» »

virus ki kriptira datoteka - končnica ecc

virus ki kriptira datoteka - končnica ecc

«
1
2

giovanni_ ::

Imam specifičen problem. Kolega je dobil virus/malware, ki je vse datoteke tipa(jpg,word,excel) kriptiral in dodal končnico .ecc
seveda sedaj zahteva denar :)
malo sem pogooglal in sem kar depresiven, rač sem očistil a datoteke so neberljive.
Ker kolega nima backupa sem pomislil, če se je kdo srečal s kakšno podobno zadevo.

poskusil sem system restore, shadow copy itd...
pokličem še reševanje podatkov Kotar medtem.
hvala za koristne nasvete

popster ::

kateri virus pa je bil?

giovanni_ ::

Ko sem dobil rač je ekran črn in navodilo, kako se plača.
http://deletemalware.blogspot.com/2015/...
tega obvestila kot piše na strani nisem videl, čeprav se vsi sklicujejo na ta virus. Avast je našel več virusov. Malware bytes pa več 100 zadev.

mat xxl ::

Ne vem.... sam sem na računalnikih z Radix sistemom, namerno probal okužiti mašino z NIS antivirusom in Win antivirusom in opa sta blokirala zadevo, sicer NIS brezpogojno MS je pa nekaj domneval, da bi znalo to biti in je želel odobritev za blokado.

Pač če je novejša stvar pogoglay če je kdo zlomil kodo, sicer pa pripravi Bitcoine ....

vostok_1 ::

Zlomil kodo? Brez ključa, lahko lomiš, ampak ne bo pomagalo. Ampak ključ je najbrž kje bil zabeležen na hostu.

bambam20 ::

giovanni_ je izjavil:

Imam specifičen problem. Kolega je dobil virus/malware, ki je vse datoteke tipa(jpg,word,excel) kriptiral in dodal končnico .ecc
seveda sedaj zahteva denar :)
malo sem pogooglal in sem kar depresiven, rač sem očistil a datoteke so neberljive.
Ker kolega nima backupa sem pomislil, če se je kdo srečal s kakšno podobno zadevo.

poskusil sem system restore, shadow copy itd...
pokličem še reševanje podatkov Kotar medtem.
hvala za koristne nasvete


Dobrega AV-ja pa ni imel?

giovanni_ ::

Sploh ni bilo AV instaliranega.
Odgovor s strani podjetja za reševanja podatkov tudi kaže da Bitcoins ali pač bodo šlo...

crniangeo ::

pa kje folk stakne te viruse.. jaz jih iscem, da bi se z njimi na virtualkami poigral in nič pametnega ne najde :/
Convictions are more dangerous foes of truth than lies.

bambam20 ::

crniangeo je izjavil:

pa kje folk stakne te viruse.. jaz jih iscem, da bi se z njimi na virtualkami poigral in nič pametnega ne najde :/


Pr0n recimo :).

Ravno zaradi teh virusov, ki so začeli kriptat file sem si lani ponovno inštaliral AV. Ziher je ziher.

giovanni_ ::

Upaj, da ga kdaj ne boš dobil.
Sedaj pa osebno poznam človeka, ki je zgubil slike rojstva otroka.

nauk: pravilen backup itd...

bambam20 ::

giovanni_ je izjavil:

Upaj, da ga kdaj ne boš dobil.
Sedaj pa osebno poznam človeka, ki je zgubil slike rojstva otroka.

nauk: pravilen backup itd...



HOw stupid is that. Da imaš slike samo na disku.

perci ::

Lahko jih imaš tudi na NAS-u, pa če imaš mapano zadevo kot disk...se tudi lahko zgodi tole.

Precej nasty.

[D]emon ::

bambam20 je izjavil:

crniangeo je izjavil:

pa kje folk stakne te viruse.. jaz jih iscem, da bi se z njimi na virtualkami poigral in nič pametnega ne najde :/


Pr0n recimo :).


Star mit, ki ze dolgo ne drzi vec. :)
Mavrik ta forum uporablja za daljsanje e-penisa. Ker si ne upa iz hise.

Ribič ::

giovanni_ je izjavil:

nauk: pravilen backup itd...

Točno tako. Kdor si ne ustvari varnostne kopije, naj pač plača svojo neumnost.

SeMiNeSanja ::

AV je že prav, da ga imaš nameščenega, se pa nebi pretirano zanašal nanj.
Te barabe svojo kodo redno 'prepakirajo' s posebnimi orodji, tako da jo obstoječe AV signature ne zaznajo. Dokler 'nova koda' ni dovolj razširjena, da bi se naredilo novo AV signaturo zanjo, ti AV ne bo mogel kaj dosti pomagati.

Tako da dejansko še najbolj pomaga backup.
Pa seveda tudi nekaj soli v glavi, da ne odpiraš vsako priponko, ki ti prileti na mail ali klikaš po linkih v mailih neznanega izvora ali s čudno 'Google Translate slovenščino'.

bambam20 ::

[D]emon je izjavil:

bambam20 je izjavil:

crniangeo je izjavil:

pa kje folk stakne te viruse.. jaz jih iscem, da bi se z njimi na virtualkami poigral in nič pametnega ne najde :/


Pr0n recimo :).


Star mit, ki ze dolgo ne drzi vec. :)


še vedno je velika verjetnost, da boš fasal virus na pr0n straneh. To pa ne pomeni, da kript lockerja ne moreš dobit na ostalih vsakodnevnih straneh in po mailu.

Osebno sumim, da za tem stojijo podjetja, ki živijo od prodaje AV-jev. Pred leti je bilo močno razširjeno, da računalnik ne bo priživel brez AV-ja. Potem se je zgodil preobrat, ko je folk ugotovil, da tudi brez AV-ja vse deluje in seveda je potrebno ljudi prisilit v uporabo le tega.

Pač moja teorija, kar ne pomeni, da je resnična.

solatko ::

Včasih pomaga recovery izbrisane particije, ki najde starejše neokužene verzije datotek, recimo zaradi selitev v mape iz originalne mape. Sicer so še drugi načini, vendar je potrebno pustiti virus čisto pri miru in ga ne odstraniti, saj potem ne dobiš več ravno tiste verzije, ki je tebi okužila stvari.
Pri vsakem virusu je najprej potrebno poizkusiti z restore pointom (saj če že furate zadeve brez AV ali backupa, imejte vsaj za to, nekaj GB na disku).

Če je bil virus zbrisan in datoteke ni možno vrniti v prvotno obliko z recovery, tudi Bitcoin-i ne bodo pomagali, saj original okužbe ni več na disku, recovery pa virusa ne bo obnovil.

Poleg vsega je nevarnost še ta, da si z backupom okužil tudi kopijo.

Sicer pa je večina teh virusov v priponkah "komercialnih" obvestil in banerjih na čisto običajnih straneh. Predvsem so nevarni vsi "dobitki", strani hackerjev s cracki, svetleči banerčki na porn straneh in večina toolbarov v Chrome.
Delo krepa človeka

giovanni_ ::

Virus je pobrisal Restore point točke od Win.
Tudi shadow copy app ni najdel pred časom okužbe

crniangeo ::

v tem primeru pomaga obnovitev datotek in sicer restore pointa? :P
Convictions are more dangerous foes of truth than lies.

mat xxl ::

perci je izjavil:

Lahko jih imaš tudi na NAS-u, pa če imaš mapano zadevo kot disk...se tudi lahko zgodi tole.

Precej nasty.


Ja zato ta boljši bakup programi sam bakup kriptirajo in potem ne dovoljio dostopa drugim programom, do bakupa ....... restavrira se pač spet z tem bkp programom.....

vostok_1 je izjavil:

Zlomil kodo? Brez ključa, lahko lomiš, ampak ne bo pomagalo. Ampak ključ je najbrž kje bil zabeležen na hostu.


Včasih če imaš srečo drugi najdejo način za povrnitev, te zadnje zadeve so pa že zelo napredne .....

crniangeo je izjavil:

v tem primeru pomaga obnovitev datotek in sicer restore pointa? :P


Restore na 0 je še zmeram 0 oziroma sploh ni možen !

Skratka najboljša in najmanj boleča rešitev za to težavo je PLAČILO, potem se pa nekaj naučiti iz tega, ostali pa evo ta pametni nekaj se naučite for free na tujih izkušnjah !

Zgodovina sprememb…

  • spremenil: mat xxl ()

Okapi ::

Pa plačilo sigurno pomaga? Ker kriminalcu nekaj plačati je tudi tvegano.

solatko ::

giovanni_- virus ni pobrisal restore pointa, temveč si imel po defaultu naštimano 0GB prostora za restore point.
Sedaj ti preostane samo to, da vse particije zbrišeš (vzemi Aomei partition asistent), ne formatiraš in poizkusiš z recovery file pogramom. Jih je na netu kar nekaj kvalitetnih freeweare.

mat xxl - backup programi kriptirajo samo po naročilu, saj so v nasprotnem primeru kopije neuporabne, če se ti sesuje original ključ na delovnem PC-ju, razen če imaš ključ na copy disku ali na usb ključku skupaj s kript restore programom.
Plačilo ob zbrisanem virusu, je brez veze.
Boljši način je poizkusit rešit starejše verzije failov, ki so bili zaradi kakršnega koli razloga preimenovani, premaknjeni v drugo, namensko mapo.

Vse drugo je sedaj brez veze.
Če gre za vrednejše zadeve, pa profesionalci s svojimi cenami.

Sicer pa se nobenega hujšega virusa ne briše, dokler ne najdeš način, pri katerm ni posledic - forumi, AV strani,.....
Delo krepa človeka

Zgodovina sprememb…

  • spremenil: solatko ()

dr.Akula ::

Glede na to da si zgoraj dal TeslaCrypt link, sklepam da je tvoj prijatelj to staknil. Za CoinVault je recimo Kaspersky pred dnevi naredil orodje za odstranitev in dekripcijo ( http://blog.kaspersky.com/coinvault-ran... ), ker so dobili ključe iz razbitega botneta.
ni podatka

krikoman ::

Zdravo
Ravnokar se na enem računalniku srečujem s temle, plačilo ponavadi deluje do te mere, da ti nakažeš denar in tu se zadeva ustavi! Lahko poizkusiš, vendar glede na komentarje, ki sem jih zasledil je to strel v koleno. Restore points tukaj sicer obstajajo, vendar ne delujejo. Edina stvar s katero si lahko pomagaš je npr. Recuva in pognati deep scan čez vse. Se da dobiti zelo veliko nazaj, saj se pred kriptiranjem naredi kopija datoteke, ki je potem izbrisana. Če je sreča, so te kopije nepovožene. Torej čim manj packati po disku dokler ne poženeš file recovery.

solatko ::

krikoman - Poizkusi restore point tako, da najprej premakneš letnico v bios-u za 3 ali 4 leta nazaj, ob uspešnem restoru, ti bo sistem sam postavil datum v pravo letnico.

Meni je na ta način uspelo pri neki zadevi, za katero je še danes predlagan frišen instal. Zadeva se zažene po določenem datumu, če je ta starejši, kot je bil nastanek programa, zna it skoz, ker se na nepredviden datumski podatek ne zažene.

S to rešitvijo sem pred nekaj leti rešil kar nekaj dragocenega materiala, raznim uporabnikom, ki so praktično že obupali.
Restore point namreč datuma iz bios-a ne uporablja, temveč se orientira po datumu obnovitvene datoteke.
Delo krepa človeka

krikoman ::

solatko
hvala za predlog, bom poizkusil

solatko ::

Sam sem to odkril čisto slučajno, ker mi je na enem računalniku s takim virusom izpadla baterija na MB. Na srečo je bil to drugi primer, potem pa so kar dnevno nosili to nesnago, ki se je širila po pošti.
Delo krepa človeka

Matko ::

crniangeo je izjavil:

pa kje folk stakne te viruse.. jaz jih iscem, da bi se z njimi na virtualkami poigral in nič pametnega ne najde :/

iz druge roke: radovednost pri odpiranju poštnih priponk

Kurzweil ::

@giovanni_, koliko denarja pa dejansko zahtevajo? ali je plačilo možno samo z bitcoini? Predvidevam da, sicer bi se talo precej lažje izsledil da drek od ljudi.

solatko ::

Različno, kolikor sem imel opravka s podobnimi, je bilo vedno 100€ ali 100$ in neki računi iz Nigerije, raznih karibskih državic in podobno.
Primera z BC še nisem videl.
Delo krepa človeka

perci ::

Pa je kdo dejansko potem uspel tudi dobiti podatke nazaj?

Spajky ::

Sem nekje prebral, celo da ja baje ...
"Bluzim na forumu, torej sem !" (še živ ) ...

solatko ::

Čisto vsi podatki se dajo dobiti nazaj, vprašanje je samo koliko to stane.
Če pa misliš na tisto foro, da jim pošlješ denar, pa ti rešijo, pač ne poznam nikogar, ki bi dejansko poslal denar na tisti račun. Poglej tuje forume o teh temah, morda je kak uporaben odgovor.
Večino podatkov se na deletani particiji, da dobit v prvotni obliki z recovery programi.
Delo krepa človeka

perci ::

ne, to sem mislil, da plačaš za ključ in dekriptiraš podatke

Okapi ::

Kako naj bi to sploh delovalo? Pošlješ denar in dobiš geslo za dešifriranje? Ker tako preprosto po mojem ne gre, saj bi s tistim geslom potem lahko dešifriral podatke na vsakem okuženem računalniku in bi bila zadeva že na netu.

GTX970 ::

saj bi s tistim geslom potem lahko dešifriral podatke na vsakem okuženem računalniku in bi bila zadeva že na netu.

Vsak okužen računalnik ima zakodirane podatke z drugim unikatnim geslom.

Nekako tako:
http://securelist.com/blog/research/694...
poglavje Encryption, ComputerName in VolumeSerialNumber sta dva unikatna podatka.

Zgodovina sprememb…

  • spremenilo: GTX970 ()

perci ::

Okapi, vsakič kriptira z drugim ključem :), ključ pa verjetno pošlje lastniku virusa (ali pa ne, zato me tudi zanima), sicer bi bilo to razbito takoj.

Zgodovina sprememb…

  • spremenil: perci ()

Okapi ::

Saj zato sprašujem - ker samo pošiljanje denarja ni dovolj, je najbrž treba še kakšne podatke poslati kriminalcu, da dobiš pravo geslo za svoj računalnik.

O.

Lonsarg ::

Kolikor vem ta virus itak redno komunicira z botnetom, preko katerega kriminalci komunicirajo z tabo, torej ne rabiš nobenega posebnega komunikacijskega kanala, ker je ta vgrajen v sam virus.

Kurzweil ::

solatko je izjavil:

Čisto vsi podatki se dajo dobiti nazaj, vprašanje je samo koliko to stane.
Če pa misliš na tisto foro, da jim pošlješ denar, pa ti rešijo, pač ne poznam nikogar, ki bi dejansko poslal denar na tisti račun. Poglej tuje forume o teh temah, morda je kak uporaben odgovor.
Večino podatkov se na deletani particiji, da dobit v prvotni obliki z recovery programi.


Če te prav razumem praviš, da če podatke zbrišem in jih z enim od miljarde recovery programom uspešno dobim nazaj, bodo ti podatki spet uporabni? :|

solatko ::

Ne zbrišeš!
S programom za urejanje diskov, zbrišeš particijo oziroma vse in potem poiščeš faile z recovery programom.
V vseh programih za urejanje diskov imaš namreč ukaz - delete. S tem nič ne brišeš, razen osnovne parametre, ki določajo particijo.
Večinoma so obnovljeni podatki uporabni, izgubil boš verjetno samo tiste, ki niso bili niti enkrat premaknjeni, možno pa je, da ti bo dalo tudi od teh senčne kopije.

Pripravi si disk, na katerega boš posnel popravljene zadeve, ne moreš namreč shranjevati na isti disk, s katerega hočeš faile.
Delo krepa človeka

Lonsarg ::

To deluje ja, niti ni treba particije zbrisat, če imaš tak recovery program kot se spodobi. Je pa vprašanje kolikšen % zadev ti to povrne.

Ribič ::

Pa nimajo tile novejši virusi tudi "secure overwrite" metode, da originalne fajle večkrat prepišejo z kriptiranimi?

Sicer pa če nimaš varnostne kopije, je najhitreje, da plačaš. Slišal sem, da se avtorji teh virusov ponavadi držijo besed. Najbolj smešno se mi pa zdi, ko sem prebral nekje, da so ta virus fasali tudi na policijski postaji v ameriki. Na koncu bili policisti prisiljeni finančno podpirati kriminal, da so dobili svoje datoteke nazaj.

Da bi pa poskusil dešifrirati datoteke z ugibanjem ključa, pa kar pozabi, ker (v povprečju) tega ne boš dočakal v svoji življenski dobi.

lp

solatko ::

Ribič - Narobe si slišal, ker večina tega ne dobiš od avtorja.
Delo krepa človeka

StratOS ::

Ribič je izjavil:

Pa nimajo tile novejši virusi tudi "secure overwrite" metode, da originalne fajle večkrat prepišejo z kriptiranimi?

Sicer pa če nimaš varnostne kopije, je najhitreje, da plačaš. Slišal sem, da se avtorji teh virusov ponavadi držijo besed. Najbolj smešno se mi pa zdi, ko sem prebral nekje, da so ta virus fasali tudi na policijski postaji v ameriki. Na koncu bili policisti prisiljeni finančno podpirati kriminal, da so dobili svoje datoteke nazaj.

Da bi pa poskusil dešifrirati datoteke z ugibanjem ključa, pa kar pozabi, ker (v povprečju) tega ne boš dočakal v svoji življenski dobi.

lp


A misliš, da ti bodo še v virusu algoritem/aplikacijo za dekripcijo zraven dali in opcijo za takojšno dekodiranje enkodiranih datotek ?

Danes je uporaba javnih ključev, certifikatov in potrdil preko asimetričnih algoritmov ( v večini primerov RSA ) in uporaba gesel za zaščito zasebnega ključa prosilca osnova komunikacije in podpisništva digitalnega potrdila.Prav tako lahko ključe uporabljate za enkodiranje datotek oziroma celotnega Datotečnega Sistema.

Sam postopek dešifriranja in uporaba delnih matrik dešifriranja je zelo dolgotrajna, res pa je da po drugi strani tehnologija in uporaba enkripcije pred par letami (10), ki je v osnovi tedaj bila "nezlomljiva" je sedaj z mavričnimi vektorji in matrikami rešena v borih parih minutah.
Tudi tu tehnologija gre naprej, prav tako je vidno, da v večini primerov tudi tu do sedaj v prihodnosti obstaja back-door, čeprav je algoritem sam one-way funkcija :)
Zgodovina nas uči, le mi se ne moremo naučiti iz nje ...
"Multitasking - ability to f##k up several things at once."
"It works better if you plug it in."
"The one who is digging the hole for the other to fall in is allready in it."

bambam20 ::

Sej se boste naučili, da rabte AV-je :). Enim treba to zgrda razložit :).

solatko ::

rupsi31 - Pri večini odpiranj priponk v mailu, ti AV nič ne koristi. Če isto priponko poizkušaš shranit na namizje ali v mapa, pa jo AV odstrani, preden naredi škodo.
Delo krepa človeka

crniangeo ::

+1 za solatkov post. Sicer naj bi se zadeve "downloadane" z interneta zaganjale(med njimi je tudi elektronska pošta) v sandbox modu, vendar zgleda, ima veči del tega folka izklopjen uac. Vsaj dosedanja praksa je pokazala tako. Al se motim ?

Lp,
Convictions are more dangerous foes of truth than lies.

Ribič ::

StratOS je izjavil:

A misliš, da ti bodo še v virusu algoritem/aplikacijo za dekripcijo zraven dali in opcijo za takojšno dekodiranje enkodiranih datotek ?
Kriptiranih datotek, ne enkodiranih. Da, saj tako tudi počnejo. Le ključ za dešifriranje moraš kupiti z bitcoinom.

StratOS je izjavil:

Prav tako lahko ključe uporabljate za enkodiranje datotek oziroma celotnega Datotečnega Sistema.
Če bi trojanci to storili, potem bi sistem postal neuporaben in uporabnik nebi moral plačati za dešifrirni ključ, kar je v bistvu tudi cilj teh trojancev.

solatko je izjavil:

Ribič - Narobe si slišal, ker večina tega ne dobiš od avtorja.

Potem pač tisti, ki te trojance pošiljajo naokoli. Ni pa nujno, da so ti ljudje tudi avtorji.

Zgodovina sprememb…

  • spremenil: Ribič ()

dronyx ::

Po moje sta dve opciji v takem primeru. Ali plačaš in upaš da so kriminalci "pošteni" (tu se lahko držiš ameriškega načela "da se s teroristi ne pogajaš", kar pomeni, da to takoj odpade), ali pa šifrirane podatke nekam shraniš za čas, ko bodo odkrili način, kako jih dešifrirati.

Zgodovina sprememb…

  • spremenil: dronyx ()
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Locker v1.52 - datoteke zaklenjene

Oddelek: Pomoč in nasveti
161949 (1500) GTX970
»

Virus ki zahteva 100 eur za odblokirat windowse (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
15442887 (24927) BorutK-73
»

Alarm plačilo 100eur

Oddelek: Informacijska varnost
223467 (2488) solatko
»

Po Sloveniji se širi Cryptolocker (strani: 1 2 )

Oddelek: Novice / Varnost
6130732 (17728) alro
»

Trojan.Gpcoder.G (strani: 1 2 )

Oddelek: Pomoč in nasveti
98198963 (192151) Cold1

Več podobnih tem