Как восстановить файлы после вируса Vault: советы для юзеров

Введение. Немного о самом вирусе Vault

Прежде чем узнать о том, как восстановить файлы после вируса Vault, нужно немного узнать о самом вредоносном коде. Как же действует механизм этого «злого монстра»? Чем же он может так насолить пользователю? Почему нельзя продолжать работу с повреждёнными файлами? Давайте рассмотрим эту актуальную проблему подробнее.

Давайте разбираться, как восстановить файлы после вируса Vault

Вирус Vault работает по шифровальной системе: он берёт файл, создаёт его копию, шифрует его, подменяя имена, и представляет вам уже заблокированный документ. Процесс шифрования зависит от того, насколько мощный у вас компьютер. Если скорость обмена данных с диском высокая, то и быстрота заражения ваших личных файлов будет велика. Поэтому при уже запущенной атаке рекомендуется сразу отключать компьютер полностью, дабы сократить количество информации, которая будет зашифрована.

Установка Vault

Для развёртывания Vault в Проде, вам понадобится init скрипт, который в комплект не входит. Можно написать свой, упаковать Vault в Docker контейнер (самый простой вариант) или демонизировать его с помощью Supervisord.

Следующий этап — выбор хранилища: места, где Vault будет хранить ваши sensitive данные. Можно использовать файлы, S3, MySQL, Consul и т.д.

Лично я нахожу S3 сбалансированным решением между простотой использования и надёжностью. В Vault версии 0.4 вы не можете вывести список секретов, но сможете проверить их через Amazon Console.

# vault.hclbackend "s3" {  bucket = "vault"  access_key = "AKIAIPR2HA"  secret_key = "nO6TK2NAPpZkBf+iSWrnQAojIp"  region = "eu-west-1"}listener "tcp" {  address = "127.0.0.1:8200"   tls_disable = 1}vault server -config=vault.hclvault init# Key 1: 4cdc4cccb9e2ddda8a2163e8d1a1b94522e6e9c6d25d6a5a12e9677262547c1401# Key 2: 8b94a7e4614956778ccce9a185d736e9d4a86dd75ca588056f9c10da60a8f31d02# Key 3: 42378fbd9549091da0bcf6c14f9287e961e0738eb129b4b28d79538e702ab9db03# Key 4: b35c835644358269219fd75378507380d9cc76ca47fe5f64ce28b28e9eb5f82c04# Key 5: 7affab0fb035dd030defc833b215c2806c846893aa7263d32ccdf1da8e37b2ea05# Initial Root Token: 8a5dbab4-43cc-8b8d-e6a6-04d5e458dca9# You have to provide any 3 of the 5 keys printed to stdout after the init commandvault unseal# authenticate with the root token, configure Vault, set policies, etc.vault auth 8a5dbab4-43cc-8b8d-e6a6-04d5e458dca9

Vault использует TLS сертификат для защиты TCP сокета, на котором исполняется. Вам придётся сгенерировать один и в документации не поясняется, как это сделать. Docker использует схожий механизм безопасности, так что его документация может стать референсом.

Вариантом попроще для охраны вашего экземпляра Vault может стать фронтенд через nginx/apache. К примеру, вы можете настроить basic auth или разрешить доступ только с определённых IP.

# Full configuration at https://mozilla.github.io/server-side-tls/ssl-config-generator/# /etc/nginx/sites-enabled/vaultserver {        listen 80;        listen 443 ssl;        server_name vault;        return 301 https://vault.yourdomain.com$request_uri;    }        server {        listen 443 ssl;        location / {            proxy_buffering    off;            proxy_pass         http://127.0.0.1:8200;            proxy_redirect     off;            proxy_set_header   Host $http_host;        }}

Вирус Vault. Инструкция о том как можно восстановить файлы

Шифрование данных — это новый способ с помощью которого мошенники пытаются получить денежные средства с обманутых людей. По сети, уже очень давно ходит такие вирусы, которые шифруют все документы, картинки и прочее файлы, устанавливая им различные не понятные расширения, после чего появляется сообщение о том, что для расшифровки нужно отправить 5000 рублей, и только тогда вы сможете получить обратно свои файлы.

Как бы это не было грустно, но многие ведутся на эти обманны и попросту из-за безысходности, да бы сохранить свои фотки или вордовские документы, платят этим мошенникам деньги, чем и мотивируют их на продолжение своей беззаконной деятельности.

Видимо это была какая-то очередная массовая рассылка, потому что данную проблему я обнаружил у двух моих знакомых, как оказалось позже, что и на работе вирусом Vault заразилось ещё одиннадцать компьютеров.

Как удалить вирус vault и вылечить компьютер

Теперь перейдём к тому, как можно вернуть к жизни зашифрованные файлы. Весь процесс восстановления будет разбит на три части:

Удаление троянских файлов.
Лечение повреждённых секторов.
Возвращение потерянных файлов.

Давайте рассмотрим каждый этап отдельно.

Удаление троянских файлов

Вредоносные коды хранятся в системной папке Temp (после работы вируса Vault). Их названия следующие:

3c21b8d9.cmd
04fba9ba_VAULT.KEY
CONFIRMATION.KEY
fabac41c.js
Sdc0.bat
VAULT.KEY
VAULT.txt

Третий, шестой и седьмой файлы нужно сохранить на всякий случай, а вот остальные необходимо удалить. VAULT.KEY обязательно пригодится для расшифровки, ибо без него вы не сможете восстановить потерянную информацию, ведь это есть не что иное, как ключ шифрования. А файл CONFIRMATION.KEY необходим для получения ключа разблокировки. Текстовый файл Vault (седьмой номер) содержит информацию о том, как можно получить ключ к спасению у злоумышленников.

Небольшое лечение

Возможно, это и не принесёт каких-либо плодов, но всё равно пройдитесь Антивирусом по компьютеру. Проведите процедуру сканирования и удаления вредоносных файлов, но проследите, чтобы предыдущие документы не были удалены (если вы хотите восстановить информацию на компьютере).

Восстановление файлов

Для начала мы попробуем бесплатные способы, без обращения к хакерам.

Восстановление предыдущей версии файла. В Windows 7 есть такая полезная штука, как откат к предыдущей версии того или иного документа (будь то фотография, видео или музыка и так далее). Нажмите правой кнопкой мыши на файл, затем на «Свойства» и последнюю вкладку «Предыдущие версии». Если система обнаружит следы старых версий документа, то считайте, что вам очень повезло. В противном случае этот метод вам не поможет.

Посмотрите, нет ли резервной копии документации на дисках или других источниках. Если вы не настраивали эту функцию, скорее всего, её нет. Резервное копирование производится либо на другой локальный диск компьютера, либо на внешний носитель информации.
Проверьте корзину на всех устройствах (онлайн-сервисы хранения информации, жёсткие диски, компьютеры, ноутбуки). Есть маленькая вероятность, что некоторые данные лежат там.
Если ни один из способов не помог, остаётся лишь заплатить деньги мошенникам. Это единственный вариант, если потерянная информация вам действительно нужна. Так вы сможете узнать, как расшифровать файлы, повреждённые вирусом Vault. Пользователи делятся в сети отзывами о том, что этот способ реально помогает и после ввода ключа данные восстанавливаются. Наверное, если бы хакеры просто вымогали деньги, то никто бы не отправлял их после пары отрицательных отзывов.

Решения от антивирусных лабораторий

И «Лаборатория Касперского» и DrWeb признают, что бороться с шифровальными вирусами тяжело. Также трудно и определить их в системе. Но у антивирусных лабораторий есть дешифраторы, которые в ряде случаев помогают в ситуации. У «Касперского» это RectorDecryptor. Утилита сама ищет и исправляет пораженные файлы.

Если этот вариант не помог, отправляйте файл на анализ в DrWeb, и там подберут дешифратор к конкретному случаю. Запрос с описанием проблемы пишите в поддержку на официальном сайте лаборатории. Ознакомившись с проблемой, специалисты предложат отправить 3 файла:

CONFIRMATION.KEY;
Vault.KEY;
Пример зашифрованного файла.

В результате, вы получите или настроенную под конкретный случай утилиту для разблокировки всех файлов либо существующего файла.

Как восстановить и расшифровать файлы после вируса vault

Вот мы и подошли к самому главному моменту. Как же нам получить обратно свою информацию. Компьютер мы вылечили, что могли восстановили, прервав шифрование. Теперь надо попытаться расшифровать файлы. Конечно, проще и желанней всего было бы получить готовый дешифратор vault для расшифровки, но его не существует. Увы, но создать инструмент, чтобы дешифровать данные, зашифрованные ключом RSA-1024 технически невозможно.

Так что к великому сожалению, вариантов тут не очень много:

Вам очень повезло, если у вас включена защита системы. Она включается для каждого диска отдельно. Если это было сделано, то вы можете воспользоваться инструментом восстановления предыдущих версий файлов и папок. Находится он в свойствах файла. Подробнее можно поискать в интернете, статей по поводу этого инструмента восстановления остаточно.
Если у вас оказались зашифрованы файлы на сетевых дисках, ищите архивные копии, проверяйте, не включена ли на этих дисках корзина, там будут ваши исходные файлы. Хотя стандартно на сетевых дисках ее нет, но можно настроить отдельно. Я чаще всего это делаю, когда настраиваю сетевые шары. Вспомните, нет ли у вас архивных копий ваших локальных данных.
Если у вас пострадали данные в папках, которые подключены к хранилищам данных в интернете типа Яндекс.Диск, Dropbox, Google disk, загляните к ним в корзину, там должны остаться оригинальные файлы до шифрования.
Попробуйте найти файл secring.gpg.Файл этот должен быть создан на вашей машине (как правило в %TEMP% юзера) в момент запуска процесса шифрования. К сожалению, вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает данный ключ с помощью утилиты sdelete.exe:
```
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
```
Но вдруг вам повезет. Повторный запуск шифратора с целью получения этого ключа не поможет. Ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов не подойдет. Пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера ~1Кб.

Если ничего из перечисленного выше вам не помогло, а информация зашифровалась очень важная, у вас остается только один вариант – платить деньги создателям вируса для получения дешифратора vault. По отзывам в интернете это реально работает, есть шанс с высокой долей вероятности восстановить свои файлы. Если бы это было не так, то никто бы не платил деньги после нескольких отрицательных отзывов.

Вирус vault настолько популярен, что в сети появилась реклама, где некие товарищи предлагают за деньги торговаться с хакерами, чтобы сбить цену на расшифровку данных. Я не знаю, насколько реально они сбивают цену и сбивают ли вообще, возможно это просто разводилы, которые возьмут с вас деньги и смоются. Тут уже действуйте на свой страх и риск. Я знаю только, что сами хакеры реально восстанавливают информацию. Одна знакомая компания, где пострадали сетевые диски, и из бэкапов не смогли полностью восстановить данные, заплатили злоумышленникам и смогли восстановить часть информации. Но только часть, потому что вышла накладка. Так как было почти одновременно заражено несколько компьютеров, то и шифрование производилось не с одного, а как минимум с двух одновременно. При оплате же ты покупаешь только один ключ дешифратора vault от одной машины. Чтобы расшифровать файлы, зашифрованные вторым компьютером пришлось бы отдельно покупать закрытый ключ еще и к нему. Это делать не стали, удовлетворившись полученным результатом.

Какую цену назначат вам за расшифровку зависит от количества зашифрованных файлов и от вашего умения найти общий язык с шифраторами. С хакерами возможно живое общение в чате. Информация о ваших зашифрованных файлах хранится в CONFIRMATION.KEY, о котором я упоминал ранее. Так же для расшифровки вам понадобится VAULT.KEY. Как связаться с хакерами рассказано непосредственно в информационном сообщении, которое вы получаете после заражения. Сервер хакеров работает не круглосуточно, а примерно 12 часов в сутки. Вам придется сидеть и проверять время от времени его доступность.

Больше мне нечего добавить по теме дешифровки данных. Пробуйте варианты. Вообще, выходит чистая уголовщина и суммы гоняют приличные эти негодяи. Но как найти управу на преступников я не знаю. Куда жаловаться? Участковому?

Повторю еще раз на всякий случай. Для описанной мной модификации vault дешифратора не существует! Не тратьте деньги, если кто-то будет предлагать вам его купить. Создать дешифратор ваулт в данном случае технически невозможно.