Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Odszyfrowywanie plików zaatakowanych przez ostatnią modyfikację wirusa Vault jest już możliwe

10 listopada 2015

Analitycy bezpieczeństwa Doctor Web wynaleźli nową technikę odszyfrowywania, która pozwala na przywrócenie plików zaszyfrowanych przez niebezpieczne ransomware szyfrujące pliki nazwane Trojan.Encoder.2843, bardziej znane wśród użytkowników jako Vault.

Ta szczególna modyfikacja nazwana przez specjalistów Doctor Web Trojan.Encoder.2843 i dystrybuowana przez cyberprzestępców poprzez masowe mailingi, skrywała się pod postacią małego pliku zawierającego skrypt JavaScript. Ten plik, tuż po uruchomieniu, wypakowywał ze swojej zawartości aplikację zapewniającą działanie trojana. Ta wersja malware była dystrybuowana od 2-go listopada 2015.

Ten złośliwy program ma dość interesującą metodę działania. Po pierwsze, dodaje zaszyfrowaną bibliotekę łączoną dynamicznie (dynamic-link library -.DLL) do rejestru systemu Windows, a następnie wstrzykuje mały fragment kodu do procesu explorer.exe. Ten kod ładuje plik z rejestru do pamięci, odszyfrowuje go i przekazuje kontrolę do tego pliku.

Lista plików do zaszyfrowania jest również zapisana w rejestrze systemowym. Dla każdego pliku Trojan.Encoder.2843 generuje unikalny klucz zawierający duże litery alfabetu łacińskiego. Pliki są szyfrowane z użyciem Blowfish ECB, a klucz sesji jest szyfrowany algorytmem RSA z użyciem CryptoAPI. Nazwa każdego zaszyfrowanego pliku jest uzupełniana o rozszerzenie .vault.

Analitycy bezpieczeństwa Doctor Web opracowali nową technikę, która w większości przypadków, potrafi pomóc w odszyfrowaniu plików zaatakowanych przez to malware. Jeśli stałeś się ofiarą Trojan.Encoder.2843, postępuj zgodnie z poniższymi wskazówkami:

  • Zawiadom policję.
  • Pod żadnym pozorem nie próbuj rozwiązać problemu poprzez reinstalację, “optymalizację” lub “czyszczenie” systemu operacyjnego z użyciem dostępnych narzędzi.
  • Nie kasuj żadnych plików ze swojego komputera.
  • Nie próbuj przywracać zaszyfrowanych plików samodzielnie.
  • Skontaktuj się ze wsparciem technicznym Doctor Web (darmowa usługa odszyfrowywania jest dostępna tylko dla osób, które zakupiły komercyjne licencje na produkty Dr.Web).
  • Dołącz do swojego zgłoszenia plik zaszyfrowany przez trojana.
  • Poczekaj na odpowiedź od wsparcia technicznego. Z racji na dużą liczbę zgłoszeń, może to zająć trochę czasu.

Jeszcze raz chcemy zaznaczyć, że darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, który zakupili komercyjne licencje na produkty Dr.Web. Doctor Web nie jest w stanie zagwarantować, że wszystkie pliki zostaną odszyfrowane z powodzeniem, natomiast specjaliści podejmą wszystkie niezbędne kroki, aby odzyskać zaszyfrowane dane.

Użyj funkcji Zapobiegania Utracie Danych aby chronić swoje dane przed ransomware szyfrującym pliki

Dostępne tylko w Dr.Web Security Space 10 i nowszych
Więcej na temat ransomware szyfrującego pliki Prezentacje, tutoriale Darmowe odszyfrowywanie plików

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A