Cryptowall 3.0 virus

A potrebuje datoteke ki so šifrirane ali ne?

Če ne format.Mal iščem po netu če najdem kej.

Poskusi s tem http://www.bleepingcomputer.com/virus-r...

antireal je 25. jan 2015 ob 08:35 izjavil:

Tole sem že poskusil vendar brez uspeha :/ Niti noben antivirus mi ne zna pomagati :|

Kaj pa, če narediš obnovitev sistema na obnovitveno točko pred okužbo?

Jaz imam narejen posnetek sistema z Acronis True Image in Win 8.1. Tako lahko kadarkoli obnovim sistem nazaj, ko je delovalo. Datoteke si pa sproti sam bekapiram na zunanji disk.

Za naprej: Kupi si kak disk za bekape. Npr. v Hoferju imajo morda še vedno USB ključek 64 GB za 19 EUR. Karkoli, vsake toliko časa z miško potegneč pomembne datoteke tja in je OK. :)

Sej imam zunanji disk in vse..samo ni nič kopirala:\ Mislim da od sedaj naprej verjetno bo...

System restore tu ne pomaga pri reševanju podatkov, ker tangira samo sistemske datoteke. Če cryptowall3 ni zaključil posla do konca, obstaja nekaj možnosti da ni zbrisal shadow kopij. Mi smo uspeli rešit podatke na dveh mašinah z Shadow explorerjem. Postopek je sicer precej počasen. Na eni mašini pa ni šlo in smo plačal okoli 2,5BTC za dekriptor in ključ. Butaste stranke pač.

Vse kar je dostopno uporabniku, je dostopno Cryptoval.

https://www.decryptcryptolocker.com/ - ta stran ne deluje..vedno napiše da file ni kriptiran. Mogoče je to za prejšne verzije.

Mare2 je 26. jan 2015 ob 11:36 izjavil:

Če imaš del diska zakriptiranega s Truecrypt, ugibam, Cryptoval ne more do njih?

Če imaš zadevo kot container, torej kot eno datoteko, lahko zašifrira to datoteko.
Če imaš kot particijo, potem je verjetno ne bo, ker je vidna kot raw particija brez datotek.
Če imaš zadevo moutano potem bo podatke zašifiral brez težav.

Wox je 26. jan 2015 ob 11:32 izjavil:

System restore tu ne pomaga pri reševanju podatkov, ker tangira samo sistemske datoteke. Če cryptowall3 ni zaključil posla do konca, obstaja nekaj možnosti da ni zbrisal shadow kopij. Mi smo uspeli rešit podatke na dveh mašinah z Shadow explorerjem. Postopek je sicer precej počasen. Na eni mašini pa ni šlo in smo plačal okoli 2,5BTC za dekriptor in ključ. Butaste stranke pač.

Pa potem ko plačaš, lahko odkodiraš podatke? Ali je vse le en nateg?

PS: ali si preden ste plačali že kaj čistil računalnik? Jaz imam trenutno enega v delu. Očistil virus, ampak imam še encryptane fajle.. In če se stranka odloči bomo šli verjetno res v plačilo.. Sam fajn bi bilo vedeti če potem res dobimo nazaj datoteke..

lp

Sej za prejšne verzije so naredili decrypter, verjetno ga bodo tudi za to verzijo. Vprašanje je samo kdaj?

Najslabše opcija je plačilo tistim ki so virus naredili, saj jih spodbuja k novim napadom. So kot ene vrste teroristi.

antireal

Najslabše opcija je plačilo tistim ki so virus naredili, saj jih spodbuja k novim napadom. So kot ene vrste teroristi.

ISIS ugrablja zahodne talce za denar, tile ugrabljajo tvoje podatke za denar.
Razlika ?

skico je 27. jan 2015 ob 10:00 izjavil:

Wox je 26. jan 2015 ob 11:32 izjavil:

System restore tu ne pomaga pri reševanju podatkov, ker tangira samo sistemske datoteke. Če cryptowall3 ni zaključil posla do konca, obstaja nekaj možnosti da ni zbrisal shadow kopij. Mi smo uspeli rešit podatke na dveh mašinah z Shadow explorerjem. Postopek je sicer precej počasen. Na eni mašini pa ni šlo in smo plačal okoli 2,5BTC za dekriptor in ključ. Butaste stranke pač.

Pa potem ko plačaš, lahko odkodiraš podatke? Ali je vse le en nateg?

PS: ali si preden ste plačali že kaj čistil računalnik? Jaz imam trenutno enega v delu. Očistil virus, ampak imam še encryptane fajle.. In če se stranka odloči bomo šli verjetno res v plačilo.. Sam fajn bi bilo vedeti če potem res dobimo nazaj datoteke..

lp

Ja mi smo tudi imeli tole zadevo. Po plačilu se na tistem linku, ki je naveden v HELP_DECRYPT.HTML pojavi povezava do dekriptorja s ključem. Ni nateg. Vse podatke smo brez problema odkodirali.
Pred tem smo odstranili zlobno kodo Win32/Crowti.E in še nekaj trojancev, keyloggerjev etc. Očitno zadeva ni prišla sama ampak v paketu.

tud en moj kolega ma. je pa zakriptiralo pomembne podatke, tko da gremo jutr v akcijo in nakup bitcoinov :-/

Pri branju wikipedije zihr ne

Samo zadnja verzija Volume Shadow copy servis izklopi .

najbrž je ta gospod, ki se mu jz rihtal dobil tole v mailu (nekje sm zasledil da pride zip fajl notr pa "pdf"..in je to to)

sm pa na telefon naložil bitcoin wallet, v tretjem poskusu našel delujoč bitcoin bankomat na čopovi in si naložil cca 500€.

po ene pol ure, sem lahko dekriptiral tiste datoteke, ki jih je nujno rabil.

tko da, se je dobro izteklo..če temu lahko tako rečeš (- 2.33BTC)

Očitno bi tudi jaz moral spisati en takle virus...folk kar plačuje..pa sej niso normalni...

Večinoma pridejo preko mailov, java exploitov, okuženih spletnih strani...

Problem je še večji ker ga antivirusi ne onesposobijo.

Trendmicro
Avast
Eset32

so bili iz izkušenj popolnoma neuporabni in je virus poleg njih zakriptiral datoteke...

Ker antivirusi ne dohajajo več, se vse bolj uveljavljajo 'Sandbox' rešitve.
Te v virtualnem okolju odprejo priponko in analizirajo, kaj želi naresti, če se pokažejo kakšne značilnosti škodljive kode.

Ko v praksi gledaš, kako se obnesejo te rešitve, imaš obdobja, ko že antivirus polovi škodljivo kodo, potem pride obdobje, ko Sandbox ujame nekaj škodljivcev. Sledi obdobje, ko se očitno antivirus nadgradi, da bi prepoznal te škodljivce in postane bolj učinkovit. Takrat se že sprašuješ, če Sandbox sploh kaj dela in če je bila investicija vanj smiselna. Potem pa se zgodba ponovi, ko spet nekaj ubeži antivirusu.

Problem pri Sandbox tehnologiji je v časovnem zamiku, saj se analiza ne zgodi v trenutku, temveč zna trajati več ur. Ta čas je škodljiva koda lahko že dostavljena in si samo z določeno mero sreče še pravočasno obveščen, da je nek določen mail za uporabnika XY vseboval škodljivo kodo.

Zato imajo nekateri ponudniki rešitev svojo bazo v oblaku, kamor se shranjujejo hash-i vseh analiziranih datotek. Če do tebe pride datoteka, ki jo je AV označil kot 'čisto', Sandbox software najprej generira hash te datoteke in preveri bazo, če je ta datoteka že bila kdaj videna. V kolikor najde v bazi zaznambo, da se gre za škodljivo kodo, bo takšno datoteko blokiralo. Edino v primeru, da datoteke ni v bazi, jo bo analiziralo v Sandboxu. V praksi so doslej še vse škodljive datoteke, ki mi jih je našel, bile znane, tako da so bile vse takoj blokirane.
Žal pa ne morem nič reči, kako zanesljivi so različni proizvajalci in njihove implementacije. Očitno obstajajo določene razlike. Baje da nekateri nudijo zaščito pred zaznano datoteko preko antivirusa, ta pa 'zagrabi' šele potem, ko se kreira še signatura in posodobi signaturo na tvojem sistemu. Ta ciklus pa lahko traja (pre)dolgo. Velike so baje tudi razlike v 'globini' same analize, kot tudi katere vrste datotek je določen sandbox sistem sposoben analizirati.

Gre se za še dokaj mlado tehnologijo, tako da bo v bodoče verjetno še kar nekaj novosti na tem področju, vse več pa bomo teh implementacij tudi videli pri uporabnikih, predvsem v podjetjih.

Še en link z uporabnimi informacijami - morda komu prav pride.

Pentium je 7. avg 2015 ob 00:58 izjavil:

Je že kaj novega glede CryptoWall-a 3.0? Kolegu je zaklenil cca. 5000 filetov, sicer vrednega ravno ni kaj, so pa družinske slike...

AV ima ?