Προς το περιεχόμενο

Corrupted files (doc,xls) από virus crilock.b


ΜΑΝΩΛΗΣ1

Προτεινόμενες αναρτήσεις

Καλημέρα σε όλους

 

Δεν ξέρω αν είναι το κατάλληλο μέρος για να πάρω τις βοήθειες που θέλω

 

Πριν καμιά δεκαριά μέρες έπεσε στα χέρια μου ένα pc δικηγόρου!!! με γύρω στα 4000 αρχεία δικηγορικά , δικαστήρια , κλπ κλπ.

Δεν εχω πληροφορίες πως κατέβηκε ο ιός. Το μόνο που ξέρω είναι οτι ο πελάτης σκάναρε το μηχάνημα με το essentials , βρήκε το ιο και τον έσβησε.

Παρόλα αυτά είχε γίνει όμως η ζημια σε όλα τα αρχεία που υπήρχαν μέσα στα έγγραφα του.

 

Το περίεργο της υπόθεσης είναι ότι ο ιός πήρε αλφαβητικά όλα τα αρχεία ξεκινώντας από αυτά που το filename άρχιζε με αριθμητικό χαρακτήρα, προχώρησε σε αυτά που άρχιζαν με αγγλικούς χαρακτήρες και τέλος σε αυτά που άρχιζαν με ελληνικούς. Άρχισε να τα τζακίζει αλφαβητικά...σταματώντας στο Σ.

 

Όσα δηλαδή αρχεία άρχιζαν από Στρ και κάτω μέχρι το Ω δεν έχουν πειραχτεί.

 

Μίλησα με ένα φίλο που είναι προγραμματιστής και μου είπε ότι πρέπει να βρούμε τον ιό για να δούμε αν μπορούμε να αντιστρέψουμε τον κώδικα του για να βρούμε μια λύση. Από την στιγμή που ο ιός δεν υπάρχει (τον έσβησε ο πελάτης την ίδια μέρα) το ξεχνάμε

 

Σε διάφορα φορουμς του εξωτερικού όλοι λένε ότι πρεπει να κάνεις restore. Δεν υπάρχει όμως η δυνατότητα πριν τις 17/10 να διαλέξεις ημερομηνία

Άλλοι λένε να είχες πάρει backup. Πολύ λογικό για ένα δικηγόρο ο οποίος βάσιζε την εργασία του σε ένα και μόνο Pc

Άλλοι λένε να πληρώσεις τον καταστροφέα. Αυτός ο ιός από οτι είδα έβγαζε ένα παράθυρο στην οθόνη και ζήταγε ο απατεώνας 300 δολλάρια αν θυμάμαι για να σου στείλει κλειδί αποκρυπτογράφησης .

 

Η Microsoft Πριν λίγες μέρες έβγαλε λύση η οποία έλεγε ότι πρεπει να σκανάρεις το μηχάνημα με την σουίτα της για να σβήσεις τον ιό. Ξέχασε να πει όμως ότι ο ιός έχει αρχίσει ήδη και καταστρέψει τα αρχεία.

 

Σας επισυνάπτω το Log αν μπορεί κάποιος να βοηθήσει.

 

Ευχαριστώ εκ των προτέρων

MPLog-10102013-180544.txt

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Το καλύτερο που μπορείς να κάνεις αυτή τη στιγμή είναι να ανακτήσεις τα αρχεία με κάποιο πρόγραμμα file recovery.

 

Ένα δωρεάν καλό file recovery πρόγραμμα είναι το Puran File Recovery. Επίσης και το Recuva είναι αρκετά καλό.

 

Άμα τα ανακτήσεις και δεν μπορείς να τα ανοίξεις ή τα δεδομένα είναι μη αναγνώσιμα δεν μπορείς να κάνεις κάτι παραπάνω δυστυχώς.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Τα αρχεία υπάρχουν μέσα. Λες το recovery Να επαναφέρει προηγούμενες εκδόσεις των αρχείων και να βγουν στην επιφάνεια πριν την καταστροφή τους?

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Δεν χάνεις τίποτα να δοκιμάσεις. Επίσης μετά το recovery, για να είσαι σίγουρος ότι ο ιός έχει φύγει και δεν πρόκειτε να γίνει ξάνα το ίδιο: κατέβασε το Emsisoft Emergency Kit, κάνε update και μετά deep scan σε safe mode.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

crilock.b ε; 

 

Καλώς μας ήρθε και κατά δω μεριά. 

 

Καταρχήν συγνώμη thomasG4 αλλά θα πεταχτώ. 

 

@ΜΑΝΩΛΗΣ1, μερικές ερωτησούλες πριν κάνεις οτιδήποτε, αν σε πρόλαβα:

 

Πριν πόσες μέρες εντοπίσατε τον ιό; 

Τον έχετε αφαιρέσει με επιτυχία; 

 

Σε παρακαλώ κατέβασε το DDS από εδώ ή από εδώ και κάνε διπλό κλικ στο αρχείο για να το τρέξεις. 

Όταν τελειώσει, το πρόγραμμα θα ανοίξει δύο αρχεία logs: το DDS.txt και το Attach.txt

Αποθήκευσε και τα δύο αρχεία στην επιφάνεια εργασίας σου και ανέβασε το DDS.txt εδώ να του ρίξω μια ματιά.  

 

Διαβάζω τώρα το log από το MS Security Essentials.

 

Edit: 

 

Sorry, ξέχασα: το recovery δεν θα σε βοηθήσει.

 

 

2o Edit:

 

Τώρα διάβασα όλο το post σου (λίγο πιο ήρεμα), άρα άκυρες οι ερωτήσεις. 

 

Δοκίμασε με το Shadow Explorer αν μπορέσεις να πάρεις αντίγραφα των αρχείων πριν την ημερομηνία της μόλυνσης. 

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Αν σου κρυπτογράφησε όντως τα αρχεία δεν νομίζω να μπορέσεις να κάνεις τίποτα.

Δες εδώ (http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information) και δες στο 4.

Η μόνη βιώσιμη λύση είναι να απεγκαταστήσεις το antivirus, να ξαναμολυνθείς και να πληρώσεις τα λύτρα. Αυτό όμως πρέπει να γίνει μέσα στην ημερομηνία που σου ζήτησε γιατί μετά δεν θα μπορεί να σου δώσει το κλειδί.

Δεν βλέπω να μπορείς να κάνεις κάτι άλλο.

Την επόμενη φορά backup, backup, backup.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Τα αρχεία είναι κρυπτογραφημένα. Όπως είπα ξεκίνησε αλφαβητικά και σταμάτησε στο Στρ..Τα επόμενα είναι ΟΚ

 

Το πρώτο σκανάρισμα από το οποίο έχω και το log του πελάτη έγινε στις 10/10. Εγώ πήρα το μηχάνημα στα χέρια μου στις 17/10 και το έχω ακόμα μιας και ο πελάτης δεν μπορεί να δουλέψει χωρίς τα αρχεία

 

Δοκίμασα με recuva ,επαναφέρει κάποια αρχεία αλλά τα βγάζει πάλι κατεστραμμένα.

 

Το shadow explorer δεν κάνει για xp.

 

Έχω διαβάσει το bleepingcomputer από την αρχή μέχρι το τέλος. Όλοι λένε να μην πληρώσεις , όλοι λένε backup. Ξέρω ότι είναι αδύνατο .

Μέχρι και ώρα και ημερομηνία άλλαξα στο μηχάνημα μπας και γίνει τίποτα γιατί ποτέ δεν ξέρεις.

 

Restore point δεν είχε δημιουργηθεί και δεν με αφήνει με των xp να πάω πριν τις 17/10/2013

 

Ευχαριστώ

  • Like 1
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Το "μην πληρώσεις" είναι για τους απλούς χρήστες. Όταν πρόκειται όμως για τέτοια αρχεία ισχύει το "αν δεν πληρώσεις κλάψε τα αρχεία σου". Πάντως οι 72 ώρες που δίνει το ransomware πέρασαν ανεπιστρεπτί, οπότε δεν αξίζει να το συζητάμε. Τα αρχεία είναι πλέον κατεστραμμένα και μη ανακτήσιμα εκτός αν θέλετε να παιδευτείτε με brute force decrypting. Φαντάζομαι σε κανά 2000 χρόνια να έχει βρεθεί το κλειδί.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

  • Moderators

Πάντως οι 72 ώρες που δίνει το ransomware πέρασαν ανεπιστρεπτί, οπότε δεν αξίζει να το συζητάμε. Τα αρχεία είναι πλέον κατεστραμμένα και μη ανακτήσιμα εκτός αν θέλετε να παιδευτείτε με brute force decrypting. Φαντάζομαι σε κανά 2000 χρόνια να έχει βρεθεί το κλειδί.

Νοπ.

Οι δημιουργοι του cryptolocker εχουν δημιουργησει μια υπηρεσια ("customer service" καταστασεις μην πω καμια κουβεντα), μεσω της οποια μπορεις να ανεβασεις ενα απο τα κρυπτογραφημενα αρχεια, αναγνωριζουν ποιο κλειδι αντιστοιχει σε σενα και στη συνεχεια σου παρεχουν την αποκρυπτογραφηση ολων των αρχειων σου. Προφανως επι πληρωμη.

 

 

2exbqdg.jpg

 

 

 

Οπως ειναι προφανες απο τη διευθυνση του site, πρεπει να γινει χρηση του Tor για να αποκτησει κανεις προσβαση σ αυτο (copy-paste : f2d2v7soksbskekh.onion)

Παρεπιμπτοντως η διορια των 72 ωρων εχει μετατραπει σε 1 εβδομαδα πια, για αυτους που εχουν την ατυχια να κολλησουν τωρα το malware. Aυτοι που ανηκουν στην κατηγορια των 72 ωρων (οι οποιες εχουν περασει), θα πρεπει δυστυχως να βαλουν πολυ βαθια το χερι στην τσεπη, μεσω του τροπου που ανεφερα πριν: 10 bitcoins. Δηλαδη ~2400$ (με τις τρεχουσες τιμες)

 

Αντιμετωπιση του Cryptolocker (pro-active λογικη): CryptoPrevent και CryptoPrevention Kit. Και φυσικα το προφανες: Backups.

  • Like 4
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Το shadow explorer δεν κάνει για xp.

 

Ναι το είδα από τα logs του Essentials (καλά πως λειτουργούσε το μηχάνημά του ο πελάτης σου; ).

 

Η επιλογή σου είναι, όπως είπε ο Gi0 που με πρόλαβε, μέσω της «υπηρεσίας» τους πλέον. 

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Παιδιά ευχαριστω για τις βοήθειες. Τελικα το γύρισα πίσω στον πελάτη. Του είπα οτι σε αυτό το θέμα η επιστήμη σηκώνει τα χέρια ψηλά και παρά τις αμέτρητες ώρες που έφαγα κάνοντας ότι ήταν δυνατό (μέχρι και αλλαγή ημερομηνίας δοκίμασα μπας και μπερδέψω την κατάσταση) δεν του πήρα φράγκο.

Από την στιγμή που ήταν δικηγόρος εννοείται πως το backup είναι το σημαντικότερο πράγμα σε αυτή την δουλειά. Απο εδώ και στο εξής θα το ξέρει

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

  • 1 μήνα μετά...

Ελαφρως offtopic: The irony

 

 

χαχαααααα και μετα σου λεει "Δίωξης Ηλεκτρονικού Εγκλήματος" αν η ίδια η αστυνομία δινει χρήματα για ξεκλείδωμα τι να κανει ο απλος χρήστης

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

χαχαααααα και μετα σου λεει "Δίωξης Ηλεκτρονικού Εγκλήματος" αν η ίδια η αστυνομία δινει χρήματα για ξεκλείδωμα τι να κανει ο απλος χρήστης

 

Αυτά τα λεφτά μάλλον τα πλήρωσε ο υπάλληλος που μόλυνε τον υπολογιστή της υπηρεσίας, αφού φαντάζομαι πλήρωσε και το πρόστιμο από την υπηρεσία του και έφαγε και την καμπάνα που του άξιζε!

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
  • Δημιουργία νέου...