CryptoLocker... Kako odkleniti datoteke?
7 naročnikov
7 naročnikov
Ravno raziskujem, kako rešiti podatke ki jih je zaklenil trojanc Tesla Crypto Ransomware.
Prvi šok je bil po popup-u okna da so "personal files encrypted". Po pregledu sem videl da je na večini datotek ter slik ustvarjena končnica .ecc.
Imam dve opcije, kolikor piše v sporočilu, da plačam ali da ostanejo zaklenjeni podatki za vedno...
Sicer sem poskusil rešiti podatke po navodilih YouTube navodil, vendar zgleda da je tale trojanec naprednejši saj v primerjavi z prikazanim je slednji ki ga imam gor zgleda naprednejši. Videl sem pa da so par verzij nazaj že ustvarili dekoder oz ključ da so odklenili te zaklenjene datoteke...upam da bodo tudi za tega, ker se ne smem posloviti od teh podatkov.
Ker gre za spletni kriminal sem zaenkrat dal prijavo, da vidim kako je do tega prišlo. Preverjam še pa ostale informacije v tujini, da najdem skupine ki se borijo proti tem.
V kolikor ste že sami imeli podoben primer ter kako ste ga rešili, so zaželjeni vsi nasveti in izkušnje.
Hvala,
LP
15 odgovorov
Ena rešitev je, da na USB vržeš Kickstart HitmanPro nizozmeskega start-upa in bootaš računalnik iz USBja. Ta program je v preteklosti že odstranil vse podobne nadloge (policijski virus,...).
Kakor sem izvedel se ta trojanec širi s pomočjo priponk; sestra dela v javni upravi in so nekateri odpirali neznane e-maile, kao da pošilja DHL priponko; Na srečo so sysadmini, takoj izolirali računalnike, saj se ta nadloga širi tudi po omrežjih.
Virus mi je nekako uspelo ustaviti z raznimi programčki pa nekaj sem še čistil registre preko safemode. Bom pa probal še z omenjenim HitmanPro.
Kako pa potem odklenem datoteke pa slike?
Sicer imajo nek dekoder, ki bi ga naj FBI oz. policija ki se bori proti temu naredila, vendar moje verzije ne prepozna.
Hvala za informacijo carchek.
Odvisno od verzije cryptolockerja. Za stare verzije ze obstaja en tool, k submitas na stran mislm da file, oni ti pa pol posljejo key. Ce je pa nova verzija cryptolockerja ne mors pa nardit nic. Format pa v jok.
Za eno stranko sem enako zadevo raziskoval in na podlagi zapisov/komentarjev na internetu ugotovil, da v bistvu ransom deluje - dobiš potrebne podatke in navodila za odklep.
Če računalnika nisi preveč uporabljal pa baje lahko dobiš datoteke z data recovery programi. Ker trojanc zakodira file v nov file, starega pa izbriše... To sem poizkusil pri stranki in žal nismo dobili nič pametnega ven, pa vmes je bilo že skoraj mesec dni uporabe računalnika...
Sicer me bega zakaj nekdo v današnjem času nima backupov poštimanih...
Krejzi prav imaš, tudi sam sem našel tisto ko pošlješ pa ti potem odklenejo...vendar je žal za starejše verzije. Moje ne prepozna.
SlimDeluxe sem probal z datarecovery ter ShadowExplorer pa so ponastavljene datoteke ponastavljene sicer na novejši datum (od CryptoLock-a) a ne prikaže za nazaj, recimo ko so bile ustvarjene datoteke. Na raznih podpornih forumih so prikazali na kakšen način ampak pri meni ne pokaže opcije ponastavitve.
...pa tudi v registrih ni bil dodan kot klasični CryptoLocker ali imenska datoteka, ki bi jo dejansko takoj prepoznal in izbrisal. Skrila se je preko imena msconfig pa še nekaj... ampak sem ga potem odstranil, ker zapisi niso ustrezali tako kot bi morali..isto je bilo v startup-u.
Se strinjam, backupi so pomembni. Priznam da sem do pred kakšnim mesecem imel vse, zadnji mesec pa nisem naredil ker niti verjeti nisem mogel da se lahko to zgodi. Tudi slišal nisem, da bi se katerem kolegu to zgodilo (razen kar sem prebral preko neta enkrat...pa še to sem mislil da se zgodi lahko tistim ki nima zaščite pa obiskuje kakšne čudne strani)...ko te doleti vidiš da se lahko zgodi vsakemu...in ja, glede na zapise ki jih je sedaj zakodiralo, mi je žal da nisem naredil backupa :(
Hvala obema
Tudi pri backupih je treba biti previden. Če gre samo za USB zunanji disk, potem bo virus lahko veselo zakriptiral podatke tudi tam.
Če je imaš res opravka z cryptolockerjem (CR) in je zadeva kriptirana z RSA parom ključev, potem se zadeve NE DA zlomiti in podatkov SE NE DA REŠITI brez plačila (plačujejo vsi) . Tisto, ko so lani odklepali je bilo srečno naključje, ko je policija (oziroma firma ki je pomagala rasuti botnet) med operacijo Tovar (ko so razbijali Zeusa) dobila v roke en server z zbirko ključev in tako nekaterim srečnežem rešila podatke.
Ena bolj teoretična možnost: ker je sveže generiran ključ v določenem trenutku moral zapustiti tvojo mašino (in če za komunikacijo ni bil uporabljen SSL - od začetka ni bil ...) in se shraniti na cotrol server, je v primeru, da obstaja kje (ve se kje) dump tvojega celotnega mrežnega prometa tam v teoriji možno poiskati ta ključ. Zadje verzije uporabljajo SSL + TOR network, tako da tudi to odpade.
Za povrnitev podatkov je edina meni znana opcija "shadow kopije" kot so ti svetovali že zgoraj , pa tudi te zadnje verzije CR onesposobi in jih prepiše.
Edino ahilovo peto predstavlja dejstvo, da se program mora nekje zagnati in da se mora registrirati za ponoven zagon ob rebootu., zato je edina opcija zaščite 100 % sandbox + strogi whitelisting aplikacij (recimo Comodo 2015 je free tudi za komercialno uporabo, je pa precej zahteven za nastavit - ampak dela ko šus )
Backup je treba delati na NAS in to z aplikacijo ki lahko piše na UNC pot - "mapirane" diske CR isto tako zakriptira, če jih najde na mašini. Torej backup na UNC pot + geslo je edino kar deluje.
V glavnem, zadeva je dosedaj po podatkih blogov kot je Krebsonsecurity bad guysom prinesla tromestno številko profita v mio $, zato je popolnoma logično pričakovati da podobne in še hujše zadeve trenutno razvija ogromno število vrhunskih programejev .
Tukaj lahko preveriš če si med srečneži navkljub smoli ...
https://www.decryptcryptolocker.com/
FireEye (www.fireeye.com) Fox-IT (www.fox-it.com)
It’s important to note that these companies do not claim to have “cracked the code” to decrypt these files; rather, they gained access to some of the servers that contained the private keys used by the original CryptoLocker infection.
phpseo bom previden hvala
krejzi bom preveril hvala
1qay1qay a tako, sem zasledil kar nekaj navodil vendar ni za mojo novejšo verzijo. Pa slišal sem tudi da se ne da zlomiti oz. da so se veliki sprijaznili z izgubo podatkov. Sem pa prebral opozorilo glede plačila, da je kljub temu da plačaš verjetno da do podatkov sploh nemogoče priti ker postavijo še višji znesek...v bistvu odsvetujejo plačevanje, ker bi naj v vsakem primeru izgubil podatke...mnda...
Se pravi, da nekje imajo zabeležene podatke, kam je odšel tale sveže generiran ključ in zaradi poti obstaja teoretično da se da mogoče celo ugotoviti ali ga pridobiti...Nenazadnje, saj večina poteka po naših omrežjih in če se ne motim se shranjujejo določeni podatki ki bi lahko s pomočjo preiskave prišli prav...lahko da s emotim. Hvala za vse koristne informacije 1qay1qay