Перейти к содержимому


Фото
- - - - -

Шифровальщик .vault


  • Закрыто Тема закрыта
536 ответов в этой теме

#161 Alexandr82

Alexandr82

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 27 Февраль 2015 - 13:26

Пока есть два бесплатных способа восстановления данных:

 

1) На Windows 7 можно восстановить файлы с диска, на котором включена защита системы. Заходим в свойства папки с зашифрованными файлами, выбираем закладку "предыдущие версии", выбираем последнюю сохраненную версию до момента заражения и нажимаем "восстановить". Если после выбора версии сохраненной папки кнопка "восстановить" недоступна, то нажимаем "копировать" и выбираем куда сохранить.

 

2) Вирус шифрует файлы и после этого удаляет оригиналы. Соответственно оригиналы можно попробовать восстановить программами для восстановления удаленных файлов.



#162 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 27 Февраль 2015 - 13:27

И ни один из способов не дает гарантии.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#163 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 27 Февраль 2015 - 13:30

Пока есть два бесплатных способа восстановления данных:

 

1) На Windows 7 можно восстановить файлы с диска, на котором включена защита системы. Заходим в свойства папки с зашифрованными файлами, выбираем закладку "предыдущие версии", выбираем последнюю сохраненную версию до момента заражения и нажимаем "восстановить". Если после выбора версии сохраненной папки кнопка "восстановить" недоступна, то нажимаем "копировать" и выбираем куда сохранить.

 

2) Вирус шифрует файлы и после этого удаляет оригиналы. Соответственно оригиналы можно попробовать восстановить программами для восстановления удаленных файлов.

 

А кто мешает очистить последние сохраненные?И снять защиту?


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#164 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 27 Февраль 2015 - 13:32

Никто, тащемта, не мешает.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#165 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 27 Февраль 2015 - 13:34

У меня даже на барсике был исходник... :)


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#166 Alexandr82

Alexandr82

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 27 Февраль 2015 - 14:26

А кто мешает очистить последние сохраненные?И снять защиту?

Данный вирус этого не делает



#167 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 27 Февраль 2015 - 14:27

вопрос времени


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#168 VVS

VVS

    The Master

  • Moderators
  • 19 813 Сообщений:

Отправлено 27 Февраль 2015 - 14:32

У меня даже на барсике был исходник... :)

А зачем?

ЕМНИП есть стандартные средства винды.

Кста, какой-то шифровщик sdelete с Русиновича скачивал, так что...


меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777
--------------------------------
Антивирус это как ремень безопасности - всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid


#169 Alexandr82

Alexandr82

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 27 Февраль 2015 - 14:32

вопрос времени

В принципе возможно удаление теневых копий из командной строки https://technet.microsoft.com/en-us/library/cc788026.aspx, так что в будущих разновидностях шифровальщиков могут добавить и тогда первым способом уже ничего не восстановить


Сообщение было изменено Alexandr82: 27 Февраль 2015 - 14:36


#170 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 27 Февраль 2015 - 14:32

Этот и скачивал.


Личный сайт по Энкодерам - http://vmartyanov.ru/


#171 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 27 Февраль 2015 - 14:37

ЕМНИП есть стандартные средства винды.

API :)


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#172 Окулов Виктор

Окулов Виктор

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 03 Март 2015 - 07:07

Ни какого способа защитится от шифровальщиков кроме

"Защита от потери данных Dr.Web 10.0"

нет?



#173 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 03 Март 2015 - 07:41

Ни какого способа защитится от шифровальщиков кроме

"Защита от потери данных Dr.Web 10.0"

нет?

 

Бэкапы,политики,линукс


wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#174 Alexandr82

Alexandr82

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 03 Март 2015 - 09:00

Ни какого способа защитится от шифровальщиков кроме

"Защита от потери данных Dr.Web 10.0"

нет?

Храните копию важных данных на внешнем жестком диске или в облаке



#175 Окулов Виктор

Окулов Виктор

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 03 Март 2015 - 09:20

Храните копию важных данных на внешнем жестком диске

Но бэкапы тоже могут быть зашифрованы вирусом.



#176 AlexandrST

AlexandrST

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 03 Март 2015 - 09:23

Прошу прощения, не силен в шифровании. Поясните такой момент, есть публичный ключ которым шифруют данные на компьютере верно ? И есть закрытый ключ у злоумышленников ( то есть пара ?). И если публичный ключ одинаковый, тогда и закрытый ключ для всех будет одинаков ?

 

Или же все таки пара-формируется на компе жертвы и на "нужном этапе" в системе есть данные для расшифровки ?



#177 santy

santy

    Member

  • Posters
  • 243 Сообщений:

Отправлено 03 Март 2015 - 10:56

AlexandrST

на самом деле две пары ключей участвуют в этом деле.

пара, которая создана при запуске энкодера на стороне пользователя

и пара, которая была создана заранее, на стороне злоумышленников.

------

из 4 ключей на компе юзера находятся всего три.

pub/sec юзера (создаются при запуске энкодера), и pub злодеев, который в виде текста вшит в энкодер. sec key злодеев здесь не светится. известен только его id. но этого мало для расшифровки документов.

 

pub key юзера используется для шифрования файлов.

sec key юзера нужен для расшифровки, но он шифруется pub ключом злодеев, и удаляется с диска без возможности восстановления.

 

sec key злодеев нужен для расшифровки файла, где хранится sec key юзера, который нужен для расшифровки документов.

 

sec key злодеев хранится у злодеев, следовательно только они могут в конечном итоге расшифровать документы.

-----------

пара pub/sec юзера будет при каждом запуске энкодера будет отличной от всех. потому если будет куплен sec key юзера, то другому он не поможет.

пара pub/sec злодея как правило не меняется (нет в этом необходимости) в течение длительного периода распространения данного энкодера.


Сообщение было изменено santy: 03 Март 2015 - 10:59


#178 username500

username500

    Newbie

  • Posters
  • 88 Сообщений:

Отправлено 03 Март 2015 - 11:30

А можно ли подослать злодеям хитровыдуманные 9 файлов для их безплатной расшифровки, которые выдадут их sec key?

 

Или как-то ещё "обломать" им бизнес, заДДОСив серверы.


Сообщение было изменено username500: 03 Март 2015 - 11:32


#179 AlexandrST

AlexandrST

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 03 Март 2015 - 12:27

pub key юзера используется для шифрования файлов.

sec key юзера нужен для расшифровки, но он шифруется pub ключом злодеев, и удаляется с диска без возможности восстановления.

 

 

Ааааааа то есть свой sec key они никогда не спалят верно ? И когда я им отчихлю лаве они мне пришлют мой же sec key !

Который подойдет только для моих файлов.

 

Все спасибо за подробное разъяснение.



#180 santy

santy

    Member

  • Posters
  • 243 Сообщений:

Отправлено 03 Март 2015 - 14:32

Ааааааа то есть свой sec key они никогда не спалят верно ? И когда я им отчихлю лаве они мне пришлют мой же sec key !

Который подойдет только для моих файлов.

верно.

если только какой-нибудь шалопай из их техподдержки все не перепутает и вместо sec юзера, вышлет sec своих мастеров :)


Сообщение было изменено santy: 03 Март 2015 - 14:33