Ransomware (.kolz)

[ZivedKantel]

Είμαι σίγουρος οτι (η ερώτηση μου) είναι κάτι που θα το έχετε συναντήσει τριγύρω.. και αν είστε το ίδιο άτυχοι με εμένα θα το έχετε βιώσει..!
Ένα απο τα pc που έχουμε σπίτι είχε κολλήσει ενα ransomware που με εξαιρετική επιτυχία μόλυνε κάθε αρχείο μέσα στο σύστημα.. τα πάντα.. και δυστυχώς και έναν εξωτερικό που είχα συνδεδεμένο..
Απο τότε έχω προσπαθήσει να ''καθαρίσω'' τον δίσκο με κάποια software αλλα δεν τα κατάφερα.
Το desktop ίσιωσε μόνο με format και είναι οκ απο τότε.

Πρόκειτε για το ransomware με την κατάληξη (.kolz)

Έχει  κανείς σας κάποια πρόταση για κάποιο λογισμικό που μπορεί να τα καταφέρει?

 

[jim_p]

Ανεβασε ενα απο τα μολυσμενα αρχεια σου εδω και αν μπορει να γινει κατι θα στο πει η σελιδα
https://www.nomoreransom.org/

[ZivedKantel]

Ευχαριστώ πολύ!
Θα απαντήσω εδώ με το αποτέλεσμα έτσι να υπάρχει ενα δεδομένο του αν δούλεψε η οχι!

[ZivedKantel]

Λοιπόν μπήκα στο site , και τους ανέβασα οτι χρειάζονται.
Αρχικά δεν μου πρότεινε κάτι , αλλα μιας και το ransomware με κατάληξη (.kolz) ανήκει στην DJVU family το βρήκα έτσι μέσα στο site.
Και με κατεύθυνε εδώ.. https://www.nomoreransom.org/el/decryption-tools.html
 
Έκανα και την εγκατάσταση και τώρα δουλεύει.. διάβασα στο site https://www.emsisoft.com/ransomware-decryption-tools/  και μου έδωσε αυτό https://www.emsisoft.com/ransomware-decryption-tools/howtos/emsisoft_howto_stopdjvu.pdf


Μπορεί να πάρει και ωρες η διαδικασία.. απο εκει και πέρα θα σας ενημερώσω αν ολα πήγαν καλά!

 

...update..
Μίλησα και μαζί τους και έγινε δύσκολο το θέμα..

'' I am so sorry. I understand it is frustrating, but currently we are not aware of any ways to decrypt files
with Online-ID and some recent forms of STOP(Djvu). ''

Και μου πρότειναν το εξής..

'' I invite you to try with our friends at BleepingComputer, they may
be able to help you: https://www.bleepingcomputer.com/ Here’s the
link to their forums, if you would like: https://www.bleepingcomputer.com/forums/ ''

Θα δοκιμάσω και εκει και θα σας πω πως πήγε.

[ZivedKantel]

Ότι καλύτερο υπάρχει σε απάντηση είναι εδω..

'' Any files that are encrypted with newer STOP (Djvu) Ransomware variants after August 2019 will have the .coharos, .shariz, .gero, .hese, .xoza, .seto, .peta, .moka, .meds, .kvag, .domn, .karl, .nesa, .boot, .noos, .kuub, .reco, .bora, .leto, .nols, .werd, .coot, .derp, .nakw, .meka, .toec, .mosk, .lokf, .peet, .grod, .mbed, .kodg, .zobm, .rote, .msop, .hets, .righ, .gesd, .merl, .mkos, .nbes, .piny, .redl, .nosu, .kodc, .reha, .topi, .npsg, .btos, .repp, .alka, .bboo, .rooe, .mmnn, .ooss, .mool, .nppp, .rezm, .lokd, .foop, .remk, .npsk, .opqz, .mado, .jope, .mpaj, .lalo, .lezp, .qewe, .mpal, .sqpc, .mzlq, .koti, .covm, .pezi, .zipe, .nlah, .kkll, .zwer  .nypd, .usam, .tabe, .vawe, .moba, .pykw, .zida, .maas, .repl, .kuus, .erif, .kook, .nile, .oonn, .vari, .boop, .geno, .kasp, .ogdo, .npph, .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .iiss, .jdyi, .vpsh, .agho, .vvoa, .epor, .sglh, .lisp, .weui, .nobu, .igdm, .booa, .omfl, .igal, qlkm, .coos, .wbxd, .pola .cosd, .plam, .ygkz, .cadq, .ribd, .tirp, .reig, .ekvf, .enfp, .ytbn, .fdcz, .urnb, .lmas, .wrui, .rejg, .pcqq, .igvm, .nusm, .ehiz, .paas, .pahd, .mppq, .qscx, .sspq, .iqll, .ddsg, .piiq, .neer, .leex, .zqqw, .pooe, .zzla, .wwka, .gujd, .moqs, .hhqa .aeur, .guer, .nooa, .muuq, .reqg, .hoop, .orkf extension appended to the end of the encrypted data filename as explained here by Amigo-A (Andrew Ivanov). Since switching to the New STOP Djvu variants (and the release of .gero) the malware developers have been consistent on using 4-letter extensions. ''

Όπου και η περίπτωση μου : (.kolz)

Και καταλήγουμε εδω.. :

If you were infected after August 2019, then you are encrypted with a new version. In order to decrypt any of these new versions an OFFLINE ID with corresponding private key is required. If there is no OFFLINE KEY for the variant you are dealing with, we cannot help you unless an OFFLINE KEY is retrieved and added to the Emsisoft server / decryptor. If an OFFLINE KEY is obtained, it will be pushed to the server and automatically added to the decryptor. As such, you should download the decryptor to see if Emsisoft has been able to gain access to an OFFLINE KEY which can decrypt your files.

Οπότε.. όποιος έχει ''φάει'' το ransomware της DJVU family με κατάληξη (.kolz) δηλαδή με online key.. θα πρέπει να περιμένει να το ανεβάσει κάποιος έτσι ώστε να μπορεί να ''καθαρίσει'' την μόλυνση με το Emsisoft Decryptor for STOP Djvu Ransomware  όταν αυτό ενημερωθεί με το key..

Για να δούμε.. πότε και αν..

[V.I.Smirnov]

Πρακτικά ή πληρώνεις τους hackers ή πες αντίο στα αρχεία σου.

Σφάλμα που είχες εξωτερικό δίσκο μονίμως συνδεδεμένο.
Σφάλμα που δεν τον είχες προστατευμένο.
Μέγα σφάλμα που δεν είχες backup....

Πώς το κόλλησες ;

-

Επεξ/σία 25 Αυγούστου 2021 από V.I.Smirnov

[ZivedKantel]

31 λεπτά πριν, V.I.Smirnov είπε

Πρακτικά ή πληρώνεις τους hackers ή πες αντίο στα αρχεία σου.

Σφάλμα που είχες εξωτερικό δίσκο μονίμως συνδεδεμένο.
Σφάλμα που δεν τον είχες προστατευμένο.
Μέγα σφάλμα που δεν είχες backup....

Πώς το κόλλησες ;

-
Το ειρωνικό του πράγματος είναι οτι τον χρησιμοποιούσα αραιά και που για backup και την ώρα που συνέβη ήταν σε copy/paste.. είμαι προσεκτικός σε πολλά και διάφορα με τα data , μιας και ήταν κομμάτι και τις καθημερινότητας μου εργασιακά ..αλλα την πάτησα και εγώ.
Ενα μεγάλο κομμάτι του περιεχομένου ήταν και σε αλλο σκληρό και σε αλλο μηχάνημα.
Ήταν (σχετικά) μικρή η ζημιά.
Έγινε απο αρχείο που οπως φάνηκε μετά ήταν μέσα σε torrent file.
Απο οτι διάβασα αυτές τις μέρες είναι ''μην σου τύχει'' κατάσταση μιας και το να τους πληρώσεις δεν σε ξεμπερδεύει..