Главная-Скачать софт-Как восстановить файлы после вируса Vault. Восстанавливаем файлы после вируса Vault

Как восстановить файлы после вируса Vault. Восстанавливаем файлы после вируса Vault

Во время развития компьютерных технологий не обошлось и без вирусов. Всем известны их формы, которые засоряют память компьютера или телефона, удаляют файлы, подменяют их и многие другие. Но самыми опасными являются вирус шифровальщики. Это могут быть и трояны и особо опасный вирус Vault (дословно переводится, как склеп). Они шифруются под различные письма, которые пользователь открывает и тем самым запускает процесс проникновения вируса. Затем все файлы зашифровываются и вернуть их обратно очень сложно или вообще невозможно. Хакеры на это и рассчитывают, требуют деньги в обмен на возвращение информации.

Вирус шифровальщик Vault — что это

Одним из самых опасных вирусов считается Vault. Некоторые антивирусные программы его попросту не воспринимают. Файл чаще всего приходит с расширением .js. Поэтому прежде, чем открывать элемент с таким расширением дважды присмотритесь к нему. После запуска проходит некоторое время, которое нужно для считывания файлов на ПК и скачивании с сервера разработчиков специальной утилиты для зашифровки информации. Процесс шифрования начинается сразу после скачивания программы . Закодированы будут все данные, которые есть на компьютере на различных дисках, кроме тех, которые нужны для работы Windows.

Кодировщиком Ваулт является бесплатная программа gpg с алгоритмом шифрования RSA 1024. Эта утилита спокойно обходит все защиты антивирусов, так как по сути не является вирусом. Потом создаются открытые и закрытые ключи. Закрытые остаются на сервере разработчиков или злоумышленников, а открытые на компьютере пользователя, заразившегося им.

После определенного времени почти все на компьютере будет зашифровано, вся информация будет иметь расширение *.vault и пользователь полностью потеряет над ними контроль. А утилита создаст специальный ключ, который будут знать только хакеры.

Пути заражения

Этот вирус распространяется с помощью сообщений через почту или социальные сети и даже Скайп, в виде архива, чтобы его не заметили или файла с расширением.js.

Он может приходить сообщением от компаний, с которыми пользователь взаимодействует, под видом оплаты какого-нибудь счета или сверочного документа для бухгалтеров. Поэтому надо быть осторожным и внимательно вчитываться в то, что присылают.

Первые действия

Если компьютер начал тормозить или проявлять излишнюю активность и на дисках часть файлов уже зашифрована, то следует сразу выключить компьютер с кнопки или вообще отсоединить от питания. Тогда удастся сохранить хотя бы часть данных.

Снимаем жесткий диск и подключаем ко второму ПК, заранее отключив интернет. После включения прогнать все антивирусом и попытаться найти нижеперечисленные файлы.

Если ключи найдены , то ищем сервисы дешифраторы в интернете. Расшифровываем информацию и форматируем диск С.

Если ничего не найдено , форматируем диск С и переходим к последующим инструкциям.

Как удалить Vault

Прежде чем пользователь обнаружит у себя этот вирус, его деятельность уже завершится с удачным исходом. Поэтому необходимо сделать следующее, чтобы не потерять свои данные:

  • Сохранить файл confirmation.key, он отобразит количество зашифрованных данных. Благодаря ему хакеры могут видеть сколько файлов надо восстановить и потребовать определенную сумму.
  • Найти Vault.key. Этот файл является ключом или идентификатором к зашифрованной информации.
  • Сохранить Vault.txt. Здесь содержится вся информация о хакерах и их сайте.

Сохранив эти файлы из папки Temp, вы можете ее полностью очистить и пройтись программой CureIT , которую предоставляет антивирус Doctor Web. Затем перезагрузите персональное устройство.

Если в папке Temp ничего из вышеперечисленного не оказалось, можно воспользоваться стандартным поиском на диске С. Вероятность найти Vault.key очень мала, он удаляется после завершения шифрования. Но если он найден – это практически полная гарантия расшифровки информации.

Восстановление зашифрованных файлов

Если Vault вирус все-таки зашифровал ПК, то восстановить зашифрованные файлы можно несколькими способами. На жестком диске некоторое время хранится дешифровальный ключ, который после того, как все будет закончено отправится на сервер хакерам и соответственно удалится с ПК.

Возможно еще есть время его найти. Он называется secring.gpg. Если зайти в Мой компьютер и в строке поиска в правом верхнем углу ввести название и нажать кнопку «Ввод», система попытается отыскать этот файл. Открыв его можно получить логин а пароль от сайта, где хранится дешифратор. Более подробно узнать, как это сделать на видео ниже:

А также можно попытаться самому восстановить данные из резервных копий, если вы их создавали. Кликаете по закодированному элементу правой кнопкой и находите пункт «Свойства ». Ищете раздел «Предыдущие версии » и восстанавливаете. Это сработает, если эта функция включена в системе.

Оплата мошенникам

Конечно, чтобы не терять информацию, если не получилось ее восстановить, можно связаться с самими злоумышленниками и заплатить им. Однако их сервера не работают круглосуточно и придется ждать несколько часов, пока заработает обратная связь. Кроме этого, не факт, что после оплаты денег, создатели Vault расшифруют все файлы.

Хотя судя по многочисленным отзывам мошенники действительно расшифровывают информацию. В этом плане аферисты очень щепетильны – действует гибкая система скидок (если пользователь умудрился опять подцепить подобный вирус) и даже есть техподдержка.

Всю информацию об их сайте и как с ними связаться получаете в блокноте после заражения.

Что предлагают антивирусные лаборатории

Например, антивирусная лаборатория Доктор Веб предлагает не удалять файлы, не чистить систему и оставить все на своих местах после обнаружения заражения. Затем с последующим заявлением обратиться в полицию. Образцы заявлений представлены по ссылке http://legal.drweb.ru/templates .

После этого необходимо обратиться в техническую поддержку антивируса и представить копию зашифрованного элемента. Останется только ждать ответа от службы поддержки. Через некоторое время в ответном письме от Dr.Web придет Vault дешифратор. К сожалению эта возможность доступна только тем пользователям, у кого куплен платный пакет антивируса.

У антивируса Касперского тоже есть для этого специальный дешифратор Vault decryptor. Это программа, которая самостоятельно ищет зашифрованные файлы и раскодирует их.

Если у вас стоит антивирус Esed Nod 32 , то следует сканировать и почистить систему данным антивирусом, а затем обратиться в техническую поддержку — [email protected]. Обращаться в тех.поддержку следует только при наличии лицензионного антивируса.

У антивируса Avast есть специальные утилиты для дешифровки Ваулт вируса. Их можно найти на официальном сайте Avast.

Как обезопасить себя от вируса Vault

Для того, чтобы обезопасить себя от таких вирусов необходимо:

  • Не открывать файлы с расширением.js или отсылать их на проверку антивирусу.
  • Всю важную информацию с ПК хранить на облачном диске.
  • Не скачивать пиратские утилиты и не устанавливать из на компьютер.

На сегодняшний день очень актуальна тема Vault-вирусов. Большинство пользователей интересует, что делать в случае заражения компьютера и какой наиболее подходящий способ для удаления вредоносных программ. Об этом и пойдет речь в данной статье.


Что собой представляют Vault-вирусы?

Прежде чем затронуть вопрос удаления вредоносных программ, необходимо ознакомиться с их общим понятием. Vault-вирус представляет собой шифровальщик данных. Он способен проникать в операционную систему и менять расширения всех данных, присутствующих в компьютере. Особенно усугубляется проблема, когда зараза добирается до системных файлов.

При заражении устройства Vault-вирусом необходимо в первую очередь понять, откуда он взялся. Сложность заключается в том, что выглядит шифровальщик данных по-разному. У некоторых пользователей он выступает в качестве программы для архивирования файлов, у других он оказывается специальным расширением для браузера. Выход во всех случаях один – необходимо срочно избавляться от Vault-вируса.

Проведение проверки

На первом этапе следует проверить устройство на присутствие в системе шпионов и вредоносных файлов. Для этого необходим эффективный антивирус. Оптимальными вариантами являются Dr.Web или Nod32. Также можно использовать «Аваст». Сначала нужно обновить базу данных с вирусами, после чего запустить глубокую проверку. Такая процедура часто занимает большое количество времени.

После завершения процесса можно анализировать полученные результаты. В представленном перечне обязательно будет присутствовать Vault-вирус. Остальные действия можно предугадать. Потребуется вылечить все вредоносные программы. Если это сделать не получается, нужно удалить их полностью. Для этого предусмотрена специальная кнопка в антивирусе. После осуществления сканирования компьютера стоит перейти к следующему этапу.

Удаление программ

Прежде всего следует удалить всевозможный странный контент и программы, не использующиеся долгое время. Как правило, Vault-вирусы отличаются тем, что любят прописывать различный бесполезный контент, способствующий зашифровке данных. Если их удалить, можно упростить решение проблемы.

Сначала понадобится перейти в «Панель управления» и выбрать «Установка и удаление программ». Стоит немного подождать, пока создастся список загруженного контента. После этого необходимо избавиться от всех незнакомых программ. Одновременно с этим получится очистить устройство от приложений, которыми длительное время никто не пользовался. Когда этот процесс будет выполнен, закрывать окно и приступать к следующим действиям, необходимым для решения поставленной задачи.

Очистка реестра

Большинство пользователей, которые взялись удалять Vault-вирус, не уделяют должного внимания реестру. А зря. Ведь в нем регистрируется вредоносная программа, от которой зачастую достаточно трудно избавиться. Поэтому стоит обязательно задуматься об очистке реестра. Для этого необходимо выполнить специальную команду, оказывающую помощь в посещении требуемой службы.

Сначала понадобится кликнуть Win + R, после чего выполнить команду regedit. При нажатии на кнопку «Ввод», открывается реестр компьютера. После попадания в требуемую службу, стоит задуматься, что необходимо для успешного решения вопроса. В левой части можно увидеть множество папок, имеющих длинные названия. Их необходимо обойти. Главная цель – «Правка».

Там нужно отыскать «Поиск» и набрать в строке «Vault». После этого необходимо просканировать устройство и дождаться результатов проверки. Вредоносные файлы, которые будут обнаружены по итогам сканирования, следует удалить. Этот процесс полностью безопасен, поэтому беспокоиться за повреждение операционной системы не стоит. Необходимо просто совершать клики по строкам правой кнопкой мышки и выбирать команду «Удалить». Когда все будет готово, можно двигаться дальше. Останется несколько элементарных шагов, чтобы решить проблему с шифровальщиком.

Помощь программ

Любой процесс избавления от вредоносных программ предусматривает использование дополнительных утилит. Они позволяют найти вирусы и обезопасить устройство от них путем обезвреживания. К примеру, оптимальным вариантом служит Cclener. Программа прекрасно справляется с задачей очистки компьютера, а также помогает освободить место на системном диске C.

Потребуется только просто скачать Ccleaner и выделить время на его установку. Затем стоит выставить требуемые настройки сканирования. Осуществляется это в левой части окна. После этого можно смело нажимать кнопку «Сканировать». Достаточно нескольких секунд, чтобы результаты сканирования отобразились на экране. Останется нажать кнопку «Очистить» и проанализировать полученные данные.

Также можно использовать SpyHunter для избавления от шифровальщика. Программа способна обнаружить вредоносное программное обеспечение и шпионов, а также другие файлы, несущие угрозу для системы. После того как установки и сканирование будут выполнены, рекомендуется осуществить перезагрузку компьютера. В итоге вирус не будет доставлять неудобства пользователю.

Действия с файлами

После всех выполненных действий обычно возникает следующий вопрос: «Что делать, если зашифрованы личные данные?». Существует несколько способов, чтобы справиться с такой задачей, поэтому каждый пользователь сможет выбрать оптимальный для себя вариант. Первый метод является подходящим для особо осторожных людей, которые все файлы записывают на носители.

В этом случае можно удалить весь поврежденный контент, заменив его на другой, не несущий угрозу системе. Второй способ предусматривает применение специальных антивирусных программ. Необходимо отослать их службам зашифрованные данные, а они, в свою очередь, пришлют расшифровку. Большую популярность приобрела программа Dr.Web, прекрасно справляющаяся с поставленной задачей.

Специалисты антивирусной компании «Доктор Веб» разработали методику расшифровки файлов, ставших недоступными в результате действия опасного троянца-энкодера Trojan.Encoder.2843 , известного пользователям под именем «Vault».

Данная версия шифровальщика, получившая по классификации Dr.Web наименование Trojan.Encoder.2843 , активно распространяется злоумышленниками при помощи массовых почтовых рассылок. В качестве вложения в письма используется небольшой файл, содержащий сценарий на языке JavaScript. Этот файл извлекает из себя приложение, которое и выполняет остальные действия, необходимые для обеспечения работы энкодера. Данная версия троянца-шифровальщика распространяется со 2 ноября 2015 года.

Принцип работы этой вредоносной программы также весьма любопытен. В системный реестр Windows записывается зашифрованная динамическая библиотека (.DLL), а в запущенный процесс explorer.exe троянец встраивает небольшой код, который считывает файл из реестра в память, расшифровывает и передает на него управление.

Список шифруемых файлов Trojan.Encoder.2843 также хранит в системном реестре и для каждого из них использует уникальный ключ, состоящий из заглавных латинских букв. Шифрование файлов осуществляется с использованием алгоритмов Blowfish-ECB, сессионный ключ шифруется с использованием RSA при помощи интерфейса CryptoAPI. Каждому зашифрованному файлу присваивается расширение.vault.

Специалисты компании «Доктор Веб» разработали специальную методику, во многих случаях позволяющую расшифровывать поврежденные этим троянцем файлы. Если вы стали жертвой вредоносной программы Trojan.Encoder.2843 , воспользуйтесь следующими рекомендациями:

  • обратитесь с соответствующим заявлением в полицию;
  • ни в коем случае не пытайтесь переустановить операционную систему, «оптимизировать» или «очистить» ее с использованием каких-либо утилит;
  • не удаляйте никакие файлы на вашем компьютере;
  • не пытайтесь восстановить зашифрованные файлы самостоятельно;
  • обратитесь в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web);
  • к тикету приложите любой зашифрованный троянцем файл;
  • дождитесь ответа специалиста службы технической поддержки; в связи с большим количеством запросов это может занять некоторое время.

Напоминаем, что услуги по расшифровке файлов оказываются только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.

В этой заметке пойдет речь об одном вирусе, и честно говоря, я ничего подобного ранее не встречал. Не спорю, что были мощные вирусы, тот же Kido, который попортил нервы как простым пользователям так и различным организациям. Но вирус Vault (это семейство Trojan.Encoder) использует совсем иной подход, то есть тут как бы ничего не портится, а используются вполне нормальный инструмент для работы с файлами — это шифрование, но только в плохих целях…

Шифрование файлов, это когда сами файлы обрабатываются при помощи специального ключа (не стоит путать с паролем, так как этот ключ в тысячи раз надежнее, и подобрать его просто невозможно), при этом они становятся недоступными, то есть если их не расшифровать, то с ними вообще ничего сделать нельзя — останется только удалить. Сам файл даже в глазах человека, который занимается дешифрацией, выглядит просто как каша из кода, где все перемешано и ничего непонятно. Вирус Vault именно так и работает, он шифрует файлы, и все вернуть обратно можно только если перевести некоторую сумму хакерам, но поразительно то, что это единственный способ вернуть файлы!

Если вам предлагают расшифровать такие файлы, и при этом просят денег, то будьте уверены что это мошенники. Расшифровать файлы могут только те хакеры, которые создали вирус и никак иначе. Подобрать ключ нельзя даже на программном уровне — он слишком сложный. Хотя нет, подобрать его можно и над этим работают, но, для этого нужен не один и не сто компьютеров, а миллион и подбираться он может от нескольких недель до нескольких лет, а то и больше — то есть опять вернемся к тому, что подобрать его простым пользователям нереально.

Как попадает Vault вирус на компьютер?

Но как этот вирус появляется на компе? Ну смотрите сами — вам на почту приходит письмо с вложением в виде документа (как банально то), но заголовок письма такой, что открыть его ну очень хочется (врать не стану, я что-то подобное открывал, но никакие вложения и близко не смотрел!). В итоге вы смотрите документ во вложении, и в это время начинает работать вложенный скрипт в документ, он имеет расширение.js, то есть то java-скрипт. Как вы уже догадались, запускается этот скрипт автоматически при открытии вложения и как можно быстрее старается загрузить модули для запуска процесса шифрования.

Как это все работает? В обычный doc-файл вставляется текст, который или невозможно прочитать, или там какая-то типа ошибка, в общем что-то написано что побуждает к действиям (пример на картинке ниже). Мол нажмите тут, чтобы открыть файл. Тут — это макрос-скрипт, который и загружает сам исполняемый файл вируса во временную папку (так как права на запуск у этой папки есть). Почему Windows молчит? Потому что пользователь сам открыл документ и сам запустил активное содержимое документа, то есть все нормально, пользователь все сам вручную нажал.

Вот пример другого письма с вирусом:

  • Тема письма: Акт сверки за 2014 год
    От кого: ООО ПК «МОСТЕМ»

    Тело письма:

    Здравствуйте,

    Прошу ознакомиться с актом сверки за 2014 год — в приложении.
    Наши бухгалтера выявили, что за прошлый году Вас есть перед нами небольшой долг.
    Проверьте данные, указанные в акте, и сообщите о сроках погашения задолженности.

    Прикреплённые файлы:
    1. Акт сверки за 2014г.zip (а внутри может быть и просто скрипт типа Акт сверки за 2014г.doc.js)

    С уважением,
    Зам.главного бухгалтера
    Супрыкина Оксана Игоревна

Сам процесс работы вируса вы можете увидеть на этой картинке:


Шифровальщик не может быть вирусом, ибо это алгоритм RSA-1024, и призван для шифровки файлов. А то, что вирус Vault использует шифрование не по назначению, то это уже другое дело.

После успешного заражения вирусом Vault, после того как он зашифровал почти все ваши файлы, то вы увидите текстовый документ с таким содержанием:


То есть вполне культурно и спокойно написано о том, что ваши файлы тупо заблокированы, и подобрать ключ вы самостоятельно не сможете, что он безопасно хранится у них на сервере, а также то, что хакеры готов торговаться (ну и наглость же).

После работы вируса, файлы обзаводятся вот меткой.vault (второе расширение) в конце своего имени:


Вирус шифрует почти все популярные форматы файлов, и картинки и формат книг pdf, doc и другие документы, и даже архивы zip/rar. Но что самое опасное, что под влияние вируса могут попасть и базы 1C, это уже куда серьезнее, так как обычно это компьютеры организаций, предприятий и даже банков.

Вирус спокойно работает почти во всех современных версиях Windows, при этом поведение его может немного отличатся, например в некоторых случаях заражению также подвергаются файлы в локальной сети.

Удаление вируса Vault

Удалить вирус не особо сложно, здесь не будет подводных камней — вам просто нужно уничтожить все содержимое папки %temp% того пользователя, под которым и произошло заражение файлов.

Что я советую? В интернете скачайте какой-то live-cd диск, где есть антивирус. Запишите все это на флешку (как правило на торрентах, откуда можно скачать live-cd, есть также и инструкция о том, как записать на флешку), потом загрузитесь, перейдите в папку %temp% и очистите ее полностью. После этого можете проверить компьютер на вирусы, мало ли что. Беда еще в том, что вы просто удалите вирус с компа, то есть его не будет — но все последствия то останутся.. увы, как я уже писал, шифрование файлов взломать простым пользователям нереально.

Итак, какие файлы Vault содержатся в папке %temp%:

  • 3c21b8d9.cmd
  • 04fba9ba_VAULT.KEY
  • CONFIRMATION.KEY (в этом файле хранятся записи о количестве файлов, которые имеют метку vault, то есть зашифрованы; именно это количество и определяет конечную цену за получение второго ключа для расшифровки; этот файл нужно сохранить, если вы хотите вернуть доступ к файлам)
  • fabac41c.js (основная часть вируса)
  • Sdc0.bat
  • VAULT.KEY (первый ключ шифрования, при восстановлении файлов его вместе с первым CONFIRMATION.KEY нужно отправить хакерам, а они на основе его выдадут вам второй ключ, который уже пригоден для расшифровки);
  • VAULT.txt
  • revlt.js
  • svchost.exe (имя такое же как у системного процессора, но расположен в папке temp)

Имена фалов могут быть немного изменены, иногда их меньше.

Некоторые версии вируса Vault хранят файлы VAULT.KEY и CONFIRMATION.KEY в папке %appdata%.

Если попробовать открыть какой-то файл с меткой, то скорее всего вы увидите такое сообщение:


Как восстановить файлы после вируса Vault?

Да, действительно, было бы здорово просто воспользоваться таким инструментом как дешифратор Vault, но увы, такого инструмента нет. И нет его потому, что у каждого компьютера свой ключ, и только имея его и файл с записями зараженных обьектов, можно восстановить доступ к файлам, отправивши это все злоумышленникам.

Если у вас включена защита для каждого диска, то это здорово. При такой защите, вы можете восстановить прежнее состояние файла или папки, все это находится в свойствах каждого файла (но некоторые версии Vault удаляют данные для восстановления, только при включенном UAC вы увидите запрос, еще один аргумент что UAC лучше не отключать!). Можно попробовать восстановить предыдущее состояние компьютера при помощи точки восстановления (в панели управления пункт Восстановление).


Если у вас защита не включена, то увы, у меня для вас неутешительные новости. Скорее всего восстановить файлы у вас не получится, если только вы не заплатите круглую сумму злоумышленникам. Да, это реально работает, но для этого вам нужно иметь два файла, я о них писал выше.

Также хочу вас предупредить, что других способов расшифровать файлы — нет. Это ведь не просто вирус, это вирус, который использует вполне нормальные механизмы, которые не вызывают подозрения у антивирусов, поэтому не стоит писать и тех. поддержку им, вам все равно не помогут ничем. Ну, например, это тоже самое если бы архиватор WinRAR антивирусом воспринимался за вирус только потому, что в нем есть возможность поставить архив под пароль.

Так что тут только вариант, это платить. При этом, те хакеры смотрят, какие именно файлы у вас зашифрованы. Ну и на основе этого они могут цену или повысить до достаточно большой, или наоборот — снизить (были случаи как $50 так и $500). При оплате вы получаете только один ключ для дешифратора Vault и для одного компьютера, с которого вы отправляли VAULT.KEY и CONFIRMATION.KEY.

Оплата производится только через BitCoin и только при использовании анонимной сети Tor. Это все, что первое, что второе — анонимные инструменты, самые популярные и самые эффективные на сегодняшний день. Именно поэтому, хакеров и не могут пока (?) поймать. Хотя, опять же, как я уже писал вначале — очень удивлен такому наглому поведению.

Следуя инструкции, вам нужно будет перейти на сайт restoredz4xpmuqr.onion, указать файл VAULT.KEY (о нем писал выше):


После чего вы попадете в личный кабинет:


Какие можно сделать выводы?

Мои мысли так бы сказать:


Надеюсь что написал все доступно и информацией хотя бы вы уже вооружены, так что будьте осторожны и учите фаервол, грамотная его настройка обезопасит вас от подобных вирусов.

16.01.2016

В последнее время всё больше пользователей сталкивается с новым вирусом-шифровальщиком, который заменяет стандартные расширения файлов на vault. Некоторые думают, что можно решить эту проблему, изменив расширение вручную, однако это ошибочное мнение – без уникального ключа (VAULT.KEY) восстановить доступ к файлам не получится.

Обнаружение и удаление шифровальщика

Главная опасность вируса Vault в том, что антивирусы его не обнаруживают. Попадает вредоносное ПО на компьютер обычно в виде вложения в письме. Пользователь сам открывает электронное послание, и вместе с приложенным файлом запускает процедуру шифрования.

Обнаружить и удалить вирус можно только при глубокой проверке с помощью мощных антивирусов типа Nod32 или Dr.Web. Дополнительно просканируйте систему лечащей утилитой Dr. Web CureIT или программой Kaspersky Virus Removal Tool (утилита бесплатна). Проследите, чтобы у антивирусного ПО была обновлена база, иначе вирус не будет обезврежен.

Восстановление файлов

После обезвреживания и удаления вируса остается восстановить файлы, расширение которых изменилось на vault. Не стоит пытаться искать готовый дешифратор – его не существует, нет даже технической возможности создать программу, которая сможет открыть доступ к зашифрованным файлам без уникального ключа (второй части файла VAULT.KEY). Но можно попробовать другие варианты:

  • Использование теневой копии.
  • Поиск файлов в архивных копиях.
  • Проверка облачных хранилищ.

Использование теневой копии

Первое, что необходимо сделать, чтобы попытаться восстановить бесплатно файлы после действия вируса ваулт – проверить, не осталось ли теневых копий нужных данных. Если у вас была включена защита системы, то этот способ может сработать.


Поиск архивной копии

Если зашифрованные вирусом vault данные хранились на сетевом диске, поищите их архивные копии. Если на сетевом диске была предварительно создана корзина, можно заглянуть в неё – там тоже могут остаться целые файлы. Если под действие вируса-шифровальщика Vault попали папки, синхронизированные с облачными хранилищами (Яндекс.Диск, Google Drive, Dropbox), то посмотрите нужную информацию на этих сервисах.

Стоит ли платить злоумышленникам?

Если ни один из перечисленных методов не помог получить доступ к нужной информации, то остается последний способ – обращение к отправителям вируса шифровальщика. Если судить по отзывам, можно вернуть все файлы после шифрования. Но за индивидуальный key для расшифровки придется заплатить деньги, конкретную сумму злоумышленники указывают на своих сайтах или в инструкции, которая появляется после заражения системы вирусом vault.

Не пользуйтесь услугами компаний/частных лиц, которые предлагают восстановить файлы или купить у них дешифратор. Никакого дешифратора у них нет, а если они и предоставляют в качестве доказательства часть ваших файлов, то взяты эти данные у злоумышленников, отправивших вам вирус vault.

Без индивидуального значения key расшифровать файлы невозможно. Хранится ключ на сервере владельцев вируса, доступ к нему получить никакими средствами нельзя.

Если вы всё-таки решите обратиться за восстановлением информации к тем людям, что их зашифровали, то вам нужно предоставить им два файла:

  • VAULT.KEY – первая часть ключа шифрования, которая создается на стороне пользователя. Вторая часть key находится у злоумышленников. Если вы случайно удалите VAULT.KEY, то восстановить файлы не удастся.
  • CONFIRMATION.KEY – содержит в себе информацию о том, какой объем информации зашифрован. На основании этих сведений владельцы вируса рассчитывают, сколько денег с вас потребовать.

Мы не рекомендуем платить деньги отправителям вирусов. Нет гарантии, что они не обманут, к тому же это только стимулирует их на продолжение преступной деятельности. Оплата второй части ключа - это крайняя мера, на которую следует идти лишь в том случае, если утеряна информация чрезвычайной важности.

Альтернативный метод

Можно попытаться обратиться за расшифровкой на форумы известных лабораторий, занимающихся разработкой антивирусного ПО, но даже такие гиганты рынка, как Kaspersky, ESET и Dr. Web признают, что они не могут расшифровать данные после вируса за приемлемое время, не имея второй части VAULT.KEY.

Можно попробовать утилиты-дешифраторы от тех же компаний по разработке антивирусного ПО. На данный момент они не могут подобрать VAULT.KEY, но базы данных постоянно расширяются, так что есть вероятность, что в скором времени проблема будет решена.

Похожие публикации: