Лечение вируса шифровальщика Vault

Клиенту на почту пришло письмо c просьбой оплатить счет, в теле письма была сылка на  счет, но перейдя по ней клиент активировал вирус шифровальщик. Вирус зашифровал все файлы и базы данных 1С на ПК, базы 1С 8 с которыми работали в текущий момент пользователь зашифрованы не были. После окончания шифрования файлов, на рабочем столе ПК появилось следующее сообщение:

Адреса для tor браузера:  torscreen.org, restoredz4xpmuqr.onion, 333e45lpjqrebknr.onion

еще

контактный email

vault_email

Зашифрованная база 1С 8 в формат .vault

 !!! Все ваши пароли  были отправлены злоумышленикам, рекомендуем их поменять, иначе вас будут использовать для распространения вируса вашим клиентам, партнерам, друзьям.

Расшифровать файлы простым каким то образом, скачав дешифратор или антивирусом не получится, так как необходим секретный ключ которым шифруются файлы. Секретный ключ при каждом запуске вируса уникальный.  Даже если запустить вирус еще раз то секретный ключ шифрации будет другой.

Антивирусные лабаратории тут бессильны, так как на поиск ключа у них уйдет не один год. На момент активации вируса, на пк был установен и работал Антивирус ESET NOD32 с посленими актуальными базами, который  пропустил вирус.

Далее есть два пути:

1. Заплатить злоумышленикам и через их сервис вы автоматическом режиме скачаете дешифратор с ключом и расшифруете свои файлы

2. Поискать в удаленных файлах файл — secring.gpg (имя может быть другое, зависит от модификации вируса) программой  GetDataBack и через программу gpg4usb по одиночки восстаналивать файлы.  Шансы малы, но вероятность восстановления есть.

Восстановление через оплату злоумышленикам:

Следуя рекомендациям, установили TOR браузер и зашли на сайт злоумышлеников используя файл VAULT.KEY , который находился на рабочем столе.

Файл VAULT.KEY

Злоумышленики запросили 230$, мы смогли сторговаться на 210$

Экранную заставку вирус маскирует под internet explorer 

На указанную сумму были приобретены Биткоины

И переведены злоумышленикам

После перевода биткоинов, появилась возможность скачать дешифратор

После запуска дешифратора, все данные и Базы 1С вернули своё прежнее состояние и фирма продолжила работу

 Может кому пригодится, дешифратор — вот.  Пароль на архив адрес этого сайта.

Но скажу сразу, без вашего секретного ключа, использовать дешифратор не рекомендуем, можете испортите все ваши файлы окончательно!

Бесплатное восстановление:

Запускаем Get Data Back в режиме восстановления файлов. Далее ищем в удаленных файлах secring.gpg. Это ключ, которым зашифровались ваши файлы.

get_data_back

Если вы нашли файл и он не пустой, то вам повезло и вы с помощью программы  gpg4usb  по одиночке можете восстанавить файлы.

P.S. вылечили уже 10 клиентов, суммы за секретные ключи для восстановления ваших файлов злоумышленики хотят 10-30 т.р.

Если у вас есть какие вопросы, можем бесплатно проконсультировать по телефону или пишите в ВК через контакты.

P.S. 2 аккуратнее работайте с почтой, доходы злоумышлеников просто космические, они очень хотят что бы вы открыли их вирус.

Наши услуги по восстановлению файлов  и удалению вируса 3 т.р. Беремся за эту работу особенно с оплатой злоумышленикам не очень охотно, так как развивает далее эту шифрованную эпидемию.  Гарантий на то, что мы можем восстановить ваши файлы без оплаты злоумышленикам нет.