» »

Cryptowall 3.0 virus

Cryptowall 3.0 virus

antireal ::

Pozdravljeni!

Od punce računalnik se je očitno okužil z virusom CryptoWall 3.0. Virus deluje tako, da zakriptira vse dokumente v računalniku in zahteva plačilo.

Ali obstaja način, kako se znebiti tega nadležnega virusa?

Hvala!

xda develope ::

A potrebuje datoteke ki so šifrirane ali ne?

Če ne format.Mal iščem po netu če najdem kej.

Poskusi s tem http://www.bleepingcomputer.com/virus-r...

Zgodovina sprememb…

antireal ::

Tole sem že poskusil vendar brez uspeha :/ Niti noben antivirus mi ne zna pomagati :|

Mare2 ::

antireal je izjavil:

Tole sem že poskusil vendar brez uspeha :/ Niti noben antivirus mi ne zna pomagati :|


Kaj pa, če narediš obnovitev sistema na obnovitveno točko pred okužbo?

Jaz imam narejen posnetek sistema z Acronis True Image in Win 8.1. Tako lahko kadarkoli obnovim sistem nazaj, ko je delovalo. Datoteke si pa sproti sam bekapiram na zunanji disk.
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo

antireal ::

Žal nisem imel vključen system restore:| Očitno ni postopka da bi lahko obnovil kriptirane datoteke :|

GTX970 ::

antireal ::

Japs. Jah sej. Očitno bo treba narest čist nov setup. Škoda je samo vseh dokumentov ki niso več uporabni :\

Mare2 ::

Za naprej: Kupi si kak disk za bekape. Npr. v Hoferju imajo morda še vedno USB ključek 64 GB za 19 EUR. Karkoli, vsake toliko časa z miško potegneč pomembne datoteke tja in je OK. :)
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo

lonewolf_ ::

Preko sardu ali drugega programa daš antivirus na kluček pa potem zaženeš antivirus preden se sploh zažene OS.
R7 5700G + NH-U12P SE2 | Ballistix 2x8Gb 3000MHz
Mortar Titanium | P1 500GB | Exos 3TB | SSD MX500 1TB
beQuiet 700W Gold | Fractal Design Define S

antireal ::

Sej imam zunanji disk in vse..samo ni nič kopirala:\ Mislim da od sedaj naprej verjetno bo...

Evolve ::

ne vem če je to ista stvar, ampak probat bi blo treba

https://www.decryptcryptolocker.com/

Wox ::

System restore tu ne pomaga pri reševanju podatkov, ker tangira samo sistemske datoteke. Če cryptowall3 ni zaključil posla do konca, obstaja nekaj možnosti da ni zbrisal shadow kopij. Mi smo uspeli rešit podatke na dveh mašinah z Shadow explorerjem. Postopek je sicer precej počasen. Na eni mašini pa ni šlo in smo plačal okoli 2,5BTC za dekriptor in ključ. Butaste stranke pač.
Commodore 64

Mare2 ::

Če imaš del diska zakriptiranega s Truecrypt, ugibam, Cryptoval ne more do njih?
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo

GTX970 ::

Vse kar je dostopno uporabniku, je dostopno Cryptoval.

antireal ::

Shadow copy nimam nič:| Bom poskusil z tistole stranjo...

antireal ::

https://www.decryptcryptolocker.com/ - ta stran ne deluje..vedno napiše da file ni kriptiran. Mogoče je to za prejšne verzije.

wizzy ::

Tudi jas sem dobil na pogled okužen računalnik in ugotovil, da gre samo na določene datoteke kot so img, pst, doc,.. Nekaj sem zasledil da je mogoče dobiti datoteke nazaj preko Shadow Explorer ampak težavo imam, da uporabljam win XP pri čemer program ne deluje.

Zgodovina sprememb…

  • spremenil: wizzy ()

fosil ::

Mare2 je izjavil:

Če imaš del diska zakriptiranega s Truecrypt, ugibam, Cryptoval ne more do njih?

Če imaš zadevo kot container, torej kot eno datoteko, lahko zašifrira to datoteko.
Če imaš kot particijo, potem je verjetno ne bo, ker je vidna kot raw particija brez datotek.
Če imaš zadevo moutano potem bo podatke zašifiral brez težav.
Tako je!

Mare2 ::

Nekdo je napisal, da se loti datotek s končnico img, pst, doc,.. itd. Moja se imenuje "datoteka" brez končnic, itd. In je vseskozi zakriptirana. Odprem jo le 1x na teden, ko naredin bekap. Bo to v redu?
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo

skico ::

Wox je izjavil:

System restore tu ne pomaga pri reševanju podatkov, ker tangira samo sistemske datoteke. Če cryptowall3 ni zaključil posla do konca, obstaja nekaj možnosti da ni zbrisal shadow kopij. Mi smo uspeli rešit podatke na dveh mašinah z Shadow explorerjem. Postopek je sicer precej počasen. Na eni mašini pa ni šlo in smo plačal okoli 2,5BTC za dekriptor in ključ. Butaste stranke pač.



Pa potem ko plačaš, lahko odkodiraš podatke? Ali je vse le en nateg?

PS: ali si preden ste plačali že kaj čistil računalnik? Jaz imam trenutno enega v delu. Očistil virus, ampak imam še encryptane fajle.. In če se stranka odloči bomo šli verjetno res v plačilo.. Sam fajn bi bilo vedeti če potem res dobimo nazaj datoteke..

lp

knesz ::

skico je izjavil:

Wox je izjavil:

System restore tu ne pomaga pri reševanju podatkov, ker tangira samo sistemske datoteke. Če cryptowall3 ni zaključil posla do konca, obstaja nekaj možnosti da ni zbrisal shadow kopij. Mi smo uspeli rešit podatke na dveh mašinah z Shadow explorerjem. Postopek je sicer precej počasen. Na eni mašini pa ni šlo in smo plačal okoli 2,5BTC za dekriptor in ključ. Butaste stranke pač.



Pa potem ko plačaš, lahko odkodiraš podatke? Ali je vse le en nateg?

PS: ali si preden ste plačali že kaj čistil računalnik? Jaz imam trenutno enega v delu. Očistil virus, ampak imam še encryptane fajle.. In če se stranka odloči bomo šli verjetno res v plačilo.. Sam fajn bi bilo vedeti če potem res dobimo nazaj datoteke..

lp

Iz prve roke lahko povem, da smo prejšnjo verzijo virusa plačali in obnovili podatke (pri naši stranki).
Virusa nismo odstranjevali, ker virus dekriptira fajle (vsaj pri tisti verziji je bilo tako).

antireal ::

Sej za prejšne verzije so naredili decrypter, verjetno ga bodo tudi za to verzijo. Vprašanje je samo kdaj?

Najslabše opcija je plačilo tistim ki so virus naredili, saj jih spodbuja k novim napadom. So kot ene vrste teroristi.

Zgodovina sprememb…

  • spremenilo: antireal ()

Mare2 ::

antireal je izjavil:

Najslabše opcija je plačilo tistim ki so virus naredili, saj jih spodbuja k novim napadom. So kot ene vrste teroristi.


antireal, mu boš ti dekriptiral datoteke?

Tisti, ki so zadolženi za odkrivanje teroristov po tvoji teoriji lepo doma čepijo in čakajo, da jim občani "na pladnju prinesejo podatke" o storilcih. Očitno niso taki teroristi, kot ti misliš. :)

Kazensko ovadbo potem spisat pa ni problem. :)
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo

GTX970 ::

antireal
Najslabše opcija je plačilo tistim ki so virus naredili, saj jih spodbuja k novim napadom. So kot ene vrste teroristi.

ISIS ugrablja zahodne talce za denar, tile ugrabljajo tvoje podatke za denar.
Razlika ?

antireal ::

Saj za talce nihče ne plača, pa se gre za človeška življenja in ne samo podatke....

aerie ::

skico je izjavil:

Wox je izjavil:

System restore tu ne pomaga pri reševanju podatkov, ker tangira samo sistemske datoteke. Če cryptowall3 ni zaključil posla do konca, obstaja nekaj možnosti da ni zbrisal shadow kopij. Mi smo uspeli rešit podatke na dveh mašinah z Shadow explorerjem. Postopek je sicer precej počasen. Na eni mašini pa ni šlo in smo plačal okoli 2,5BTC za dekriptor in ključ. Butaste stranke pač.



Pa potem ko plačaš, lahko odkodiraš podatke? Ali je vse le en nateg?

PS: ali si preden ste plačali že kaj čistil računalnik? Jaz imam trenutno enega v delu. Očistil virus, ampak imam še encryptane fajle.. In če se stranka odloči bomo šli verjetno res v plačilo.. Sam fajn bi bilo vedeti če potem res dobimo nazaj datoteke..

lp

Ja mi smo tudi imeli tole zadevo. Po plačilu se na tistem linku, ki je naveden v HELP_DECRYPT.HTML pojavi povezava do dekriptorja s ključem. Ni nateg. Vse podatke smo brez problema odkodirali.
Pred tem smo odstranili zlobno kodo Win32/Crowti.E in še nekaj trojancev, keyloggerjev etc. Očitno zadeva ni prišla sama ampak v paketu.

Zgodovina sprememb…

  • spremenila: aerie ()

ERGY ::

Sem mel par primerov pri kolegih... Če maš Shadow copy pol prej narediš cleanup in potem exportaš fajle na prejšno stanje na drug disk :) Ostali pa lepo 500$$$ >:D Sicer mi ni jasno ki staknete to golazen.

dukedl ::

tud en moj kolega ma. je pa zakriptiralo pomembne podatke, tko da gremo jutr v akcijo in nakup bitcoinov :-/
lp dukedl

Isotropic ::

kje ste ga pa dobili

Looooooka ::

Pri branju wikipedije zihr ne :))

Mare2 ::

Meni so iz SI-CERT-a (Arnes) poslali naslednje sporočilo:

Zadeva nam je znana in se z njo aktivno ukvarjamo. Žal po trenutno
znanih informacijah ne obstaja kakšen drug način za odšifriranje
datotek kot preko plačila odkupnine.

Lep pozdrav,
SI-CERT (Arnes)
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo

GTX970 ::

Samo zadnja verzija Volume Shadow copy servis izklopi :P.

Xserces ::

Mene tut zanima kje dobite to? :))
Intel i5-3570k @4.7GHz|MSI GTX 970 4G|MSI Z77 MPower|
G. Skill 8 GB 1600MHz|Corsair AX750|Seagate Barracuda 2TB|NZXT Gamma|

dukedl ::

najbrž je ta gospod, ki se mu jz rihtal dobil tole v mailu (nekje sm zasledil da pride zip fajl notr pa "pdf"..in je to to)

sm pa na telefon naložil bitcoin wallet, v tretjem poskusu našel delujoč bitcoin bankomat na čopovi in si naložil cca 500€.

po ene pol ure, sem lahko dekriptiral tiste datoteke, ki jih je nujno rabil.

tko da, se je dobro izteklo..če temu lahko tako rečeš (- 2.33BTC)
lp dukedl

Yacked2 ::

Mene tudi čudi, kje to dobijo, jaz tudi dobim polno čudnih priponk na mail, pa mi še na misel ni prišlo da bi odpru, enkrat sem poiskusil odpreti na VMware, pa mi je AV preprečil.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

antireal ::

Očitno bi tudi jaz moral spisati en takle virus...folk kar plačuje..pa sej niso normalni...

Mare2 ::

Bom še jaz enega. Nihče od pristojnih se niti ne potrudi, da bi odkrili storilce. Bom dal za člane SLO-TECH 60% popust. :)
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo

AngelOfDeath ::

Večinoma pridejo preko mailov, java exploitov, okuženih spletnih strani...

Problem je še večji ker ga antivirusi ne onesposobijo.

Trendmicro
Avast
Eset32

so bili iz izkušenj popolnoma neuporabni in je virus poleg njih zakriptiral datoteke...
edit: Slovnica

boogie_xlr ::

Problem je Windows, ki ima po defaultu vklopljeno "Hide extensions for known file types" oz. po naše "Skrij pripone za znane vrste datotek". V .exe brez problema zapišeš ikono, ki izgleda enako kot word/pdf dokument ali kaj drugega. Ker pa Windows tretira .exe kot znano vrsto datoteke, potem "dokument.pdf.exe" uporabnik vidi kot "dokument.pdf". Običajnemu uporabniku pa se končnica pdf ne zdi nič nevarnega, ga odpre in s tem zažene izvedljiv program, ki pa po možnosti celo ne potrebuje administrativnih pravic. Ko pa se enkrat program zažene, je že prepozno.
IMHO če bi bile končnice za vse datoteke vklopljene, bi uporabnik videl sumljiv .exe in bi premislil, preden bi ga zagnal.

SeMiNeSanja ::

Ker antivirusi ne dohajajo več, se vse bolj uveljavljajo 'Sandbox' rešitve.
Te v virtualnem okolju odprejo priponko in analizirajo, kaj želi naresti, če se pokažejo kakšne značilnosti škodljive kode.

Ko v praksi gledaš, kako se obnesejo te rešitve, imaš obdobja, ko že antivirus polovi škodljivo kodo, potem pride obdobje, ko Sandbox ujame nekaj škodljivcev. Sledi obdobje, ko se očitno antivirus nadgradi, da bi prepoznal te škodljivce in postane bolj učinkovit. Takrat se že sprašuješ, če Sandbox sploh kaj dela in če je bila investicija vanj smiselna. Potem pa se zgodba ponovi, ko spet nekaj ubeži antivirusu.

Problem pri Sandbox tehnologiji je v časovnem zamiku, saj se analiza ne zgodi v trenutku, temveč zna trajati več ur. Ta čas je škodljiva koda lahko že dostavljena in si samo z določeno mero sreče še pravočasno obveščen, da je nek določen mail za uporabnika XY vseboval škodljivo kodo.

Zato imajo nekateri ponudniki rešitev svojo bazo v oblaku, kamor se shranjujejo hash-i vseh analiziranih datotek. Če do tebe pride datoteka, ki jo je AV označil kot 'čisto', Sandbox software najprej generira hash te datoteke in preveri bazo, če je ta datoteka že bila kdaj videna. V kolikor najde v bazi zaznambo, da se gre za škodljivo kodo, bo takšno datoteko blokiralo. Edino v primeru, da datoteke ni v bazi, jo bo analiziralo v Sandboxu. V praksi so doslej še vse škodljive datoteke, ki mi jih je našel, bile znane, tako da so bile vse takoj blokirane.
Žal pa ne morem nič reči, kako zanesljivi so različni proizvajalci in njihove implementacije. Očitno obstajajo določene razlike. Baje da nekateri nudijo zaščito pred zaznano datoteko preko antivirusa, ta pa 'zagrabi' šele potem, ko se kreira še signatura in posodobi signaturo na tvojem sistemu. Ta ciklus pa lahko traja (pre)dolgo. Velike so baje tudi razlike v 'globini' same analize, kot tudi katere vrste datotek je določen sandbox sistem sposoben analizirati.

Gre se za še dokaj mlado tehnologijo, tako da bo v bodoče verjetno še kar nekaj novosti na tem področju, vse več pa bomo teh implementacij tudi videli pri uporabnikih, predvsem v podjetjih.

SeMiNeSanja ::

boogie_xlr je izjavil:

IMHO če bi bile končnice za vse datoteke vklopljene, bi uporabnik videl sumljiv .exe in bi premislil, preden bi ga zagnal.

To deloma drži.
Žal pa sem že videl variante, ko je .exe datoteka imela ikono pdf dokumenta, končnica .exe pa je bila skrita izza cele vrste presledkov: "datoteka.pdf_________________________________.exe"
Tako te lahko hitro zavede (npr. premalo okence za izpis polnega imena datoteke), da klikneš na takšno datoteko.

Žal pa škodljiva koda pride tudi kot dejanska .pdf, .doc, .xls,...
Ravn danes mi je Sandbox blokiral dva različna primerka FOPTR01.DOC, na katere AV ni niti trznil:

Threat ID
c209fc89025348cdb43e779277d86e78
MD5 bc20d3a90b0ed4edc0e6208fb9182972
MIME Type application/msoffice-doc
Threat Level high
Malicious Activity Detected (6)
Execution: Executing a dropped a file
Network: Attempting to download executable from remote location
Packer: Overwriting Image Header (malicious packer)
Network: Connecting to server using hard-coded IP address
Execution: Suspicious macro activity detected
Network: Attempting to download remote executable content

Torej - odpreš .doc, pa bo šel sam iskat .exe......

Zgodovina sprememb…

SeMiNeSanja ::

Še en link z uporabnimi informacijami - morda komu prav pride.

Pentium ::

Je že kaj novega glede CryptoWall-a 3.0? Kolegu je zaklenil cca. 5000 filetov, sicer vrednega ravno ni kaj, so pa družinske slike...

bambam20 ::

Pentium je izjavil:

Je že kaj novega glede CryptoWall-a 3.0? Kolegu je zaklenil cca. 5000 filetov, sicer vrednega ravno ni kaj, so pa družinske slike...



AV ima ?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Našla se je rešitev za WannaCry!

Oddelek: Novice / Varnost
187934 (5474) Phantomeye
»

Locky

Oddelek: Pomoč in nasveti
4610376 (8814) SeMiNeSanja
»

izsiljevalski virus Locky (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
16943812 (34922) SeMiNeSanja
»

Nov kriptovirus Locky na pohodu, napada tudi bolnišnice (strani: 1 2 )

Oddelek: Novice / Kriptovalute
7934506 (30492) misek
»

Vdor v računalnik, zaklenjeni diski

Oddelek: Pomoč in nasveti
386554 (5081) MrStein

Več podobnih tem