PDA

View Full Version : Ransomware virus



.stefan
12-02-2016, 20:29
Ljudi, treba mi pomoc... Moram da pomognem drugu pa je svaka pomoc dobrodosla od nekog ko se razume u ovo... U pitanju je dosta bitnih fajlova za firmu

Naime, kod njega na kompu u firmi cale je otvorio neki attachment, tacnije ovaj

http://uploads.tapatalk-cdn.com/20160212/13224fc53969bfa27dc58b2e09450504.jpg

Nakon toga bukvalno je unistio na svim particijama mnogo fajlova, ubacio ovu micro ekstenziju i sada sve izgleda ovako

http://uploads.tapatalk-cdn.com/20160212/7dfde19f02bfb90c42f1d571ccfff0a2.jpg

Kada pokušaju da se vrate u pređašnje stanje i promeni ekstenzija fajl ne moze da se otvori i npr pdf izbaci ovo

http://uploads.tapatalk-cdn.com/20160212/b355a4fef3e0db188a02b0575b4a034a.jpg

Trazio sam malo nesto po netu i probao data recovery, posto sam negde video da brise originalan fajl ali EASEUS data recovery mi nije pronašao nista vredno vracanja...

Da li neko zna sta mozemo sa uradimo i da li postoji neki obrnuti proces da se fajlovi dekriptuju posto vidim da je neka RSA 4096 enkripcija u pitanju, a da je fajl koji je pokrenut javascript...

Hvala vam

Lazar
12-02-2016, 20:31
koliko sam ja upoznat nije moguce da se vrate podaci :( suvise je kompleksna enkripcija da bi se bilo sta uradilo bez kljuca za kriptovanje :( ako nadjes nacin javi posto i mene interesuje. ja sam bio za kolegu trazio ali nista nisam uspeo

ja sam bio naso ovo (ali nisam uspeo nista da napravim):



Method 1: The first and best method is to restore your data from a recent backup, in case that you have one.
Method 2: File Recovery Software – When TeslaCrypt and Alpha Crypt encrypt a file it first makes a copy of it, encrypts the copy, and then deletes the original. Due to this you can use file recovery software to try recovering some of your original files.
Method 3: Shadow Volume Copies – As a last resort, you can try to restore your files via Shadow Volume Copies.

.stefan
12-02-2016, 20:39
vracao je windows bio na drugi dan ali to nije resilo problem....

koji si ti data recovery probao? meni easeus nije nasao nista od tih fajlova izbrisanih....

sta je tacno ovaj metod 3?

a oni kao traze kintu da ti vrate fajlove...tipa 500 dolara, a kapiram da je i to navlakusa i da ne bi dobio nista :)

Lazar
12-02-2016, 20:43
ma probao sam gomilu nekih sa neta :( fora je sto on ne brise fajlove vec ih enkriptuje i zato ih nijedan nije pronaso.

ovo zadnje je nesto sto microsoft podrzava: https://msdn.microsoft.com/en-us/library/windows/desktop/bb968832(v=vs.85).aspx

iskreno mislim da nema sanse da se vrate podaci :(

pa moguce da bi i dobio. das im 500$ on ti sibne enkripcioni kljuc za tvoje podatke i to je to :D ali moguce i da neces nista da dobijes.

.stefan
12-02-2016, 20:45
pa sta onda kaze method 2 da brise originale?

jel si probao ovaj 3, da znam dal da gledam uopste ovo?

cudno mi je da je otisao van C particije i upropastio i ostale dve

swimmer
12-02-2016, 21:43
Druze,

Firmu koju moja firma odrzava imali su isti problem. Procesljam malo po netu vezano za kriptloker viruse. Uglavnom da ti skratim muku nema leka osim da se plati.
Mi smo morali da platimo 1.3 bitcoina (500$) u roku od 48h da bi dobili unlocker. Ukoliko se plati cena je posle 1000$ a posle 96h nema vise sanse da dobijes podatke.
Mi platili, dobili fajl na mail. Startovali ga i posle 30min svi fajlovi su bili "free"

Mi smo posle slali svim firmama koje odrzavamo sledeci mail pa je na njima bilo da li ce da ulazu u back up ili ne

"Postovani,
Upozoravamo Vas na pojavu opasnog virusa koji moze stici kao attachment uz e-mail pod razlicitim extenzijama kao word excel (najcesce .zip .doc .xls .pdf)i tesko je utvrditi da je virus u pitanju .
Ukoliko otvorite attachment- aktivirate virus koji zakljucava sve fajlove na vasem racunaru i sve sto je deljeno (share-ovano)
na mrezi i na serveru.
Zastita ne postoji.
Fajlove je moguce vratiti jedino uplatom od 500-1000 usd autorima virusa (a i to je relativno).
Kao zastitu-prevenciju Vam preporucujemo redovan backup svih bitnih fajlova na NAS storage i externi Hard drive.

Pozdrav"

Sent from my iPhone using Tapatalk

shiza
12-02-2016, 21:54
Ti programi za recovery retko kada vracaju te fajlove.Uglavnom avi,mp3 i jpg i to nekim imenom kako oni odrede.Imas firmu u Bgd-u koja radi te stvari sa hdd-a,kada udje virus,kada crkne hard,obrisu se neke bitne stvari.Mislim da im je cena oko 100-150 din po 1gb,ne znam tacno kako se zove firma,ali mozes da vidis na netu ili da se raspitas ako imas nekoga u Bgd-u.

swimmer
12-02-2016, 21:56
Www.helpdisk.rs radi recovery. Ali ni oni ne mogu da vrate enkriptovane podatke


Sent from my iPhone using Tapatalk

.stefan
12-02-2016, 21:56
znaci nema nista,mozes da se pozdravis samo,a?

a neki data recovery ako postoje ti obrisani fajlovi pa da se vrate?

swimmer
12-02-2016, 22:00
Nazost nema sanse osim da se plati :(


Sent from my iPhone using Tapatalk

rikee
12-02-2016, 22:07
To sto je on otvorio je V3... Za nju jos uvek nema fix. Za V2 ima... Ili neka placa ili ceka resenje za 3, 6, 9 ili 12 meseci, kada ovaj slepac koji ga je napravio, obnovi verziju :)

.stefan
12-02-2016, 22:34
haha cek, ne razumem kako to ide?

kako mislis obnovi verziju? ko izbacuje fix?

kako bre ne uhapse tog ******a?

rikee
13-02-2016, 01:49
Gledao prosle nedelje da za v3 vec imaju resenje, ali ga ne pustaju public jer trazi puno resursa da se dodje do kljuca
Ukratko :)
https://github.com/Googulator/TeslaCrack
i
http://www.bleepingcomputer.com/forums/t/604377/support-to-remove-teslacrypt-with-micro-extension/... tu ima par linkova...
od sada zabrana na windows :) svi na linux i OSX :)

.stefan
13-02-2016, 15:01
Videh ovo sa ovih linkova...
Nije imao srece jer mu zapala ova nova verzija...
Gde moze da se prati to izlazenje fix-ova za ovo?

zolaman032
13-02-2016, 16:00
Ja sam imao isti problem u firmi, 3 dana sam pokusavao sve sa neta sto sam nasao ali bezuspesno. Od tada, svaki racunar bekapujem sedmiscno, neke cak i dnevnoo .. Ima dosta ovih virusa sto kriptuju sve fajlove, uzas...[emoji20][emoji20][emoji20]


Sent from my iPhone6 using Tapatalk

rikee
13-02-2016, 16:05
sve prati na www.bleepingcomputer.com bar jednom nedeljno :)

1024
13-02-2016, 16:07
a oni kao traze kintu da ti vrate fajlove...tipa 500 dolara, a kapiram da je i to navlakusa i da ne bi dobio nista :)
Samo da prokomentarisem ovo: ljudi koji salju ransom viruse su veoma pouzdani kad im platis. Oni zele da im sto vise ljudi plate, tako da placanje obicno ima 100% uspeha. Ako su podaci vredniji od 500 dolara, tu varijantu treba uzeti u obzir, ma koliko bezveze "pregovaranje sa teroristima" bilo.

I naravno, da lik edukuje caleta (i sve ostale koje stigne) kako da prepozna attachmente koje ne sme da otvara.

rikee
13-02-2016, 16:09
Ljudi nekada iz radoznalosti otvaraju gluposti, a vrlo cesto nepazljivo otvaraju dodatke jer je to sve sto dolazi uglavnom od poznatih ljudi

1024
13-02-2016, 16:23
Razlog vise za obavezan trening za sve zaposlene za racunarima "kako prepoznati spam/viruse/hijackovane mejlove".
Takodje, blokirati sumnjive ekstenzije na nivou mejl servera, ljudi retko imaju potrebe da salju .exe ili .js fajlove mejlom.

djole1989
14-02-2016, 00:23
Kod nas u firmi je neko od zaposlenih pokrenuo neki fail koji je isto tako stigo mailom i zakljucao je 4 pc od 20 i server i na kraju smo morali da platimo i sve su otkljucali cyptolocker ovako izgleda slika je sa neta i to se desilo pre 2 god
http://uploads.tapatalk-cdn.com/20160213/96d8abb695ece6b62436cbf82b49980d.jpg


Sent from my iPhone 6S Plus using Tapatalk

nenad83
20-02-2016, 09:25
Nasao sam ovde par domacih tekstova o ovome, a i kako edukovati zaposlene.
http://blog.extreme.rs/2014/03/07/cryptolocker-povratak-destruktivnih-virusa/

http://blog.extreme.rs/2015/11/06/kako-da-zastitite-sebe-i-kompaniju-od-ransomwarea-uputstvo-za-korisnike/

Sent from my SM-N910C using Tapatalk

Babakaj
17-05-2016, 22:37
danas sam imao susret s ovim sranjem... Uopste nije prijatno moram reci.
Uopste ne znas koji su sve racunari zarazeni i to je zez.

linkove koje su dali za otkup ne mozes da otvoris.. jedino mi ostao onaj preko Tor-a da probam sutra...

zabrljanje
17-05-2016, 22:56
Kod mene na poslu je neko bio inteligentan i pokrenuo ga kao mp3 fajl i zakljucao sve fajlove na hardu. Jednostavno da nekog dezintegrises. Sve spakovano u arhivu i ceka se da neko, mozda, nekad dodje do kljuca.

Babakaj
17-05-2016, 23:14
Pa ovi ga otvaraju https://blog.kaspersky.com/cryptxxx-decryption-20/12091/ vredi pokusati :)

.stefan
17-05-2016, 23:33
sta si uradio @Babakaj pa si navukao ransom?

Babakaj
18-05-2016, 00:01
Nisam ja... koleginica :)

rikee
18-05-2016, 06:07
Moras da provedes malo vise vremena sa njom i edukacija :)

Babakaj
18-05-2016, 08:06
Ljudi su u fazonu 'nece mene to' i onda puc.. :)
Ali svakako treba edukacija.

skiper
18-05-2016, 09:23
Kako se zarazi, sta se radi da bi doslo do toga.

zabrljanje
18-05-2016, 10:25
Kliknes i pokrenes vec neki fajl sa "normalnom" ekstenzijom.

Rista011
18-05-2016, 13:50
A dobiješ ga gde? U nekom levom mailu uz attachment?

vlada11070
18-05-2016, 15:04
Sad sam procitao celu temu. Da, dobiješ attachment uz neki mejl i ako otvoriš taj att eto ti muke!

Babakaj
18-05-2016, 22:16
A mogu i da posalju fajl tipa Payroll.pdf.exe i ako je iskljucen prikaz ekstenzije vidis da je .pdf i otvoris
ga. a ovaj kaspersky ne cisti ove najnovije verzije. Bitno je da rade na tome

Mido
18-05-2016, 22:23
I to se bas znaci mora platiti onom ko te i zarazio, osim ako ne sacekas da neko drugi (tipa kaspersky kojeg ste spomenuli) napravi fix.

Sto se mene tice bas izbjegavam otvaranje tih mailova uopste a da ne pricam o attachmentima. Ako mi je poznata mail adresa ili ako u subjectu pise ko salje i razlog tada otvaram. Ko ne zna ispuniti to polje kako treba nije ni vrijedan paznje.

Babakaj
18-05-2016, 22:33
zajebano je kad dnevno otvoris i odgovoris na 50-100 mailova i u brzini previdis.

rikee
19-05-2016, 02:48
Moras 3-4 puta da kliknes... Preusmeri sve na gmail pa neka on filtrira :) on sve prepoznaje

Demiurge
19-05-2016, 13:44
TeslaCrypt shuts down and Releases Master Decryption Key
http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key (http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key)

Babakaj
19-05-2016, 21:04
ovo je za tesla crypt, ne i za ransom..

Rista011
06-06-2016, 20:16
Upravo mi se desilo ovo jer sam skinuo office sa torrenta tj. negde pri kraju instalacije
Sad mi se svi fajlovi u kompu zovu saodkkdskfds.ceber i slično
Au bre ne mogu da verujem, nema povratka?
Previše bitnih stvari u celom PCu i ništa? Ko ovo radi i zašto običnim random ljudima, nemaju ništa od toga

rikee
06-06-2016, 20:43
Torrent je rizik, ali je dobra stvar sto si naucio da moras da pazis odakle skidas softver... I NA TORRENTU IMA RANSOMWARE. Pazite sta radite
Ko sta i zasto... Igra se na obicnim ljudima, a usavrsice na nekoj firmi i zaraditi lepu lovu

skiper
06-06-2016, 20:47
Kada stigne neki mail, ja ga otvorim i pise gore u crveno obojeno da je mail zarazen a u njemu se nalazi pdf. dokument, smem li da otvorim pdf, word...ili ne sme ni to?

rikee
06-06-2016, 20:49
Pa probaj... I pored upozorenja ti bi da otvaras? Zasto?
Znatizelja je ubila macku :)

skiper
06-06-2016, 20:56
Ne, nije znatizelja nego su to firme sa kojima radim, npr. fudeks vec duze vreme nema sajt vec je samo crveno isto tako tako i kada dobijem mail od njih, a sada jos jedna. Vracamo se na fax jedva citljiva dokumenta. :no:

Rista011
06-06-2016, 22:03
Ali što propadnu sve particije, bar da je samo ona na kojoj je windows, strašno stvarno
I vrhunac je što taj office radi ceo, sve uredno :D

A u prethodnim postovima se čudim kako to ljudi nakače, bukvalno nisam verovao da može ikad da mi se desi, već godinama nikakav anti virus nemam i to :brickwall:

.stefan
06-06-2016, 22:47
Ljudi razmislite malo... znaci ne moze nista da se desi ako ste skinuli fajl... takodje ne moze nista da se desi ako fajl nije executable...
Ili neki javascript i slicno... znaci nece nista da bude ako pdf, nego ako je exe i slicno

rikee
06-06-2016, 23:52
Pise i izgleda kao da je pdf...ali nije, i tu je zajeb
danas sam cistio sluzbeni mail i tu se odlicno vidi... gmail te upozorava da je zarazen... dodatno je sto niko ne mora da zipuje doc i pdf i xls sa danasnjim brzinama interneta i kako su ljudi lenji i niko to i ne radi jer je korak vise... inace ja volim da ohrabrujem ljude da svasta sami probaju, ali sam ovde bio ironican. Stvarno bi bilo neinteligentno otvoriti nesto sto te programi vec upozoravaju da je zarazeno... koristite gmail jer on stvarno sve lepo isfiltrira... sve preusmeravajte tamo

.stefan
07-06-2016, 03:22
mislim da i total commander prikaze jos jednu ekstenziju iza pdf npr...
jednostavno ne otvarajte nepoznate mejlove i gotovo

rikee
07-06-2016, 06:16
Kada dodjes do total commandera vec je kasno

1024
08-06-2016, 15:32
A u prethodnim postovima se čudim kako to ljudi nakače, bukvalno nisam verovao da može ikad da mi se desi, već godinama nikakav anti virus nemam i to :brickwall:
Ako vec redovno skidas torente nije dobra ideja nemati antivirus.

zabrljanje
08-06-2016, 16:46
Najveci problem je sto antivirusni programi ne pruzaju na pravi nacin zastitu od ransomware-a.

rikee
08-06-2016, 17:04
Ima nesto i do korisnika :)

zabrljanje
08-06-2016, 17:06
Ima, i to solidno :)