|
Lis
13 |
Autor: Martin Buchta | Vytvořeno: 13.11.2014 13:52:37
|
||
|
V nové vlně podvodných e-mailů, které se dnes začaly šířit, různé instituce uživatele informují, že mají připravenou zásilku k vyzvednutí. Odkaz uvedený v těle e-mailu směřuje na podvodnou stránku, která vypadá jako oficiální internetová stránka dané instituce, v níže uvedeném příkladu České pošty. Na stránce však nejsou k dispozici informace o údajné zásilce, ale obsahuje soubor se škodlivým kódem. Pokud po zadání ověřovacího kódu tento soubor stáhnete a přílohu spustíte, dojde k zašifrování všech dat na pevném disku!
Pokud jste uvedený e-mail obdrželi, neotvírejte jej a rovnou vymažte. Pokud jste přílohu stáhli a spustili, aktualizujte virovou databázi produktu ESET a proveďte kompletní kontrolu počítače. V případě, že došlo k zašifrování dat, není možné data zpětně dešifrovat.
Vzor podvodné stránky:
Aktualizace:Od získání prvního vzorku pracujeme na získání dešifrovacího klíče. Tato varianta škodlivého kódu má však poměrně složitý šifrovací algoritmus, je tedy otázkou, zda se vůbec podaří dešifrovací klíč získat. Případnou pozitivní informaci uveřejníme na těchto stránkách. Pokud odebíráte novinky, dostanete ji i do své e-mailové schránky. Štítky: cryptolocker, cryptlocker, filecoder, crypto, krypto, šifrované soubory | |||
Petr Neruda
14.11.2014 21:14:53
Prosím o radu, jak obnovím zašifrované soubory.
Alex Kvapil
15.11.2014 15:13:47
zkuste to debugovat ve Virtual Boxu :-)
name
19.11.2014 12:21:15
proc zrovna Virtual Box ?
Trivius
18.11.2014 00:18:47
Řešením je toto: https://www.decryptcryptolocker.com/
Poprvé uploadněte nějaký zakryptovaný, ale nedůležitý soubor. Tím získáte link na decrypt tool a klíč.
Následně můžete s klíčem a toolem už offline odemknout všechny zakryptované soubory (včetně těch citlivých)
Poprvé uploadněte nějaký zakryptovaný, ale nedůležitý soubor. Tím získáte link na decrypt tool a klíč.
Následně můžete s klíčem a toolem už offline odemknout všechny zakryptované soubory (včetně těch citlivých)
Davi72
18.11.2014 08:42:25
Bohuzel https://www.decryptcryptolocker.com/ me nefunguje :-(. Podarilo se nekomu obnovit zasifrovane soubory?
Tomas Jiranek
18.11.2014 09:33:51
Take se mi nepodarila obnova pomoci zmineneho nastroje. Vypise mi to hlasku: The file does not seem to be infected by CryptoLocker. Please submit a CryptoLocker infected file.
Diky za jakekoliv podnety!
Diky za jakekoliv podnety!
Martin Jonáš
18.11.2014 10:06:22
Dobrý den,
aktuálně pracují kolegové ve viruslabu na získání dešifrovacího klíče. Podle prvotních informací je však tentokrát šifrovací metoda poměrně složitá a tak je otázkou, zda se klíč podaří skutečně najít. Mimo to se šíří i více variant této havěti, takže jedno řešení nemusí u jiného uživatele fungovat. Pokud máte zašifrované soubory, pošlete nám vzorek takového souboru. ideálně i s nezašifrovanou variantou (pokud takové existuje) a dále zachycený škodlivý soubor, který je umístěn v karanténě. Soubor z karantény je možné obnovit po dočasném vypnutí ochrany souborového systému. To vše zabalte (zaarchivujte) do zaheslovaného zipu nebo raru a společně s heslem pošlete na technickou podporu. Samozřejmě nezapomeňte uvést uživatelské jméno vaší licence ESET.
aktuálně pracují kolegové ve viruslabu na získání dešifrovacího klíče. Podle prvotních informací je však tentokrát šifrovací metoda poměrně složitá a tak je otázkou, zda se klíč podaří skutečně najít. Mimo to se šíří i více variant této havěti, takže jedno řešení nemusí u jiného uživatele fungovat. Pokud máte zašifrované soubory, pošlete nám vzorek takového souboru. ideálně i s nezašifrovanou variantou (pokud takové existuje) a dále zachycený škodlivý soubor, který je umístěn v karanténě. Soubor z karantény je možné obnovit po dočasném vypnutí ochrany souborového systému. To vše zabalte (zaarchivujte) do zaheslovaného zipu nebo raru a společně s heslem pošlete na technickou podporu. Samozřejmě nezapomeňte uvést uživatelské jméno vaší licence ESET.
Karel
20.11.2014 06:39:07
Ja uz sem nejake posilal, požadavek JOI-310-49305, snad se zadari a někdo mi da vedet.
tvurce
19.11.2014 14:05:52
Pokud by byl zájem, souborů před a po máme hromadu... stovky mega, možná gigabajty.
Jan Kvítek
20.11.2014 08:19:19
Soubory před a po není problém vyrobit i na více PC v laborce. Stačí ta PC připravit a po té infikovat z doručeného mailu. To snad chlapy z Esetu taky umějí. Teď je to spíš o prolomení šifrování toho darebáka z Afriky co to napsal.
Jaroslav Dudek
20.11.2014 10:17:46
Prosím o informaci zda již mají lidé z Esetu alespoň nějakou stopu ke kódům. Děkuji.
Martin Jonáš
20.11.2014 22:10:05
Dobrý den,
podle informací a vzorků, které máme, není možné zjistit klíč pro dešifrování. Více zde: http://goo.gl/8THPyF
podle informací a vzorků, které máme, není možné zjistit klíč pro dešifrování. Více zde: http://goo.gl/8THPyF
creco
20.11.2014 14:46:29
TIP pro majitele zašifrovaných ZIP souborů: Stačí přejmovat poškozený soubor a odstranit z nazvu .encrypted a soubory se normálně rozbalí... neptejte se mě proč ale funguje to
jan Salák
22.11.2014 20:42:41
to funguje napůl neb sice ikona se přemění zpět ale soubor se nedá otevřít př.jpg obrázek je v ikoně otvíracího programu ale po kliknutí na otevřít se neotevře.
creco
09.12.2014 16:30:25
Zas tak do hloubky jsem to nezkoumal.
Jelena
02.03.2015 17:19:09
Děkují moc, to bych jeden neřekl........
creco
21.11.2014 16:23:31
Tak jsem jim zaplatil bitcoiny a opravdu mě to povolilo stáhnout dešifrovací aplikaci a už mi to rozšifrovává disk =)
Jaroslav Dudek
21.11.2014 20:32:40
Proč jste platil, když jste psal, že funguje váš zmiňovanýnápad??
creco
09.12.2014 16:49:16
Protože funguje pouze za ZIPy?
jan Salák
22.11.2014 19:20:51
Kolik bitcoinů jsi zaplatil? a nemohl bys poslat tu aplikaci třeba bude fungovat i u nás
creco
26.11.2014 21:27:29
Kecáš - skutečnost je že zaplatíš a nedostaneš žádný dešifrovací nástroj - jediné co se stane je, že dáš na vědomí tvůrcům viru, že jsi napaden a pošlou ti další viry :)
Salák
26.11.2014 21:28:58
creco je tvůrce viru a záměrně tu píše nesmysly
Vladimír H
26.11.2014 22:33:00
Stačí použít widows Shadow Copy a obnovit kopii. :-)
creco
09.12.2014 16:22:47
V tom případě jsem v balíku a můj účet teď před vánoci vůbec není v mínusu. Ty sám píšeš nesmysly...
Venca
27.11.2014 22:27:04
Ty řeči, že někdo zaplatil a má soubory zpět... to jsou nesmysly... ve firmě jsme měli s tímto problém v jednom osobním počítači a zaplacení nepomohlo. člověk se pak jen drbe na hlavě a doufá že se mu něco vrátí... lidi, hlavně nikomu nic neplaťte! věřte tomu že se ten klíč dříve či později prolomí a dostanete svoje soubory zpět. doteď se vždy našel způsob, jak to prolomit - jedinou proměnnou je čas. :)
Jan Beran
28.11.2014 08:55:31
Pro mne bylo účinné toto řešení http://www.idigitaltimes.com/cryptolocker-virus-removal-how-decrypt-or-restore-encrypted-files-and-remove-ransomware-malware-free, je tam odkaz na shadow explorer, zatím si poradil se všemi soubory...
Petr Čížek
28.11.2014 12:37:25
Dobrý den, také mne navštívila tato potvůrka. Asi existuje velké množství variant škodlivého EXE souboru, protože jsem si dnes stáhnul nejnovější ESET SYS Rescue Live a ten ho nedetekuje. Vůbec nepozná, že ten EXE soubor je ta potvůrka. Měl jsem štěstí, pravidelně zálohuji, takže jsem obnovil všechny data a vůbec o nic nepřišel. Jen mě mrzí, že jsem nečetl tyto stránky dříve, měl bych tak pro vás k dispozici stovky souborů správných i ENCRYPTED. Bohužel jsem ty ENCRYPTED všechny smazal a nahradil je správnými.
Petr Čížek
28.11.2014 13:21:23
Tak ještě dodatek k detekci. Nainstaloval jsem si poslední verzi AVG, aktualizoval jsem virovou databázi a chytilo to tu potvůrku ihned.
Martin Jonáš
28.11.2014 16:51:22
Dobrý den,
detekce této havěti a jejich variant je o tom, ke komu se vzorek dostane dříve.
detekce této havěti a jejich variant je o tom, ke komu se vzorek dostane dříve.
Jan Pittr
28.11.2014 17:59:31
Tuhle potvoru tady mám teď taky. Problém je že i přesto, že byly nastaveny pravidelné body obnovy systému, tak tento vir je odstranil a jediná která je použitelná, je z doby kdy už je systém infikován a soubory zamčené. Tudíž není možné použít žádnou z výše popsaných možností jako obnova ze Shadow kopie disku nebo vrácení zpět a zálování před zašifrovaním...
Petr Konupčík
05.12.2014 13:10:49
Dobrý den, jak si stojíte s řešením tohoto problému. Nalezli jste již dešifrovací sifru?
Martin Buchta
08.12.2014 07:14:36
Dobrý den,
podle informací a vzorků, které máme, není možné zjistit klíč pro dešifrování. Více zde: http://goo.gl/8THPyF
podle informací a vzorků, které máme, není možné zjistit klíč pro dešifrování. Více zde: http://goo.gl/8THPyF
Marek Rada
08.12.2014 11:30:40
Ahoj, mel jsem tu cest u zakaznika s "Ceskou postou" :). Vir smazal i shadowcopy, nicmene jsem je pomoci O&O Format Recovery obnovil. Obnoveni probehlo ale samozrejme do jineho adresare, ktery jsem pro obnovu zvolil. Jak ale z techto obnovenych „shadowcopy“ souboru dostat data, ktera tam evidentne jsou? Adresar System Volume Information lze treba i najinem stroji zpristupnit zmenou prav takeown + icacls, nicmene fyzicke soubory obnovy, jsou i tak nepristupne ci nejdou smazat. Premyslel jsem o tom, ze bych „zdravym“ WIN 7 s viditelnymi body obnovy O&O obnoveny soubor Shadowcopy podstrcil jako soubor funkcni Shadowcopy, ze ho prejmenuji, ale samotny „zdravy“ soubor shadow copy nelze smazat, zrejme protoze je s nim zakazano jakkoli manipulovat. Nenapada nekoho neco, jak na to vyzrat, ci jde nejakym zpusobem alespon neco z obnovenych souboru shadowcopy vytahnout?
Diky za jakykoli napad. M.
Diky za jakykoli napad. M.
creco
09.12.2014 16:33:57
Bohužel nic mě nenapadá. Taky se mi to nepovedlo.
creco
09.12.2014 16:19:09
Netuším kdo se tu vydával pod mím nickem ale zpět k problematice.
S tím ZIPem to byl tip. Zkuste si to a uvidíte sami.
Proč jsem platil výpalné je proto že jsem potřeboval obnovit firemní data a dešifrovač mě opravdu přišel. To jestli jste si před tím odvirovali počítač a zničili tak svůj klíč v počítači... za to si můžete sami (a nebo jste měli smůlu a udělali jste něco jiného blbě).
Zaplatil jsem myslím 1.09 Bitcoinu. A poslat vám tu aplikaci opravdu můžu ale stejnka bude funguje pouze pro daný počítač.
Pokud někdo má Shadow Copy tak je zachráněn ale né každý to má aktivované.
Jediná záchrana je zaplatit... věřit v to že někdo zlomí ten klíč je nesmysl viz. zprávičky tady od esetu.
Taky jsem se snažil obnovit data z disku pomocí GetDataBack for NTFS ale nepodařilo se mi obnovit žádné soubory
S tím ZIPem to byl tip. Zkuste si to a uvidíte sami.
Proč jsem platil výpalné je proto že jsem potřeboval obnovit firemní data a dešifrovač mě opravdu přišel. To jestli jste si před tím odvirovali počítač a zničili tak svůj klíč v počítači... za to si můžete sami (a nebo jste měli smůlu a udělali jste něco jiného blbě).
Zaplatil jsem myslím 1.09 Bitcoinu. A poslat vám tu aplikaci opravdu můžu ale stejnka bude funguje pouze pro daný počítač.
Pokud někdo má Shadow Copy tak je zachráněn ale né každý to má aktivované.
Jediná záchrana je zaplatit... věřit v to že někdo zlomí ten klíč je nesmysl viz. zprávičky tady od esetu.
Taky jsem se snažil obnovit data z disku pomocí GetDataBack for NTFS ale nepodařilo se mi obnovit žádné soubory
Komentáře (35)