Fórum Živě.cz

Ahoj,
je prosím možné odsifrovat soubory po Ransomware?

Screen zde: http://gofile.me/6uirq/G398uGWVA

Notebook jsem vycistil Spy hunterem, ale soubory jsou stále zašifrvane. Maji koncovku b243. Děkuji moc.

Cerber 4.0, zatím bohužel ne.

Doufám, že máš zálohy dat. Pokud ne, důležitá zašifrovaná data si můžeš někam schovat a doufat, že někdo v budoucnu objeví možnost obnovy dat, upřímně bych tomu moc nadějí nedával, ale šance tam pořád je.

Před 2 lety se stalo něco podobnýho kolegovi - otevřel falešnej mejl od Český pošty a z něj vyskočil čertík a zakryptoval mu všechny dokumenty, hajzl jeden
A určitým řešením bylo to, že jsme nejdřív perektně odvirovali počítač a pak jsme v dotčených složkách koukli na Předchozí verze a obnovili stav před zavirováním na USB flash (patřičně velký). Samozřejmým předpokladem je, že má člověk zapnutou Ochranu systému. Podařilo se nám obnovit skoro všechno.
ALE opravdu je důležitý nejdřív PC pořádně odvirovat. Pokud se tak nestane a obnovíte Předchozí verze souborů na flashku, virus je zakryptuje hned taky.

Bohužel dnes jsou ty viry už chytřejší a dokáží zašifrovat i tyto předchozí verze a nebo je odstranit. Takže pokud je nemáš proti tomuto nějak chráněné tak to dnes už moc nepomůže.

Do pytle. A takovej to byl jednoduchej způsob řešení ... Njn, to se dalo čekat.

Myslím že zálohování pomocí aplikací třetí strany ještě funguje. Ikdyž čím známější to je aplikace, tím dříve se ji viry naučí a taky budou zálohu odstraňovat.

Otázka je položená moc obecně.

Ano lze to . Ale jestli se to týká Vašeho případu nejde z dotazu a souboru poznat. Protože třeba soubor není z úložiště dostupný.

Třeba pomůže tohle
https://www.nomoreransom.org/crypto-sheriff.php

Ale jde.

Tak jsem se stal v pondělí také obětí, bohužel ne jen já, ale také všechna firemní data na NASu. Sice jsme konzultovali se znalymi osobami, ale dostupnými dekryptory to nešlo. Tak jsme neměli co ztratit, vyplazli 500 USD přes bitcoiny a čekali. Dostali od nich decrypt soft, malinký exe soubor velikosti 109 kB!
Ještě před započetím dekryptu jsme udělali bitovou kopii win, abychom to případně mohli zkusit znovu. Ocesali jsme data na nasu a na PC o všechno možné co není důležité, nebo jsme věděli že to máme zalohovane, z důvodu toho, aby decrypt dělal co nejméně souborů.
Pak jsme soft pustili a začal decrypt, naštěstí toho co potřebujeme nejvíce, data s emaily, a pak nějaké další, jenže se zastavil a my nevěděli proč a ani zdaleka neopravil vše. Zkoušeli jsme pouštět znovu a znovu a vždy nějakou dobu jel, a pak skončil, něco opravil a zase hodně nechal.
Pri testu pouze pár souboru na ploše a odpojenemu všemu co ještě nebylo dekryptovano jsme haluzi zjistili, že soft stále funguje! Takže jsme se jali po částech dekryptovat zbývající data a úspěšně tak dokončili obnovu, stále za cenu "symbolických" 500 USD
Zjistili jsme totiž, že decrypt soft jede a nabírá RAM, než dosáhne 1,85 GB cca a pak se zastaví, ovšem stačí jej pouštět znovu a znovu a on pokračuje práci na stále zakryptovanych souborech! To jsme samozřejmě zjistili až ke konci.
Neříkám samozřejmě, že to bude všem takto fungovat, jen říkám mou osobní zkušenost a jak to probíhalo.
Jinak je k tomu dost co říct na celý článek...

BTW záloha samozřejmě byla, ovšem na PC kde se vir spustil. Na samostatném disku, kde samozřejmě přišla na řadu jako první. Admin (totiž já) si myslel že je neomylny a že se mu nic takového nemůže stát...

To se ta svině dostala i na NAS s linuxem? A zašifrovalo vše včetně historie záloh?

To kolega z prace se v utery taky stal obeti a ransomware zacal vesele sifrovat 2,39PB. Nastesti jsme se vratili k zaloze z predchozi pulnoci a zadne velke drama se nekonalo.

NAS Synology DS212 máme, přistupujeme normálně po síti skrze průzkumníka, a on se dostal všude, kam měl přístup, takže by se dostal i do dalších sdílených složek, co mají nasdílené ostatní uživatelé v síti (a kdybych tam měl právo editovat), což na NASu samozřejmě mám. Na NASu zálohy samy od sebe pokud vím nejsou, pouze koš _recycle_, ale on se dostane a přepíše prostě všechny soubory, které jsou dostupné.
Stejně tak nám zakryptoval server s Pohodou (ne její data v databázi SQL serveru), která funguje tak, že má nasdílené dva adresáře z C:\Program Files a z C:\ProgramData a klienti spouští aplikaci pomocí těchto složek, no a tím, že jsou dostupné na síti, tak je samozřejmě zakryptoval taky. Ona by stačila přeinstalace aplikace na serveru, já ale vzal obsah obou adresářů a dekryptoval jsem je "zakoupeným" softem, nahrál je zpět a už se rozjela. Ale toto mají dost blbě vymyšlené ve Stormware, asi jim tam napíšu, páč kdybychom neměli SQL verzi, tak to napadne data smaotného účetního software a bez zálohy bychom byli v P***

Nejhorší je, jak je to hrozně rychlé to kryptování! Odhadem to zakryptovalo tak 3-4 TB dat za asi půl hodiny, možná by zvládl i více, kdyby měl co kryptovat ještě.

Když je ransomware tak výkonný kryptovací soft, zkoušel ho někdo takto využít i prakticky? Dejme tomu když mám takovou rodinu RW neřešitelnou standardními postupy kromě zaplacení, která se jen šíří a šifruje na co příjde, ale nic nemaže a k dané rodině mám dekrypt, tak se ho už přece obávat nemusím. Pak můžu mít celý počítač vědomě zavirovaný a nevadí mi to, protože co potřebuju, si dekryptuju. Smysl takového umělého zavirování je v ochraně počítače před každým zvědavcem, který si z takto zavirovaného počítače bude chtít cokoli stáhnout. Prostě bude mít smolíka, protože si pouze zaviruje ten svůj. Nebo stejně tak když se tohoto zavirovaného počítače zmocní policie, nebo jakýkoli jiný zloděj, tak si vůbec nepomůže a ještě bude skutečnému majiteli "vděčný"

Tak podle mne si ten zvedavec nic nezaviruje, pouze si zkopiruje sifrovany soubor k sobe, to je vse.
Nez pouzivat jejich verzi, tak si radeji zasifruju data nejak "normalne" a ne pomoci hackerskych metod... Nemas kontrolu nad tim, kam se to vsude dostane, musis odpojit PC od site a disky, ktere nechces, aby byly zasifrovane.
Proti policii je to samozrejme asi pouzitelne, ale kolik takovych je? Vyuzitelnost miziva, kdy vis ze ti prijdou pro data? Proc by vubec meli chodit?
Citliva data se sifruji uplne jinak podle mne...