq sizi xəbərdar etməli və açılmağınıza mane olmalıdır, lakin bu sətirləri oxuyursunuzsa, bu, sizi xəbərdar etmədiyi və sizi dayandırmadığı anlamına gəlir. Skript bu vəziyyətdə adlandırıla biləcəyi kimi Trojan və ya Banner Vault və təcavüzkarların serverindən şifrələmə proqramını yükləyir. Bütün bunları istifadəçinin müvəqqəti kataloquna qoyur. Faylların şifrələnməsi prosesi dərhal istifadəçinin çıxışı olan bütün yerlərdə başlayır - şəbəkə sürücüləri, fləş disklər, xarici sərt disklər və s.
  6. Vault şifrələyicisi pulsuz gpg şifrələmə proqramı və məşhur şifrələmə alqoritmidir - RSA-1024. Öz mahiyyətinə görə bu yardım proqramı bir çox yerlərdə istifadə olunduğundan və özü bir virus olmadığından, antiviruslar onu buraxır və işinə mane olmur. Faylları şifrələmək üçün açıq və gizli açar yaradılır. Şəxsi açar hakerlərin serverində qalır, istifadəçinin kompüterində açıqdır.
  7. Şifrələmə prosesi başladıqdan sonra bir müddət keçir. Bu, bir neçə amildən asılıdır - fayla giriş sürəti, kompüterin performansı. Sonra mətn faylında məlumat mesajı görünür, məzmununu əvvəlində təqdim etdim. Hazırda məlumatların bir hissəsi artıq şifrələnib.
  8. Konkret olaraq, mən yalnız 32 bitlik sistemlərdə işləyən vault virusunun modifikasiyasına rast gəldim. Üstəlik, UAC aktivləşdirilmiş Windows 7-də administrator parolunu daxil etmək üçün sorğu açılır. Şifrəni daxil etmədən virus heç nə edə bilməz. Windows XP-də heç bir sual vermədən poçtdan faylı açdıqdan dərhal sonra işə başlayır.

    9. Virus vault genişlənməsini doc, jpg, xls və digər fayllara yerləşdirir

  9. Virus faylları tam olaraq nə edir? İlk baxışdan görünür ki, o, sadəcə olaraq genişlənməni standartdan .vault-a dəyişir. Bu virus şifrələyicisinin işini ilk görəndə bunun uşaq fırıldağı olduğunu düşündüm. Faylın adını yenidən dəyişdirdim və gözlənildiyi kimi açılmayanda çox təəccübləndim, lakin tələb olunan məzmunun əvəzinə anlaşılmaz simvolların qarışıqlığı açıldı. Sonra başa düşdüm ki, hər şey o qədər də sadə deyil, mən bunu anlamağa və məlumat axtarmağa başladım.
  10. Virus bütün məşhur fayl növlərinə - doc, docx, xls, xlsx, jpeg, pdf və s. Standart fayl adına yeni genişləndirmə .vault əlavə edildi. Bəziləri üçün o, həmçinin yerli 1C verilənlər bazası ilə faylları şifrələyir. Bunların heç biri məndə yox idi, ona görə də şəxsən müşahidə etmədim. Sadəcə olaraq faylın adının dəyişdirilməsi, başa düşdüyünüz kimi, burada kömək etmir.
  11. Şifrələmə prosesi ani olmadığı üçün belə ola bilər ki, siz kompüterinizdə virus olduğunu bildiyiniz zaman faylların bəziləri hələ də normal qalacaq, bəziləri isə yoluxacaq. Çox hissəsi toxunulmaz qalsa yaxşıdır. Ancaq çox vaxt buna arxalana bilməzsiniz.
  12. Uzatma dəyişikliyinin arxasında nəyin gizləndiyini sizə deyəcəyəm. Məsələn, onun yanında olan file.doc faylını şifrələdikdən sonra kassa virusu şifrələnmiş file.doc.gpg faylı yaradır, sonra şifrələnmiş fayl.doc.gpg yeni ad faylı ilə orijinalın yerinə köçürülür. .doc və yalnız bundan sonra onun adı doc.vault olaraq dəyişdirilir. Belə çıxır ki, orijinal fayl silinmir, ancaq şifrələnmiş sənədlə üzərinə yazılır. Bundan sonra, silinmiş faylları bərpa etmək üçün standart vasitələrdən istifadə edərək bərpa edilə bilməz. Budur, oxşar funksiyanı həyata keçirən kodun bir hissəsi:

    13. dir /B "%1:"&& üçün /r "%1:" %%i in (*.xls *.doc) edin (echo "%%TeMp%%\svchost.exe" -r Cellar --bəli - q --no-verbose --trust-model həmişə --şifrləmə-faylları "%%i"^& köçürün /y "%%i.gpg" "%%i"^& adını dəyişin "%%i" "%% ~nxi.vault">> "%temp%\cryptlist.lst" echo %%i>> "%temp%\conf.list")

    Kassa virusunu necə çıxarmaq və kompüterinizi müalicə etmək olar

  13. Bir ransomware virusu aşkar etdikdən sonra etməli olduğunuz ilk şey kompüterinizi dezinfeksiya etməklə ondan xilas olmaqdır. Bir növ açılış diskindən yükləmək və sistemi əl ilə təmizləmək yaxşıdır. Virus anbarı sistemdə korroziya baxımından mürəkkəb deyil, onu özünüz təmizləmək asandır. Şifrələyici virusları, bannerləri və troyanları silmək üçün standart tövsiyələr burada uyğun olduğundan bu nöqtəyə ətraflı toxunmayacağam.
  14. Virusun bədəni özü onu işə salan istifadəçinin müvəqqəti müvəqqəti qovluğunda yerləşir. Virus aşağıdakı fayllardan ibarətdir. Adlar dəyişə bilər, lakin struktur təxminən eyni olacaq:
  • 3c21b8d9.cmd
  • 04fba9ba_VAULT.KEY
  • TƏSDİQ.AÇAR
  • fabac41c.js
  • Sdc0.bat
  • VAULT.KEY
  • VAULT.txt
  • VAULT.KEY - şifrələmə açarı. Əgər məlumatlarınızın şifrəsini açmaq istəyirsinizsə, bu faylı yadda saxlamalısınız. O, təcavüzkarlara ötürülür və bunun əsasında onlar sizə şifrəni açmaq üçün istifadə olunacaq ikinci açar cütünü verirlər. Bu fayl itirilsə, məlumatları pulla belə bərpa etmək mümkün olmayacaq.
  • CONFIRMATION.KEY - şifrələnmiş fayllar haqqında məlumat ehtiva edir. Cinayətkarlar sizdən nə qədər pul alacağını hesablamaq üçün ondan xahiş edəcəklər.
  • Qalan fayllar xidmət fayllarıdır və silinə bilər. Silindikdən sonra başlanğıcda silinmiş fayllara keçidlər və səhvlər olmaması üçün başlanğıcı təmizləməlisiniz. İndi siz kompüteri işə salıb faciənin miqyasını qiymətləndirə bilərsiniz.

    • Kassa virusundan sonra faylları necə bərpa etmək və şifrəsini açmaq olar

  • Burada ən vacib məqama gəlirik. Məlumatlarımızı necə geri ala bilərik? Biz kompüteri dezinfeksiya etdik və şifrələməni dayandıraraq onu bərpa etdik. İndi biz faylların şifrəsini açmağa çalışmalıyıq. Əlbəttə ki, ən asan və ən arzuolunan şey deşifrə üçün hazır dekoder əldə etmək olardı, lakin bu, mövcud deyil. Təəssüf ki, RSA-1024 açarı ilə şifrələnmiş məlumatların şifrəsini açmaq üçün bir vasitə yaratmaq texniki cəhətdən mümkün deyil.
  • Sistem qorunmasını aktivləşdirsəniz, çox şanslısınız. Hər bir disk üçün ayrıca aktivləşdirilir. Əgər bu edilibsə, onda siz fayl və qovluqların əvvəlki versiyalarını bərpa etmək üçün alətdən istifadə edə bilərsiniz. O, fayl xüsusiyyətlərində yerləşir. Daha ətraflı məlumat üçün İnternetdə axtarış edə bilərsiniz, bu bərpa aləti haqqında çoxlu məqalələr var.
  • Şəbəkə disklərində şifrələnmiş fayllarınız varsa, arxivləşdirilmiş nüsxələri axtarın, bu disklərdə zibil qutusunun aktiv olub olmadığını yoxlayın, orijinal sənədləriniz orada olacaq. Şəbəkə sürücülərində standart olmasa da, ayrıca konfiqurasiya edilə bilər. Mən bunu ən çox şəbəkə paylaşımlarını qurarkən edirəm. Yerli məlumatlarınızın ehtiyat nüsxələrinin olub olmadığını düşünün.
  • Yandex kimi İnternetdəki məlumat saxlama qurğularına qoşulmuş qovluqlardakı məlumatları zədələmiş olsanız. Disk, Dropbox, Google disk, zibil qutusuna baxın, şifrələmədən əvvəl orijinal fayllar orada qalmalıdır.
  • Faylı tapmağa çalışın secret.gpg.Bu fayl şifrələmə prosesi başlayan zaman sizin maşınınızda yaradılmalıdır (adətən istifadəçinin %TEMP%). Təəssüf ki, secring.gpg-ni uğurla axtarmaq ehtimalı azdır, çünki şifrələyici yardım proqramından istifadə edərək bu açarı diqqətlə silir. sdelete.exe:

    • "%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"

  • Bu açarı əldə etmək üçün şifrələyicini yenidən işə salmaq kömək etməyəcək. Açar fərqli barmaq izi və ID ilə yaradılacaq və sənədlərinizin şifrəsini açmaq üçün uyğun olmayacaq. Silinmiş fayllar arasında bu açarı axtarmağa çalışın, lakin ölçüsünün sıfırdan fərqli ~1Kb olduğundan əmin olun.
  • Yuxarıda göstərilənlərin heç biri sizə kömək etməyibsə və məlumat çox vacibdirsə, yalnız bir seçiminiz var - virusun yaradıcılarına pul ödəyin. Ancaq yuxarıda yazdığım kimi, şəxsən bunu etməzdim. Kassa virusu o qədər populyardır ki, İnternetdə bəzi yoldaşların məlumatların şifrəsinin açılmasının qiymətini azaltmaq üçün hakerlərlə pul müqabilində sövdələşmə təklif etdiyi reklamlar peyda oldu. Bilmirəm, qiyməti nə dərəcədə aşağı salırlar və ümumiyyətlə, onlar sizin pulunuzu alıb qaçacaq fırıldaqçılardır; Çox güman ki, belə olacaq. Ümumiyyətlə, bunun sırf cinayət olduğu ortaya çıxır. Hətta hökumət terrorçulara pul vermir, amma həyatlar təhlükə altındadır. Siz qərar verin. Bir şey olarsa yazın.

    • Kaspersky, drweb və digər antiviruslar ransomware ilə mübarizə aparır

  • Bu şifrələnmiş bəlaya qarşı mübarizədə antiviruslar bizə nə təklif edə bilər? Şəxsən mən Kaspersky proqramının quraşdırılmış və tam yenilənmiş lisenziyalı versiyası olan kompüterlərin virusa yoluxmasının şahidi oldum. O, ransomware proqramının işə salınmasına heç bir reaksiya vermədi. Bu, 2015-ci ilin may ayının əvvəlində idi. Ola bilsin ki, artıq bir şey dəyişib, amma bu məsələ ilə bağlı məlumat axtardığım zaman heç bir virus istifadəçinin bu cür təhdidlərdən qorunmasına zəmanət vermir. Mən məşhur antivirusların forumlarını oxudum - Kaspersky, DrWeb və başqaları. Hər yerdə çiyinlərini çəkirlər. Faylların şifrəsini açmaq üçün sizə məlum olmayan başqa bir yardım proqramı yükləmək təklif edilərsə. Bunu etməməlisiniz, çox güman ki, başqa bir virus alacaqsınız.

    • Vault virusundan qorunma üsulları

  • Bu virus üçün xüsusi olaraq qorunma üsulları yoxdur, yalnız bütün viruslar üçün ümumi qəbul edilənlər var.
  • İstər poçtda, istərsə də İnternetdən yüklənmiş naməlum proqramları işə salmayın. İnternetdən heç nə yükləməməyə və ya işə salmamağa çalışın. İndi fayl zibilliklərində o qədər murdar şeylər var ki, lazımi anlayış olmadan özünüzü onlardan qorumaq demək olar ki, mümkün deyil. Səlahiyyətli bir dostunuzdan İnternetdə bir şey tapmasını xahiş edin və buna görə ona təşəkkür edin.
  • Həmişə vacib məlumatların ehtiyat nüsxəsinə sahib olun. Üstəlik, kompüterdən və ya şəbəkədən ayrılmış vəziyyətdə saxlanmalıdır. Yedək nüsxələri üçün ayrı bir flash sürücü və ya xarici sabit disk saxlayın. Onları həftədə bir dəfə kompüterinizə qoşun, faylları kopyalayın, ayırın və artıq istifadə etməyin. Gündəlik ehtiyaclar üçün ayrıca cihazlar alın, indi onlar çox münasibdir, qənaət etməyin. Müasir informasiya texnologiyaları əsrində informasiya ən qiymətli resursdur, mediadan daha vacibdir. Mühüm məlumatları itirməkdənsə, əlavə bir flash sürücü almaq daha yaxşıdır.
  • Kompüterdə baş verən proseslər haqqında anlayışınızı artırın. İndiki vaxtda kompüterlər, planşetlər, noutbuklar və smartfonlar həyatımızın o qədər ayrılmaz hissəsinə çevrilib ki, onları dərk edə bilməmək həyatın müasir ritmindən geri qalmaq deməkdir. Özünüz bunu necə edəcəyinizi öyrənməsəniz, heç bir antivirus və ya mütəxəssis məlumatlarınızı qoruya bilməyəcək. Vaxt ayırın, informasiya təhlükəsizliyi ilə bağlı aktual məqalələri oxuyun, müvafiq kurslar keçin və kompüter savadınızı artırın. Bu, müasir həyatda mütləq faydalı olacaq.

    • Bu yaxınlarda istifadəçilər yeni təhlükə ilə qarşılaşdılar - standart genişləndirmələri əvəz edərək faylları şifrələyən virus. Nəticədə sənədlər, audio və video yazılar, şəkillər əlçatmaz olur. Təcavüzkarlar şifrənin açılması üçün ciddi pul tələb edirlər.


    Şifrələyicilər o qədər təhlükəlidir ki, hətta iri təşkilatlar belə onlardan qaça bilmir: məsələn, 2016-cı ilin fevralında Hollivud Presviterian Tibb Mərkəzi təcavüzkarlara şifrəni açmaq üçün 17 000 dollar ödəməli oldu. Hollivudda hansı ransomware proqramının işlədiyi məlum deyil, lakin Runet istifadəçiləri adətən Vault virusu ilə qarşılaşırlar. Beləliklə, mümkünsə, Vault virusundan sonra faylları necə bərpa edəcəyimizi görək.

    Vault virusundan sonra faylları necə bərpa etmək olar


    Virus aşkarlanması

    İnfeksiyanı qaçırmaq çətindir: fayllar avtomatik olaraq genişləndirilməsini .vault-a dəyişəcək və açılmasını dayandıracaq və “Məlumat bloklanıb. Onları bərpa etmək üçün unikal açar əldə etməlisiniz." Aşağıda adətən veb-sayt ünvanı və deşifrə kodunun ödənilməsi və alınması üçün təlimatlar verilir.


    Belə bir mesaj görsəniz, dərhal kompüterinizi söndürməli və bütün çıxarıla bilən medianı çıxarmalısınız. Vault məlumatları tədricən şifrələyir, ona görə də bəzi faylları saxlamaq üçün vaxtınız olur.


    Bəs virus kompüterə necə daxil oldu? Çox güman ki, e-poçt vasitəsilə. İstifadəçilər vacib bir mövzu (kredit borcu, çağırış, ödənişin təsdiqi və s.) olan məktub alırlar, mesajı açır, bundan sonra şifrələmə proqramı və şifrə açma kodunun ödənilməsi üçün təlimatları olan Vault banneri kompüterə yüklənir.


    Şifrələmə üçün biz RSA-1024 alqoritmini istifadə edən pulsuz və zərərsiz GPG proqramından istifadə edirik. Formal olaraq bu virus deyil, ona görə də antivirusdan qorunma işləmir. Lakin məlumatın şifrəsini açmaq üçün lazım olan açar hakerdə qalır və kodu sındırmaq mümkün olmayacaq - dəyərlər arasında axtarış aparmaq bir neçə il çəkəcək. Ona görə də naməlum göndərənlərdən gələn e-poçtları açmayın!

    Ransomware proqramının silinməsi

    Vault-u silmək olduqca sadədir: o, sistemə dərindən nüfuz etmir və yalnız məlumatlara girişi əngəlləməklə həyatı korlayır. Sistemi təmizləmək üçün Dr.Web CureIt! və ya Kaspersky Virus Təmizləmə Aləti. Bu yardım proqramları Windows Safe Mode-da işlədilməlidir.



    Prosedur sadədir:




    Bundan əlavə, siz C:\Users\User\AppData\Loca\Temp ünvanında gizli qovluqda saxlanılan Vault komponentlərini silməlisiniz. Zərərli kodun strukturu aşağıdakı kimidir:


    • 3c21b8d9.cmd.

    • fabac41c.js.

    • 04fba9ba_VAULT.KEY.

    • VAULT.txt.

    • Sdc0.bat.

    • TƏSDİQ.AÇAR.

    • VAULT.KEY.

    Şifrənin açılması üçün təcavüzkarlara pul ödəməyə qərar verdiyiniz halda, son iki komponent sizin üçün faydalı olacaq. Onlar açarın ictimai hissəsini (hakerlərin şəxsi hissəsi var, onsuz kodu silmək mümkün deyil) və şifrələnmiş məlumatların miqdarı haqqında məlumatları saxlayırlar.


    Başqa bir seçim var - Kaspersky Rescue Disk-i bir flash sürücüyə yazın və kompüterinizi ondan yükləyin. Sizə işləyən kompüter, fləş sürücü, yanan yardım proqramı və Kaspersky Rescue Disk 10-un şəkli lazımdır.



    Faylın şifrəsinin açılması

    Zərərli proqramla tez bir zamanda məşğul olacaqsınız, lakin sonra ciddi problem yaranacaq - RSA-1024 alqoritmi ilə şifrələnmiş məlumatlara girişi tez bir zamanda açacaq heç bir deşifrəçi yoxdur. Böyük antivirus proqram tərtibatçılarının mövqeyi ondan ibarətdir ki, onların kodu sındırmaq üçün texniki imkanları yoxdur. Beləliklə, bir neçə seçim qalır:


    • Böyük əhəmiyyət kəsb etməyən məlumat itirilərsə, onu kompüterdən silmək daha asandır. Unutmayın ki, naməlum göndəricilərdən gələn qəribə məktubları açmağa ehtiyac yoxdur.

    • Şifrələnmiş məlumat böyük dəyərə malikdirsə, siz virus proqramını göndərənlərə pul ödəməli olacaqsınız. Bu, həddindən artıq seçimdir, çünki aldanmayacağınıza əminlik yoxdur. Bundan əlavə, siz təcavüzkarları yoluxmuş e-poçt göndərməyə davam etməyə təşviq edirsiniz, çünki bu, onlara pul gətirir.

    Mövcud deşifrə üsullarından bir neçə variantı sınaya bilərsiniz, lakin onların müsbət nəticə verəcəyinə zəmanət yoxdur:


    1. Əsas antivirus proqram tərtibatçılarının texniki dəstək forumlarını ziyarət edin. Kaspersky Lab, Dr.Web, ESET. Ransomware verilənlər bazası daim genişlənir. Problemi ətraflı təsvir edin, bəlkə də həll etmək üçün alətləri olacaq.

    2. Faylların kölgə nüsxələrindən istifadə edin (sistemin qorunması aktivləşdirilibsə, müvafiqdir).

    Şifrələnmiş faylın xüsusiyyətlərini açın və "Əvvəlki versiyalar" sekmesine keçin.


    Əvvəlki, şifrələnməmiş nəşrlər varsa, onları aça və ya bərpa edə bilərsiniz. Bu halda, .vault uzantısı olan məlumatlar kompüterdən silinməlidir. Təəssüf ki, başqa iş üsulları yoxdur. Buna görə də, ransomware ilə görüşməkdən çəkinmək daha yaxşıdır: qəribə məktublar açmayın, şübhəli proqramları yükləməyin, naməlum bağlantıları izləməyin.

    Vault virusundan faylları necə bərpa edəcəyinizi öyrənməzdən əvvəl zərərli kodun özü haqqında bir az bilmək lazımdır. Bu “pis canavarın” mexanizmi necə işləyir? Bu istifadəçini necə bu qədər qıcıqlandıra bilər? Nə üçün zədələnmiş fayllarla işləməyə davam edə bilmirəm? Gəlin bu aktual məsələyə daha yaxından nəzər salaq.

    Vault virusu şifrələmə sistemindən istifadə etməklə işləyir: o, faylı götürür, onun surətini yaradır, adları əvəz etməklə onu şifrələyir və artıq kilidlənmiş sənədi sizə təqdim edir. Şifrələmə prosesi kompüterinizin nə qədər güclü olduğundan asılıdır. Disklə məlumat mübadiləsi sürəti yüksəkdirsə, şəxsi fayllarınızın yoluxma sürəti yüksək olacaqdır. Buna görə də, artıq hücum başlandıqda, şifrələnəcək məlumatların miqdarını azaltmaq üçün dərhal kompüteri tamamilə söndürmək tövsiyə olunur.

    Kompüterinizi Vault ilə harada yoluxdura bilərsiniz və özünüzü ondan necə qoruya bilərsiniz?

    Əksər zərərli kodlar kimi, bu virus da İnternetdə əldə edilə bilər. Siz poçtunuza müxtəlif növ məktublar alırsınız (əksər hallarda bank xidmətlərindən, kredit şöbələrindən və ya bəzi dövlət qurumlarından) bu, sizi mütləq maraqlandıracaq və Vault virusunu kompüterinizə endirməyə başlayacaq linki vurmağa məcbur edəcək. və ya noutbuk. Şifrələmə prosesi başa çatdıqdan sonra cihazınızda mətn sənədi görünəcək. Bu sizə sənədlərinizin və məlumatlarınızın şifrələndiyini və onların kilidini açmaq üçün xüsusi açar əldə etməyiniz lazım olduğunu bildirir.

    Antiviruslar praktiki olaraq bu koda reaksiya vermir, çünki o, təbiətinə görə virus olmayan məşhur RSA-1024 şifrələmə alqoritmindən istifadə edir. Bununla əlaqədar bir çox problemlər yaranır: antiviruslar belə gücsüzdürsə, özünüzü zərərli kodlardan necə qorumaq olar? İnternetdə işləyərkən, əlbəttə ki, sayıqlıq çox vacibdir. Hakerlər boş oturmur və internet istifadəçiləri çox asan şikar olurlar. Və hamısı diqqətsizlik üzündən: istifadəçilər hər şeyə, xüsusən də altında "qaranlıq qüvvələrin" gizləndiyi reklam bannerlərinə klikləyirlər. Pop-up reklamlar təkcə baxış təcrübənizə müdaxilə etmir, həm də gələcəkdə sizə texniki problemlər yarada bilər.

    Özünüzü Vault virusundan necə qorumalısınız?

    1. Əgər kompüteriniz artıq ona yoluxubsa, nə etməməli olduğunuzu dəqiq bilirsiniz. Ancaq fayllarınızın niyə şifrələndiyini hələ də anlamırsınızsa, oxuyun.
    2. E-poçt vasitəsilə hər hansı bir məktub alarkən, həmişə aşağıdakı məlumatları diqqətlə yoxlayın: kimdən gəldi (çox vaxt təcavüzkarlar hansısa tanış marka ilə e-poçt ünvanının oxşar adını yazır, lakin istifadəçilərin fərqinə varmamaq üçün kiçik dəyişikliklərlə), mövzu məktub, onun məzmunu (hər hansı şübhəli məktub dərhal poçt qutunuzdan silinməlidir) və məktubun formatı.
    3. Əvvəlcə düşünün: bu şirkətdən poçt siyahıları almaq üçün qeydiyyatdan keçmisiniz? Əgər yoxsa, o zaman onu mütləq qara siyahıya göndərə bilərsiniz. Əgər belədirsə, məktubu göndərənin kim olduğuna bir daha diqqətlə baxın. Bu ünvanı kopyalayın və axtarış sistemində axtarın. Bəlkə də kimsə oxşar bir şeylə qarşılaşdı və forumlarda bunun hansı göndərici olduğunu yazdı. Məktubun mətnini tapmaq üçün eyni metodu kopyalayıb istifadə edə bilərsiniz. Bu, hətta başlamazdan əvvəl "müharibədə qalib gəlməyinizə" imkan verən çox faydalı bir təcrübədir.
    4. Nömrənizi və ya digər məxfi məlumatlarınızı vebsaytlarda və ya İnternet resurslarında heç bir yerə yazmayın.
    5. Ən azı bir nöqtəyə əmin deyilsinizsə, heç vaxt bağlantıları açmayın.

    Bu tövsiyələr kifayət qədər olmalıdır. Bildiyiniz kimi, burada əsas əsas məqam istifadəçinin özünün sayıqlığıdır. Ən kiçik ehtiyatsızlıq fayllarınızın, sənədlərinizin, fotoşəkillərinizin və digər məlumatlarınızın həyatında dönüş nöqtəsi ola bilər.

    Kassa virusunu necə çıxarmaq və kompüterinizi müalicə etmək olar

    İndi gəlin şifrələnmiş faylları necə həyata qaytara biləcəyinizə keçək. Bütün bərpa prosesi üç hissəyə bölünəcək:

    1. Trojan fayllarının silinməsi.
    2. Zədələnmiş sektorların müalicəsi.
    3. İtirilmiş faylların bərpası.

    Hər bir mərhələyə ayrıca baxaq.

    Trojan fayllarının silinməsi

    Zərərli kodlar sistemin Temp qovluğunda saxlanılır (Vault virusu işə salındıqdan sonra). Onların adları belədir:

    1. 3c21b8d9.cmd
    2. 04fba9ba_VAULT.KEY
    3. TƏSDİQ.AÇAR
    4. fabac41c.js
    5. Sdc0.bat
    6. VAULT.KEY
    7. VAULT.txt

    Üçüncü, altıncı və yeddinci fayllar hər ehtimala qarşı saxlanmalı, qalanları isə silinməlidir. VAULT.KEY mütləq şifrənin açılması üçün faydalı olacaq, çünki onsuz siz itirilmiş məlumatı bərpa edə bilməyəcəksiniz, çünki bu, şifrələmə açarından başqa bir şey deyil. Kilidi açma açarını əldə etmək üçün CONFIRMATION.KEY faylı tələb olunur. Vault mətn faylı (nömrə yeddi) təcavüzkarlardan xilas üçün açarı necə əldə edə biləcəyiniz haqqında məlumat ehtiva edir.

    Bir az müalicə

    Ola bilsin ki, bu heç bir nəticə verməyəcək, amma yenə də kompüterinizdə Anti-Virus işə salın. Zərərli faylların skan edilməsi və silinməsi prosedurunu həyata keçirin, lakin əvvəlki sənədlərin silinmədiyinə əmin olun (kompüterinizdə məlumatı bərpa etmək istəyirsinizsə).

    Fayl bərpası

    Birincisi, biz hakerlərə müraciət etmədən pulsuz üsulları sınayacağıq.

    1. Faylın əvvəlki versiyasının bərpası. Windows 7-də sənədin əvvəlki versiyasına qayıtmaq (şəkil, video və ya musiqi və s.) kimi faydalı bir şey var. Faylın üzərinə sağ vurun, sonra "Xüsusiyyətlər" və "Əvvəlki versiyalar" son nişanı. Sistem sənədin köhnə versiyalarının izlərini aşkar edərsə, o zaman özünüzü çox şanslı hesab edin. Əks halda, bu üsul sizə kömək etməyəcək.

    1. Disklərdə və ya digər mənbələrdə ehtiyat sənədlərinizin olub olmadığına baxın. Bu funksiyanı konfiqurasiya etməmisinizsə, ehtimal ki, mövcud deyil. Yedəkləmələr ya kompüterdəki başqa bir yerli diskə və ya xarici yaddaş qurğusuna edilir.
    2. Bütün cihazlarda (onlayn məlumat saxlama xidmətləri, sərt disklər, kompüterlər, noutbuklar) zibil qutusunu yoxlayın. Bəzi məlumatların olması ehtimalı azdır.
    3. Metodların heç biri kömək etmirsə, yalnız fırıldaqçılara pul ödəmək qalır. Əgər həqiqətən itirilmiş məlumatlara ehtiyacınız varsa, bu yeganə seçimdir. Bu yolla siz Vault virusu tərəfindən zədələnmiş faylların şifrəsini açmağı öyrənə bilərsiniz. İstifadəçilər bu metodun həqiqətən kömək etdiyi və açarı daxil etdikdən sonra məlumatların bərpa edildiyi barədə rəyləri onlayn paylaşırlar. Yəqin ki, hakerlər sadəcə pul tələb edirdilərsə, bir neçə mənfi rəydən sonra heç kim onu ​​göndərməzdi.

    Gəlin ümumiləşdirək

    Bu gün siz Vault virusunun nə olduğunu və işlədikdən sonra faylları necə bərpa edəcəyinizi öyrəndiniz. Əlbəttə ki, üsullar ən xoş deyil (xüsusilə dördüncü), ancaq diqqətsizliyiniz üçün ödəməlisiniz. Ümid edirik ki, növbəti dəfə daha diqqətli olacaqsınız və belə xoşagəlməz vəziyyətə düşməyəcəksiniz. Virusla mübarizənizin nəticələrini şərhlərdə mütləq paylaşın.

    Vault virusu e-poçtda müəyyən bir məktubu açdıqdan sonra kompüterinizə daxil olan məlumat şifrələyicisidir. Məktubda .doc genişləndirilməsi olan sənəd və .js genişləndirilməsi ilə ransomware skriptinin özü var. Sənəddə ətraflı təlimatlar və yoluxmuş faylların şifrəsini açmaq üçün hara getmək və nə qədər ödəmək barədə keçid var.

    Təsirə məruz qalan fayllar .doc, .xls, .pdf və ya .jpeg genişlənməsinə əlavə edilmiş .vault genişlənməsinə malikdir.

    Vault virusu - aşkar edildikdə nə etməli

    Fayl infeksiyası aşkar edildikdən sonra ediləcək ilk şey şəbəkədən ayrılmaq və kompüterinizdə və ya Windows Defender-da quraşdırılmış antivirus proqramından istifadə edərək sistemi skan etməkdir.

    Virusun özü adətən Temp qovluğunda (C:/Windows/Temp) yerləşir və aşağıdakı struktura malikdir:

    Son iki fayl istisna olmaqla, bunların hamısı silindi:

    • VAULT.KEY şifrələmə açarıdır.
    • CONFIRMATION.KEY - bloklanmış faylların sayı haqqında dəqiq məlumatı ehtiva edir.

    Vault virusu - faylları necə bərpa etmək olar. Metod №1

    • Yoluxmuş faylı sağ klikləyin və ən altındakı "Xüsusiyyətlər" i seçin.
    • Görünən pəncərədə "Əvvəlki versiyalar" sekmesine keçin.
    • Burada, "Fayl versiyaları" pəncərəsində əvvəllər saxlanmış faylı seçin və "Geri yüklə" düyməsini basın.
    • Budur, fayl bərpa olunur və sonrakı istifadəyə hazırdır.
    • Və ya Başlat menyusu / İdarəetmə Paneli / Sistem / Bərpa / və sağdakı menyuda "Fayl Bərpası" nı seçin.

    Və görünən pəncərədə "Fayllarımı bərpa et" düyməsini basın.

    Bu metodun bir xüsusiyyəti var, o, kompüterdə “Sistem Bərpa Nöqtələri” yaratmağı unutmadıqda işləyir.


    Vault virusu - faylları necə bərpa etmək olar. Metod № 2

    Bu, kömək üçün antivirus laboratoriyalarına müraciət edə bilməyinizdədir. Məsələn, Kaspersky Lab və ya Dr. Veb. Onların adətən hazır həlləri olur. Kaspersky RectorDecryptor, təsirlənmiş faylları avtomatik axtaran və düzəldən proqrama malikdir.

    Dr. Web öz deşifrəni açan Dr web VAULT təklif edir.

    • Onu yüklədikdən və işə saldıqdan sonra .vault uzantılı şifrələnmiş faylı axtarış pəncərəsinə daxil etməlisiniz.
    • Və bir az axtarışdan sonra şifrəsi açılmış faylı əldə edirik.

    Ancaq təəssüf ki, bu üsul da universal deyil. Virusun tərtibatçıları da dayanmır və açarı dəyişdirir və bu həllər Kaspersky və Dr. WEB sadəcə uyğun olmaya bilər.


    Vault virusu - faylları necə bərpa etmək olar. Metod № 3

    Bu üsul qabaqcıl istifadəçilər üçün uyğundur. Onun mahiyyəti ransomware skriptinin özündə deşifrə açarını tapmaqdır. Əsas fayl adı secring.gpg-dir.

    Bu metodun üstünlüyü ondan ibarətdir ki, bu fayl sistemdə mövcud olmaya bilər, yəni ransomware özü tərəfindən silinə bilər.


    Beləliklə, əsas odur ki, təxribata qapılmayın və panikaya düşməyin, xüsusən də pul ödəməyə tələsməyin. Bütün mövcud fayl bərpa üsullarından istifadə etməyə çalışmalısınız.

    Doctor Web antivirus şirkətinin mütəxəssisləri təhlükəli troyan kodlayıcısının fəaliyyəti nəticəsində əlçatmaz hala gələn faylların şifrəsini açmaq üçün texnika hazırlayıblar. Trojan.Encoder.2843, istifadəçilər tərəfindən “Vault” kimi tanınır.

    Dr.Web təsnifatına görə adını alan şifrələyicinin bu versiyası Trojan.Encoder.2843, kütləvi poçt göndərişlərindən istifadə edərək təcavüzkarlar tərəfindən aktiv şəkildə yayılır. JavaScript skripti olan kiçik bir fayl hərflərə əlavə olaraq istifadə olunur. Bu fayl kodlayıcının işləməsini təmin etmək üçün lazım olan qalan hərəkətləri yerinə yetirən tətbiqi çıxarır. Fidyə proqramı troyanının bu versiyası 2 noyabr 2015-ci ildən yayılıb.

    Bu zərərli proqramın iş prinsipi də çox maraqlıdır. Şifrələnmiş dinamik keçid kitabxanası (.DLL) Windows sistem reyestrinə yazılır və troyan kiçik kodu işləyən explorer.exe prosesinə daxil edir, o, faylı reyestrdən yaddaşa oxuyur, şifrəsini açır və idarəetməni ona ötürür. .

    Şifrələnmiş faylların siyahısı Trojan.Encoder.2843 həmçinin sistem reyestrində saxlayır və onların hər biri üçün böyük latın hərflərindən ibarət unikal açardan istifadə edir. Fayl şifrələməsi Blowfish-ECB alqoritmlərindən istifadə etməklə həyata keçirilir, sessiya açarı CryptoAPI interfeysindən istifadə edərək RSA istifadə edərək şifrələnir. Hər bir şifrələnmiş fayla .vault uzantısı təyin edilir.

    Doctor Web mütəxəssisləri bir çox hallarda bu troyan tərəfindən zədələnmiş faylların şifrəsini açmağa imkan verən xüsusi texnika işləyib hazırlayıblar. Zərərli proqramların qurbanı olsanız Trojan.Encoder.2843, aşağıdakı tövsiyələrdən istifadə edin:

    • polisə müvafiq şikayət vermək;
    • Heç bir halda əməliyyat sistemini yenidən quraşdırmağa çalışmayın, hər hansı yardım proqramından istifadə edərək onu “optimallaşdırın” və ya “təmizləyin”;
    • kompüterinizdəki heç bir faylı silməyin;
    • şifrələnmiş faylları özünüz bərpa etməyə çalışmayın;
    • Doctor Web texniki dəstəyi ilə əlaqə saxlayın (bu xidmət Dr.Web kommersiya lisenziyalarının istifadəçiləri üçün pulsuzdur);
    • Hər hansı troyanla şifrələnmiş faylı biletə əlavə edin;
    • texniki dəstək mütəxəssisindən cavab gözləyin; Çox sayda sorğuya görə bu, bir qədər vaxt ala bilər.

    Xatırladırıq ki, faylların şifrəsinin açılması xidmətləri yalnız Dr.Web antivirus məhsulları üçün kommersiya lisenziyası sahiblərinə təqdim olunur. Doctor Web kodlayıcı nəticəsində zədələnmiş bütün faylların şifrəsinin açılmasına tam zəmanət vermir, lakin mütəxəssislərimiz şifrələnmiş məlumatı saxlamaq üçün bütün səyləri göstərəcəklər.



    ƏLAQƏLİ MƏQALƏLƏR