Нещодавно користувачі зіткнулися з новою загрозою - вірусом, який шифрує файли, замінюючи стандартні розширення. В результаті документи, аудіо та відеозаписи, зображення стають недоступними. За ключ для розшифровки зловмисники вимагають серйозні гроші.
Шифрувальники настільки небезпечні, що від них не можуть врятуватися навіть великі організації: наприклад, в лютому 2016 року Голлівудському пресвітеріанської медичному центру довелося заплатити зловмисникам 17000 $ за ключ для дешифрування. Достеменно невідомо, який шифрувальник попрацював в Голлівуді, але користувачі Рунету зазвичай зустрічаються з вірусом Vault. Тому давайте подивимося, як відновити файли після вірусу Vault, якщо це можливо.
Як відновити файли після вірусу Vault
виявлення вірусу
Зараження складно не помітити: файли автоматично почнуть міняти розширення на .vault і перестануть відкриватися, а на екрані з'явиться повідомлення типу «Дані заблоковані. Для їх відновлення необхідно отримати унікальний ключ ». Нижче зазвичай адреса був призначений додатковий сайту і інструкція по оплаті і отримання коду дешифрування. 
Якщо ви побачили таке повідомлення, то необхідно негайно вимкнути комп'ютер і витягнути все знімні носії. Vault шифрує інформацію поступово, тому у вас є час, щоб врятувати деякі файли.
Але як вірус потрапив на комп'ютер? Найімовірніше, по електронній пошті. Користувачам приходить лист з важливою темою (кредитна заборгованість, повістка до суду, підтвердження оплати і т.д.), вони послання відкривають, після чого на комп'ютер скачується програма для шифрування і банер Ваулт з інструкцією по оплаті коду дешифрування. 
Для шифровки використовується безкоштовна і нешкідлива програма GPG, що застосовує алгоритм RSA-1024. Формально це не вірус, тому антивірусний захист не спрацьовує. Але ключ, необхідний для розшифровки інформації, залишається у хакера, а зламати код не вийде - на це піде кілька років перебору значень. Тому не відкривайте листи від невідомих відправників!
видалення шифрувальника
Видалити Ваулт досить просто: він не глибоко проникає в систему і псує життя тільки тим, що закриває доступ до інформації. Для чищення системи використовуйте лікує утиліту Dr.Web CureIt! або Kaspersky Virus Removal Tool. Запускати ці утиліти слід в безпечному режимі Windows.
Порядок простий:
- Запустіть утиліту, виконайте глибоке сканування.
- Видаліть виявлене шкідливе ПЗ.
Додатково слід видалити компоненти Ваулт, які зберігаються в прихованій папці за адресою C: \ Users \ Користувач \ AppData \ Loca \ Temp. Структура шкідливого коду виглядає наступним чином:
- 3c21b8d9.cmd.
- fabac41c.js.
- 04fba9ba_VAULT.KEY.
- VAULT.txt.
- Sdc0.bat.
- CONFIRMATION.KEY.
- VAULT.KEY.
Останні два компонента вам знадобляться, якщо ви вирішите заплатити зловмисникам за розшифровку. У них зберігається відкрита частина ключа (у хакерів закрита частина, без якої код не зняти) і інформація про кількість зашифрованих даних.
Є й інший варіант - записати на флешку Kaspersky Rescue Disk і завантажити з неї комп'ютер. Вам знадобиться працює комп'ютер, флешка, утиліта для запису і образ Kaspersky Rescue Disk 10.
За посиланням для скачування ви знайдете повну інструкцію по запису Kaspersky Rescue Disk на флеш-накопичувач. Після такого очищення системи можна приступати до розшифровки інформації.
розшифровка файлів
З шкідливим ПЗ ви швидко впораєтеся, але далі виникне серйозна проблема - не існує дешифратора, який швидко відкриє доступ до інформації, зашифрованої за алгоритмом RSA-1024. Позиція великих розробників антивірусного ПО зводиться до того, що у них немає технічної можливості зламати код. Тому варіантів залишається небагато:
- Якщо загублена інформація, яка не представляє великої цінності, то її простіше видалити з комп'ютера. І запам'ятати, що не потрібно відкривати дивні листи від невідомих відправників.
- Якщо зашифровані дані представляють велику цінність, доведеться заплатити відправникам вірусного ПЗ. Це крайній варіант, тому що немає впевненості, що вас не обдурять. До того ж ви стимулюєте зловмисників продовжувати розсилати заражені листи, адже це приносить їм гроші.
З доступних способів розшифровки можна спробувати кілька варіантів, але немає гарантії, що вони дадуть позитивний результат:
- Зверніться на форум технічної підтримки великих розробників антивірусних програм. Лабораторія Касперського, Dr.Web, ESET. База даних шифрувальників постійно розширюється. Опишіть докладно проблему, можливо, у них знайдуться інструменти для її вирішення.
- Використовуйте тіньові копії файлів (актуально, якщо була включена захист системи).
Відкрийте властивості зашифрованого файлу і перейдіть на вкладку «Попередні версії». 
Якщо є колишні, незашифровані редакції, то ви можете їх відкрити або відновити. У такому випадку дані з розширенням .vault потрібно видалити з комп'ютера. На жаль, інших працюючих способів немає. Тому краще уникати зустрічі з шифрувальником: не відкривати дивні листи, не викачувати підозрілі програми, не переходити з невідомих посиланнях.
Ще на сайті:
Допомогла стаття?Допоможи сайту, поділися посиланням!
