Lze prosím dešifrovat ransomware

Antivirové programy, firewally, viry, spyware, aktuální hrozby

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod matata86 26. 3. 2017 17:29

Ahoj,
je prosím možné odsifrovat soubory po Ransomware?

Screen zde: http://gofile.me/6uirq/G398uGWVA

Notebook jsem vycistil Spy hunterem, ale soubory jsou stále zašifrvane. Maji koncovku b243. Děkuji moc.
matata86
Kolemjdoucí

Odeslat příspěvekod mople71 26. 3. 2017 17:54

Cerber 4.0, zatím bohužel ne. :(

Doufám, že máš zálohy dat. Pokud ne, důležitá zašifrovaná data si můžeš někam schovat a doufat, že někdo v budoucnu objeví možnost obnovy dat, upřímně bych tomu moc nadějí nedával, ale šance tam pořád je. ;)
Administrátor fóra MobilMania.cz a moderátor fóra Živě.cz
Pokud neodpovím do dvou dní, připomeňte se.
mople71
Taťka moderátor
Uživatelský avatar

Odeslat příspěvekod franta321 27. 3. 2017 15:01

Před 2 lety se stalo něco podobnýho kolegovi - otevřel falešnej mejl od Český pošty a z něj vyskočil čertík a zakryptoval mu všechny dokumenty, hajzl jeden :-D
A určitým řešením bylo to, že jsme nejdřív perektně odvirovali počítač a pak jsme v dotčených složkách koukli na Předchozí verze a obnovili stav před zavirováním na USB flash (patřičně velký). Samozřejmým předpokladem je, že má člověk zapnutou Ochranu systému. Podařilo se nám obnovit skoro všechno.
ALE opravdu je důležitý nejdřív PC pořádně odvirovat. Pokud se tak nestane a obnovíte Předchozí verze souborů na flashku, virus je zakryptuje hned taky.
franta321
Junior

Odeslat příspěvekod Nargon 29. 3. 2017 07:32

Bohužel dnes jsou ty viry už chytřejší a dokáží zašifrovat i tyto předchozí verze a nebo je odstranit. Takže pokud je nemáš proti tomuto nějak chráněné tak to dnes už moc nepomůže.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod franta321 29. 3. 2017 08:31

Do pytle. A takovej to byl jednoduchej způsob řešení ... :-) Njn, to se dalo čekat.
franta321
Junior

Odeslat příspěvekod Nargon 29. 3. 2017 09:09

Myslím že zálohování pomocí aplikací třetí strany ještě funguje. Ikdyž čím známější to je aplikace, tím dříve se ji viry naučí a taky budou zálohu odstraňovat.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod Martin-P 29. 3. 2017 09:39

Otázka je položená moc obecně.

Ano lze to . Ale jestli se to týká Vašeho případu nejde z dotazu a souboru poznat. Protože třeba soubor není z úložiště dostupný.

Třeba pomůže tohle
https://www.nomoreransom.org/crypto-sheriff.php
Martin-P
Junior

Odeslat příspěvekod mople71 29. 3. 2017 11:01

Ale jde. ;)
mople71
Taťka moderátor
Uživatelský avatar

Odeslat příspěvekod mmmjack 5. 4. 2017 22:25

Tak jsem se stal v pondělí také obětí, bohužel ne jen já, ale také všechna firemní data na NASu. Sice jsme konzultovali se znalymi osobami, ale dostupnými dekryptory to nešlo. Tak jsme neměli co ztratit, vyplazli 500 USD přes bitcoiny a čekali. Dostali od nich decrypt soft, malinký exe soubor velikosti 109 kB!
Ještě před započetím dekryptu jsme udělali bitovou kopii win, abychom to případně mohli zkusit znovu. Ocesali jsme data na nasu a na PC o všechno možné co není důležité, nebo jsme věděli že to máme zalohovane, z důvodu toho, aby decrypt dělal co nejméně souborů.
Pak jsme soft pustili a začal decrypt, naštěstí toho co potřebujeme nejvíce, data s emaily, a pak nějaké další, jenže se zastavil a my nevěděli proč a ani zdaleka neopravil vše. Zkoušeli jsme pouštět znovu a znovu a vždy nějakou dobu jel, a pak skončil, něco opravil a zase hodně nechal.
Pri testu pouze pár souboru na ploše a odpojenemu všemu co ještě nebylo dekryptovano jsme haluzi zjistili, že soft stále funguje! Takže jsme se jali po částech dekryptovat zbývající data a úspěšně tak dokončili obnovu, stále za cenu "symbolických" 500 USD :)
Zjistili jsme totiž, že decrypt soft jede a nabírá RAM, než dosáhne 1,85 GB cca a pak se zastaví, ovšem stačí jej pouštět znovu a znovu a on pokračuje práci na stále zakryptovanych souborech! To jsme samozřejmě zjistili až ke konci.
Neříkám samozřejmě, že to bude všem takto fungovat, jen říkám mou osobní zkušenost a jak to probíhalo.
Jinak je k tomu dost co říct na celý článek...

BTW záloha samozřejmě byla, ovšem na PC kde se vir spustil. Na samostatném disku, kde samozřejmě přišla na řadu jako první. Admin (totiž já) si myslel že je neomylny a že se mu nic takového nemůže stát...
mmmjack
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod matata86 6. 4. 2017 08:15

To se ta svině dostala i na NAS s linuxem? A zašifrovalo vše včetně historie záloh?
matata86
Kolemjdoucí

Odeslat příspěvekod Petr Z. 6. 4. 2017 09:33

To kolega z prace se v utery taky stal obeti a ransomware zacal vesele sifrovat 2,39PB. Nastesti jsme se vratili k zaloze z predchozi pulnoci a zadne velke drama se nekonalo.
Petr Z.
Junior

Odeslat příspěvekod mmmjack 6. 4. 2017 11:10

NAS Synology DS212 máme, přistupujeme normálně po síti skrze průzkumníka, a on se dostal všude, kam měl přístup, takže by se dostal i do dalších sdílených složek, co mají nasdílené ostatní uživatelé v síti (a kdybych tam měl právo editovat), což na NASu samozřejmě mám. Na NASu zálohy samy od sebe pokud vím nejsou, pouze koš _recycle_, ale on se dostane a přepíše prostě všechny soubory, které jsou dostupné.
Stejně tak nám zakryptoval server s Pohodou (ne její data v databázi SQL serveru), která funguje tak, že má nasdílené dva adresáře z C:\Program Files a z C:\ProgramData a klienti spouští aplikaci pomocí těchto složek, no a tím, že jsou dostupné na síti, tak je samozřejmě zakryptoval taky. Ona by stačila přeinstalace aplikace na serveru, já ale vzal obsah obou adresářů a dekryptoval jsem je "zakoupeným" softem, nahrál je zpět a už se rozjela. Ale toto mají dost blbě vymyšlené ve Stormware, asi jim tam napíšu, páč kdybychom neměli SQL verzi, tak to napadne data smaotného účetního software a bez zálohy bychom byli v P***

Nejhorší je, jak je to hrozně rychlé to kryptování! Odhadem to zakryptovalo tak 3-4 TB dat za asi půl hodiny, možná by zvládl i více, kdyby měl co kryptovat ještě.
Intel Core i5-4690K · SPC Fera2 (fan F12PWM) · 16 GB DDR3 · MSI GTX1060 Gaming · Kingston KC400 · Crucial M500 · MSI Z97M Gaming · Fractal Design Define Mini (4xF12PWM) · Seasonic G450 · Dell U2717D
mmmjack
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod KOSŤA KOSTIČ 9. 4. 2017 22:59

Když je ransomware tak výkonný kryptovací soft, zkoušel ho někdo takto využít i prakticky? Dejme tomu když mám takovou rodinu RW neřešitelnou standardními postupy kromě zaplacení, která se jen šíří a šifruje na co příjde, ale nic nemaže a k dané rodině mám dekrypt, tak se ho už přece obávat nemusím. Pak můžu mít celý počítač vědomě zavirovaný a nevadí mi to, protože co potřebuju, si dekryptuju. Smysl takového umělého zavirování je v ochraně počítače před každým zvědavcem, který si z takto zavirovaného počítače bude chtít cokoli stáhnout. Prostě bude mít smolíka, protože si pouze zaviruje ten svůj. Nebo stejně tak když se tohoto zavirovaného počítače zmocní policie, nebo jakýkoli jiný zloděj, tak si vůbec nepomůže a ještě bude skutečnému majiteli "vděčný" :-) :-) :-)
Jsem gastrosexuál, takže mi každá může akorát tak uvařit...
Je lepší mrtvej frajer, než živej sráč?
KOSŤA KOSTIČ
Junior
Uživatelský avatar

Odeslat příspěvekod mmmjack 10. 4. 2017 07:41

Tak podle mne si ten zvedavec nic nezaviruje, pouze si zkopiruje sifrovany soubor k sobe, to je vse.
Nez pouzivat jejich verzi, tak si radeji zasifruju data nejak "normalne" a ne pomoci hackerskych metod... Nemas kontrolu nad tim, kam se to vsude dostane, musis odpojit PC od site a disky, ktere nechces, aby byly zasifrovane.
Proti policii je to samozrejme asi pouzitelne, ale kolik takovych je? Vyuzitelnost miziva, kdy vis ze ti prijdou pro data? Proc by vubec meli chodit?
Citliva data se sifruji uplne jinak podle mne...
Intel Core i5-4690K · SPC Fera2 (fan F12PWM) · 16 GB DDR3 · MSI GTX1060 Gaming · Kingston KC400 · Crucial M500 · MSI Z97M Gaming · Fractal Design Define Mini (4xF12PWM) · Seasonic G450 · Dell U2717D
mmmjack
Mírně pokročilý
Uživatelský avatar


  • Podobná témata
    Odpovědi
    Zobrazení
    Autor

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků