Шифровальщик vault и как избежать его действий

Автор: | 31.03.2015

Недавно один из пользователей получил письмо по электронной почте, от знакомого контрагента, с вложением.

Ваши рабочие документы и базы данных были заблокированы и помечены форматом .vаult

Для их восстановления необходимо получить уникальный ключ

 

ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:

 

КРАТКО

1. Зайдите на наш веб-ресурс

2. Гарантированно получите Ваш ключ

3. Восстановите файлы в прежний вид

 

ДЕТАЛЬНО

Шаг 1:

Скачайте Tor браузер с официального сайта: https://www.torproject.org

Шаг 2:

Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion

Шаг 3:

Найдите Ваш уникальный VAULT.KEY на компьютере — это Ваш ключ к личной клиент-панели. Не удалите его

Авторизируйтесь на сайте используя ключ VAULT.KEY

Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой

STEP 4:

После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё ПО

 

ДОПОЛНИТЕЛЬНО

a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)

b) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке TEMP

c) Ваша стоимость восстановления не окончательная, пишите в чат

Содержание письма

Добрый день,

Директор дал указание провести сверки со всеми партнерами по итогам квартала.

Высылаю Акт (во вложении). Большая просьба рассмотреть и завизировать документ.

Вышлите нам скан-копию подписанного экземпляра или ваши замечания.

 

С ув.,

Во вложении был zip архив, с приличным названием, акт сверки (март).zip (699кб)

Если его разархивировать, то внутри содержится следующий файл

акт сверки (март) 2015 год по итогам первого квартала согласовано бухгалтерией — аttасhmеnt_Dr.Wеb_Sсаnnеd — OK.dосx .js

Пользователь конечно не обратил внимания и запускает этот js скрипт.

Все файлы на рабочем столе и вложенных папках, которые имели расширение doc, xls, jpg, docx, xlsx, pdf превратились в обезличенные ярлычки с расширением vault.

Как с этим бороться? В интернете по поиску сразу появляется сайт, где просят прислать образцы и их специалисты готовы вам помочь все расшифровать за определенные деньги. На сколько эффективно они работают, и за какую сумму не знаю, не обращался.

Антивирусные программы к сожалению тут бессильны.

Бывают письма и с таким содержанием

Тема:
Проверка налоговой
Дата:
Thu, 12 Feb 2015 13:17:03 +0200
От:
Joseph Polubinsky <info.slc.spb@mail.ru>
Кому:

Уважаемые коллеги,
При проведении налоговой проверки, проверяющие истребовали первичные документы, касающиеся нашей с Вами работы.

К сожалению, мы уже несколько дней не можем найти несколько актов приема-передачи и оригинал договора, заключенного в 2013 году.

Просим ознакомиться с запросом налоговой службы (текст — во вложении) и проверить наличие указанных в нем документов.
Если Вы их отыщете, вышлите нам документы.
Большое спасибо.

Sincerely,
Joseph Polubinsky

Special Logistic Company Ltd.
Phone/fax: +7 812 430-42-67
Phone: +7 812 430-43-39

Обычно в компаниях все рабочие файлы хранятся на сервере, на сетевых папках или дисках и будет совсем не весело, если начнется шифрование корпоративных данных

Этого можно избежать.

Если у вас файловый сервер организован на Windows Server 2008

Заходим в панель управления/Администрирование/Управление файловым сервером

Рис1

Выбираем Управление блокировкой файлов/Шаблоны фильтра блокировки файлов

Рис2

Создаем свой шаблон, в Параметрах указываем имя группы файлов, допустим vault

Рис3

Добавляем требуемое нам расширение *.vault

Выбираем сообщения электронной почты

Ставим галочку Посылать сообщения следующим администраторам

Указываем свой электронный адрес

Рис4

 

 

Выбираем Создание фильтра блокировки данных

Путь фильтра блокировки данных, указываем ваш путь к директории(сетевым папкам)

Выбираем наш шаблон блокировки файлов

Рис5

Теперь если кто-то из пользователей подцепит эту гадость, он не сможет зашифровать корпоративные данные на сетевых дисках(папках). А вам на электронную почту придет уведомление, какой из пользователей пытался это сделать и следовательно, кто заразился.

 

Недавно появился и такой образец

Ваши рабочие документы и базы данных были заблокированы и помечены форматом .vаult

Для их восстановления необходимо получить уникальный ключ

 

ПРОЦЕДУРА ПОЛУЧЕНИЯ КЛЮЧА:

 

КРАТКО

1. Зайдите на наш веб-ресурс

2. Гарантированно получите Ваш ключ

3. Восстановите файлы в прежний вид

 

ДЕТАЛЬНО

Шаг 1:

Скачайте Tor браузер с официального сайта: https://www.torproject.org

Шаг 2:

Используя Tor браузер посетите сайт: http://restoredz4xpmuqr.onion

Шаг 3:

Найдите Ваш уникальный VAULT.KEY на компьютере — это Ваш ключ к личной клиент-панели. Не удалите его

Авторизируйтесь на сайте используя ключ VAULT.KEY

Перейдите в раздел FAQ и ознакомьтесь с дальнейшей процедурой

STEP 4:

После получения ключа, Вы можете восстановить файлы используя наше ПО с открытым исходным кодом или же безопасно использовать своё ПО

 

ДОПОЛНИТЕЛЬНО

a) Вы не сможете восстановить файлы без уникального ключа (который безопасно хранится на нашем сервере)

b) Если Вы не можете найти Ваш VAULT.KEY, поищите во временной папке TEMP

c) Ваша стоимость восстановления не окончательная, пишите в чат

 

А вот такую штуку шифровальщик оставляет в системе Windows XP

vault