Κρυπτογραφημενα αρχεια με RSA-2048!!!

[Alex-V]

Εφερε ενας φιλος μου δικηγορος το λαπτοπ του. Και μου λεει το εξης. Μπηκε στα email του και ειδε ενα της cyta. Αντε λεει να το ανοιξω. Με το που το ανοιξε, οτι αρχειο ειχε, ιδιαιτερα σε word μορφη κλειδωσε και με το που ανοιγει το pc, του βγαζει αυτο στην επιφανεια!

 

 

Να φανταστω, δεν γινεται τιποτα και να τα ξεχασει? Ευτυχως λεει ειχε κανει αρκετα backup. Ειναι στυλ ransomware αποτι καταλαβα.

[Alex-V]

Οκ. Φτιαχτηκαν ολα! Να βοηθησω και καποιον που παθει κατι παρομοιο. Εκανα πρωτα scan με το eset online scanner και εντοπισε τον ιο σε 3 αρχεια. Συγκεκριμενα λεγοταν filedecrypter.locky.

 

Μετα εγκατεστησα το shadow explorer το οποιο μου εδωσε την δυνατοτητα να βρω αρχεια μεχρι τις 24 του μηνος. Και βρεθηκαν ολα στην αρχικη τους κατασταση!

 

I LOVE YOU SHADOW EXPLORER

[NikosKallithea]

Ελα βρε μπραβο, το κρατάω το ποστ για μελλοντική χρηση

[Alex-V]

Ευχαριστω nick Ελπιζω να σε βοηθησει εσενα και αρκετους αν γινει η στραβη

[Xristaras12]

αν μπορείς δώσε μια εικόνα απ το mail να ξέρουμε τι να δουμε κλπ.

 

Αν και αρχικά το .doc αρχείο θα έπρεπε να σε κάνει να αναρωτιέσαι η αν ήταν μέσα σε ζιπ.

[Alex-V]

Χρηστο θα το ανεβασω σε λιγακι γιατι τωρα εχω βαλει το shadow να περασει τα αρχεια σε φλασακι. Θα σε γελασω. Απλα μου ειπε οτι του ηρθε ενα email που ελεγε cyta και με το που το ανοιξε εγινε η στραβη. Οτι μου ειπε σου λεω.

Χρηστο οκ τα αρχεια σωθηκαν ολα και ανοιγουν ολα νορμαλ. Δυστυχως δεν μπορω να ανεβασω ss γιατι δεν εχω τους κωδικους απτο email και ειναι λιγο αργα να τον παρω τηλ. 

[Xristaras12]

αν δεν το έχει ήδη σβήσει,τουλάχιστον να ξέρουμε τι να περιμένουμε.

cyta έχει ο φίλος η απλα του ηρθε;

[Alex-V]

Ναι στο γραφειο του cyta εχει. Αυριο που θα τον παρω τηλ θα μαθω και θα ενημερωσω.

Ερωτηση, αν ξερεις. Αν εχεις δευτερο partition σαν αποθηκευτικο, αν κολλησεις παλι κατι τετοιο, επηρεαζονται και τα αρχεια απτο δευτερο partition η μονο του C?

[flik]

Δεν κρυπτογραφεί αρχεία μόνο σε ένα διαμέρισμα, τουλάχιστον όχι κατά κανόνα.

Μπορεί ακόμα να κρυπτογραφήσει και αρχεία απο mapped network partitions ή recovery partitions που έχουν συνήθως τα laptops.

 

Πολύ τυχερός ο φίλος σου.

[Alex-V]

Ωχ. Αρα εξαπλωνεται και αλλου. Παρα πολυ τυχερος θα ελεγα. Ευτυχως του τα εσωσα που ειλικρινα δεν το περιμενα να σου πω την αληθεια. Ουτε ηξερα οτι τα windows δημιουργουν αυτοματα shadow copies που με το shadow explorer μπορεις να τα βρεις.

[Xristaras12]

Ωχ. Αρα εξαπλωνεται και αλλου. Παρα πολυ τυχερος θα ελεγα. Ευτυχως του τα εσωσα που ειλικρινα δεν το περιμενα να σου πω την αληθεια. Ουτε ηξερα οτι τα windows δημιουργουν αυτοματα shadow copies που με το shadow explorer μπορεις να τα βρεις.

ναι δημιουργουν κατα κανόνα πριν απο εγκατάσταση ενημερώσεων και με την προσθαφαίρεση προγραμμάτων κατα κύριο λόγο.

Αν θες όμως δημιουργείς και συ σημεία επαναφοράς.

[micos000]

[...] Απλα μου ειπε οτι του ηρθε ενα email που ελεγε cyta και με το που το ανοιξε εγινε η στραβη. Οτι μου ειπε σου λεω.[...]

Μόνο με το που θα ανοίξει ένα email το βρίσκω δύσκολο να μολυνθεί ο υπολογιστής. Μάλλον κάποιο συνημμένο θα είχε και το άνοιξε, ίσως κάποιο fake pdf ή word με εικονίδιο του word και κατάληξη exe. Μπορεί να του πέταξε και το uac κανένα μήνυμα και να πάτησε και εκεί 'Ναι'.

Το έχω δει αυτό το σενάριο και πριν προλάβω να φωνάξω ΜΗ, ο φίλος είχε πατήσει ήδη Ναι στο μήνυμα του uac και πάλι καλά πρόλαβα να κλείσω το διακόπτη.

[Alex-V]

Αααααυτο εγινε. Το πρωτο. Δηλαδη ανοιξε το email, κατεβασε το συννημμενο που το οποιο θα του εκανε την πατατα.

[Grim Ripper]

Το locky μεταδίδεται μέσω των μακροεντολών του MS word. (τουλάχιστον έτσι έλεγε ένα άρθρο που είχα διαβάσει)

 

Πάντως καμιά φορά και το shadow copy δεν αρκεί. (δυστυχώς)

[Alex-V]

Αρα, τέρμα κ**οφαρδος που το shadow explorer πέτυχε.