cryptorbit virus

[takaros1982]

καλησπερα

κολλησα τον ιο cryptorbit, ο οποίος μου έκανε encryption όλα τα αρχεία μου, office, photo video, pdf , RAR.

δημιουργησε δυο αρχεια  ενα txt και ena gif που γραφουν τα παρακατω

 

All files including videos, photos and documents on your computer are encrypted.

Encryption was produced using a unique public key generated for this computer. To decrypt files, you need to obtain the private key.

The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files.

File decryption costs ~ $ 50.

In order to decrypt the files, open site 4sfxctgp53imlvzk.onion.to/index.php and follow the instructions.

If 4sfxctgp53imlvzk.onion.to/index.php is not opening, please follow the steps below:

1. You must download and install this browser http://www.torproject.org/projects/torbrowser.html.en
2. After installation, run the browser and enter the address: 4sfxctgp53imlvzk.onion/index.php
3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.

Guaranteed recovery is provided within 10 days.

IMPORTANT INFORMATION:
Your Personal CODE: 00000001-0706C767

 

 

 

. τον ιο απο οτι εχω καταλαβει τον έσβησα .

 

το θέμα είναι οτι δεν μπορώ να κάνω decryption ta αρχεια μου

 

δοκίμασα το shadow explorer, to panda decryption τιποτα δεν είχε αποτελεσμα

 

υπαρχει περιπτωση να σωσω τα αρχεία μου;

 

ευχαριστω

 

[arc]

Διάβασε το μήνυμα 255 στο παρακάτω link (σε πάει απευθείας στο 255) και πες μας τα αποτελέσματα

http://www.insomnia.gr/topic/512726-%CE%BD%CE%AD%CE%BF%CF%82-%CE%B9%CF%8C%CF%82-%CE%BC%CF%80%CE%BF%CF%81%CE%B5%CE%AF-%CE%BA%CE%B1%CE%B9-%CE%BA%CE%BB%CE%B5%CE%B9%CE%B4%CF%8E%CE%BD%CE%B5%CE%B9-%CF%84%CE%BF%CE%BD-%CF%85%CF%80%CE%BF%CE%BB%CE%BF%CE%B3%CE%B9%CF%83%CF%84%CE%AE-%CE%BA%CE%B1/page-17?do=findComment&comment=52900337

[takaros1982]

προσπαθησα να τα ανοιξω με linux δεν ανοιγαν .

απο την αρχη που κολλησα τον ιο επηρεασε ολα ταρχεια. το καταλαβα οτι δεν μπορουσα να ανοιξω rar αρχεια , το drobox εκανε συγχρονισμο τα αρχεια του, αφου είχαν αλλαξει"μορφη" , χαθηκε η φωτο απο το φόντο στην επιφανεια εργασίας. και ολα τα αρχεια που εχω έχουν κανει τροποποιηση την ωρα και την ημερομηνια που μπηκε ο ιος.

οποτε δεν ειναι κατι fake , η δεν τα κρυπτογραφει κανει δουλιτσα ο ιος

[Gtr34]

Ποιο antivirus είχες στο pc;

[takaros1982]

avg free

10 χρονια ασχουλουμε με τα pc αυτο ειχα παντα , τουλαχιστον τα τελευται χρονια , ποτε δεν ειχα κολλησει ιο

[thomasG4]

Δυστυχώς για άλλη μια φορά επιβεβαιώνεται ότι με ένα απλό antivirus δεν τη βγάζεις καθαρή. Για να είσαι καλυμμένος απο θέμα προστασίας θέλει: anti-virus σε συνδυασμό με anti-malware(Malwarebytes Anti-Malware και Superantispyware). Κάνεις ενα full scan με τα anti-malware 1 στις 15 μέρες και είσαι κομπλέ.

[arc]

προσπαθησα να τα ανοιξω με linux δεν ανοιγαν .

απο την αρχη που κολλησα τον ιο επηρεασε ολα ταρχεια. το καταλαβα οτι δεν μπορουσα να ανοιξω rar αρχεια 

Άσχημα νεα.

Μπορείς μέσω linux να δεις αν μπορείς να δεις/ανοίξεις pdf, doc ή φωτογραφίες;

 

Αν ναι, είναι η μόνη διέξοδος να σώσεις τα αρχεία σου. Αν όχι, τοτε είτε τα επαναφέρεις απο backup ή πληρώνεις για αποκρυπτογράφηση (αν και αυτό είναι ακομα πιο δύσκολο γιατί αν έσβησες τον ιο, έσβησες και την μέθοδο κρυπτογράφησης).

 

Βεβαιώσου πρώτα για πρόσβαση μεσω linux και μετά βλέπεις τα υπολοιπα. 

EDIT:

Επισης ρίξε μια ματιά στο παρακάτω link. 

http://deletemalware.blogspot.gr/2013/12/remove-howdecrypt-virus-and-restore.html

EDIT2:

Στο παραπάνω link δάβασα το παρακάτω σχόλιο, το οποίο ειναι αρκετά ελπιδοφόρο για μερική αποκατάσταση της ζημιάς

 

 

I could restore "manually" quite all ms-office 2007 (and above) files, as they are in zip container. Only the root xml file of the data structure is dammaged. You can get it from any same clean office file.

PDF can be restored as well by 3rd party software.

Text and other config files will stay dammaged unless you can restore them from a copy.

All other binary f.ex. autocad files are gone forever, as the thing overwrites more than the header and also the "footer" of files.

This is not encryption as all the crap is the same in all files. Its just destructive overwrite.

Don't contact it. Or make backups.

Edit3:

Βρέθηκε κάποια ΠΙΘΑΝΗ εμμεση λύση αλλά απαιτεί λίγο πιο advanced τεχνικές γνώσεις. Αφορά λίγο διαφορετικό variant του ιου, αλλά ίσως πιάσει. Ουσιαστικά σκαλίζεις τα headers και footers του κάθε αρχείου χρησιμοποιώντας ένα hex editor και κάποιο μη μολυσμένο αρχείο. Δες το παρακάτω link. 

http://www.bleepingcomputer.com/forums/t/517689/howdecrypt-file-encrypting-ransomware-500-usd-ransom-information-topic/

[takaros1982]

για αρχη ευχαριστω για τις απαντησεις

με linux δεν ανοιγουν αρχεια , το εχω τσεκαρει

 

τωρα τα για τα αλλα δυο που εγαρψε ο arc θα τα ψαξω αυριο που θα εχω περισσοτερο χρονο

κια θα ενημερωσω

[revolver1990]

Ψάχνοντας στο net φαίνεται ότι και το avast δεν τον βρίσκει ενώ το comodo τον αποκλείει με συγκεκριμένες ρυθμίσεις(Autosandbox restricted και πάνω).

[accipio]

Πώς τον κόλλησες αυτόν τον ιό, αν επιτρέπεται; Για να ξέρουμε, να φυλαγόμαστε όσο γίνεται...

[flik]

Τα εργαλεία που έχει η Kaspersky (rectordecryptor και ένα άλλο utility) δεν βοηθούν καθόλου;

 

Edit: Πάντα είναι ενδιαφέρον πώς κολλάει ένας συγκεκριμένος ιός.

Αν είναι να κατεβάσεις κάτι και να το τρέξεις (άκρως συνηθισμένη περίπτωση, να σε βγάζει σε σελίδα τύπου χρειάζεσαι τάδε player, java/flash update κτλ) τότε έχει καλώς.

Αλλά αν είναι να κολλάς απο τρύπα σε browser ή κάτι τέτοιο, απλά επισκέπτοντας οποιαδήποτε σελίδα, σκούρα τα πράματα.

[oldgik]

Μία ιδέα. Ως γνωστο ο cryptobit διαγραφει τα αρχεια του σκιωδους αντιγραφου των windows απο την στιγμη που μολυνει τον υπολογιστη. Θα μπορουσαμε ίσως με live cd που περιέχει εργαλεια ανάκτησης να επάναφέρουμε to system volume information. H να το κανουμε mount?(phisical disk emulator). Η με κάποιο τροπο να έχουμε προσβαση στα volume shadow copies. που εξορισμου δημιουργούνται ανα 7 ημέρες περίπου. Ακόμη έχω παρατηρήσει ότι απο την στιγμη που μολύνεται το συστημα σβήνει όλα τα <<καθαρα>> σημεία επαναφοράς. Ένα site με κάτι σχετικό http://encase-forensic-blog.guidancesoftware.com/2012/06/examining-volume-shadow-copies-easy-way.html. Αν κάποιος καταφέρει κάτι ας ενημερώσει. Δεν το έχω δοκιμάσει λο΄γω έλειψης χρόνου.

[takaros1982]

τον ιο δεν ξερω πως ακριβως τον κολησσα .

ειχα κατεβάσει καποιους downloaders (μου διαφευγουν τα ονοματα τωρα, αλλα θα το θυμηθω και θα σας το πω) για να κατεβαζω αρχεια απο easybyte, upload.to κτλ.

οoi downloader αυτοι είχαν βάλει καποια addins σττους explorer μου και καθε φορα που ανοιγα πχ to youtube μου εβγαζε θες να κατεβασεις το βιντεο κτλ, οποτε εκεινη την ωρα σκαλιζα να τα σβησω απο τους explorer. δεν ξερω αν εχει καποια σχεση αυτο ή επειδη κατεβαζα καποια αρχεια εκινη την ωρα ηταν μολυσμενα.

 

βεβαια τις προηγουμενες ημερες αρχιζαν πολλες διαφημισεις να μου πεταει οποτε ημουν στην διαδιακασια του καθαρισμου του δισκου να δω πια αρχεια να παρω backup για να κανω format. τελικα δεν προλαβα.....

 

το θεμα ποιο ειναι, πως τα περισσοτερα αρχεια τα ειχα σε δυο δισκους, ενα στο laptop και ενα στο desktop, οπτε λεω αν σκασει ο ενας δισκος θα τα εχω στον αλλο. αλλα το laptop xalase prin kairo και ειχα βαλει το δισκο του laptop, δυο μερες πριν κολλησω τον ιο, σαν δευτερο στον υπολογιστη μου,να δω τι θα κρατησω κτλ, και τελεικα  μου εσκισε ολα τα αρχεια και των δυο δισκων.

 

 

τωρα στην λυση

 

 

αυτο "I could restore "manually" quite all ms-office 2007 (and above) files, as they are in zip container. Only the root xml file of the data structure is dammaged. You can get it from any same clean office file......." πως γινεται προσπαθησα να ανοιξω ενα word se xml file, αν καταλαβα σωστα , αλλλα δεν μου ανοιγει. το ιδιο γιανεται και με καθαρο αρχειο, οποτε κανω κατι λαθος.

 

την δευτερη πιθανη λυση που γραφει ο arc den to poly epiasa.

προσπαθησα να ανοιξω πχ, μια φοτο με notepad++ δεν εβγαλα ακρη

 

αυτο πο λεει ο oldgik θεωρητικα αν δεν κανω λάθος το κανει και ο shadow explorer , alla ουτε απο εκει εβγαλα ακρη.

ουτε restore poiont ειχε ο υπολογιστης, ουτε μου εβγαζε να κανω τα αρχεια μου σε previous version

 

..........

τον ιο δεν ξερω πως ακριβως τον κολησσα .

ειχα κατεβάσει καποιους downloaders (μου διαφευγουν τα ονοματα τωρα, αλλα θα το θυμηθω και θα σας το πω) για να κατεβαζω αρχεια απο easybyte, upload.to κτλ.

οoi downloader αυτοι είχαν βάλει καποια addins σττους explorer μου και καθε φορα που ανοιγα πχ to youtube μου εβγαζε θες να κατεβασεις το βιντεο κτλ, οποτε εκεινη την ωρα σκαλιζα να τα σβησω απο τους explorer. δεν ξερω αν εχει καποια σχεση αυτο ή επειδη κατεβαζα καποια αρχεια εκινη την ωρα ηταν μολυσμενα.

 

βεβαια τις προηγουμενες ημερες αρχιζαν πολλες διαφημισεις να μου πεταει οποτε ημουν στην διαδιακασια του καθαρισμου του δισκου να δω πια αρχεια να παρω backup για να κανω format. τελικα δεν προλαβα.....

 

το θεμα ποιο ειναι, πως τα περισσοτερα αρχεια τα ειχα σε δυο δισκους, ενα στο laptop και ενα στο desktop, οπτε λεω αν σκασει ο ενας δισκος θα τα εχω στον αλλο. αλλα το laptop xalase prin kairo και ειχα βαλει το δισκο του laptop, δυο μερες πριν κολλησω τον ιο, σαν δευτερο στον υπολογιστη μου,να δω τι θα κρατησω κτλ, και τελεικα  μου εσκισε ολα τα αρχεια και των δυο δισκων.

 

 

τωρα στην λυση

 

 

αυτο "I could restore "manually" quite all ms-office 2007 (and above) files, as they are in zip container. Only the root xml file of the data structure is dammaged. You can get it from any same clean office file......." πως γινεται προσπαθησα να ανοιξω ενα word se xml file, αν καταλαβα σωστα , αλλλα δεν μου ανοιγει. το ιδιο γιανεται και με καθαρο αρχειο, οποτε κανω κατι λαθος.

 

την δευτερη πιθανη λυση που γραφει ο arc den to poly epiasa.

προσπαθησα να ανοιξω πχ, μια φοτο με notepad++ δεν εβγαλα ακρη

 

αυτο πο λεει ο oldgik θεωρητικα αν δεν κανω λάθος το κανει και ο shadow explorer , alla ουτε απο εκει εβγαλα ακρη.

ουτε restore poiont ειχε ο υπολογιστης, ουτε μου εβγαζε να κανω τα αρχεια μου σε previous version

 

..........

edit

με τον kapesky δεν κανει τιποτ

κατεβασα το foxit reader για να δοκιμασω τα pdf και μου εβγαλε οταν ανοιγα ενα pdf file,   no pdf file or corrupted

επισης κατι προγραμματακια για διορθωση και καλα εικονων παλι μου εβγαζε οτι δεν αναγνωριζουν τα αρχεια

 

οποτε πολυ φοβαμαι πως πανε ολα τα αρχεια, κια εινια αυτο που ελεγε καποιος λιγιο παραπανω , πως θελει  προσοχη πως σβηνεις τον ιο , γιατι μαζι με τον ιο ισως στην ουσια καταστρεφεις και τα αρχεια

[oldgik]

<<αυτο πο λεει ο oldgik θεωρητικα αν δεν κανω λάθος το κανει και ο shadow explorer , alla ουτε απο εκει εβγαλα ακρη.

ουτε restore poiont ειχε ο υπολογιστης, ουτε μου εβγαζε να κανω τα αρχεια μου σε previous version>>

Δεν τα βγάζει γιατι απενεργοποιει την υπηρεσια, γα@@@ει την registry προσθέτοντας κατα την εκτέλεση αρχειών απο explorer παραμέτρων κτλ. με λίγα λόγια άμα καταφέρεις να πάρεις τα αρχεία σου θέλει φορματ. kai σβηνει τα αρχεια (*volume ) shadow.copy Δοκίμασε με offline system restore point απο live cd (dart)

<<αυτο πο λεει ο oldgik θεωρητικα αν δεν κανω λάθος το κανει και ο shadow explorer , alla ουτε απο εκει εβγαλα ακρη.

ουτε restore poiont ειχε ο υπολογιστης, ουτε μου εβγαζε να κανω τα αρχεια μου σε previous version>>

Δεν τα βγάζει γιατι απενεργοποιει την υπηρεσια, γα@@@ει την registry προσθέτοντας κατα την εκτέλεση αρχειών απο explorer παραμέτρων κτλ. με λίγα λόγια άμα καταφέρεις να πάρεις τα αρχεία σου θέλει φορματ. kai σβηνει τα αρχεια (*volume ) shadow.copy Δοκίμασε με offline system restore point απο live cd (dart) και προσπάθησε να μην γράψεις κάτι στο δισκο και γίνει υπερκαλυψη αρχείων

Η σκέψη μου είναι να μπουτάρω το pc me live cd. Να ψάξω να βρώ διεγραμένα αρχειά του στιλ *olumeshadowcopy1. να τα αντιγράψω σε άλλο σκληρο δίσκο ή να τα κάνω mount αφου είναι volume με κάποιο τρόπο δεν ξέρω ακόμα. Και να ψάξω για τις φωτογραφίεσ μου. 

http://epyxforensics.com/node/46

[takaros1982]

ποσες μερες κραταει restore αυτο που ελεγες για το live cd

γιατι εχουν περασει απο τοτε 15 μερες