Skocz do zawartości

RATUNKU!!! - infekcja ransomware!


Recommended Posts

Może ktoś miał z tym do czynienia...

 

Mój komputer został zainfekowany ransomware czymś co się nazywa "v0rtex ransomware"

 

Czekałem na fakturę ze sklepu za monitor i doszła akurat poczta zatytułowana "faktura za zakup".

Dwa-trzy szybkie kliki myszką bez zastanowienia i ciach...  :/ . Zaczęło mi mielić dyskiem i po chwili zorientowałem się, że moje pliki są zamieniane na takie z rozszerzeniem "aes". Zanim walnąłem reset zdążyło mi tak zajumać 2 partycje C i D - oczywiście ze wszystkimi zdjęciami, dokumentami i filmami - po prostu wszystko co dla mnie ma na kompie jakąkolwiek "wartość"...  i w każdym katalogu pojawił się plik tekstowy informujący co gdzie i jak i że za $100 mogę odzyskać swoje pliki w ciągu 4 dni - po 4 dniach codziennie opcja jest droższa o kolejne +$100. Standardowo - kopii zapasowych brak....

 

W google praktycznie niczego się nowego nie dowiedziałem prócz tego, że coś takiego istnieje i żadnego info jak tego się pozbyć (pomijając oczywiście format dysku). Same strony z "instrukcjami po polsku" tłumaczone google translate i do tego płatne programy co niby to mają usuwać... Nie skusiłem się bo z daleka to jest wał do wyciągania kasy tak samo jak samo to ransomware.

 

Generalnie zależy mi na dosłownie 10 plikach ... w sumie to są arkusze kalkulacyjne.

 

Czy koś miał już z tym do czynienia albo czy jest jakiś cudowny sposób na odzyskanie plików?

Link to post
Share on other sites

Infekcja infekcją ale bez odpowiedniego klucza deszyfrującego na chwilę obecną można zapomnieć o odszyfrowaniu potrzebnych plików... Twórcy podobno honorowi, jeśli można mówić o honorze w tego typu "działaności" - https://www.elektroda.pl/rtvforum/topic3387447.html

 

Dla potomnych - jakiego miałeś antywira, który przepuścił tego ransome'a i czy pracowałeś na koncie z uprawnieniami administracyjnymi zamiast użytkownika standardowego Windows?

 

Spróbuj też odpalić narzędzie do odzysku np. Recuva - raz w bardzo podobnym przypadku aplikacja znalazła potrzebne pliki w kopiach shadow i to akurat uratowało znajomego, który w podobny sposób nauczył się robić kopie zapasowe ważnych plików.

Link to post
Share on other sites
Niestety ale nie zawsze wniesiony okup pozwala na odzyskanie cennych danych. https://safegroup.pl...08859#pid208859

 

Wiadomo ale przytoczony artykuł dotyczy bardziej CryptXXX, Petya i jego klonów z twórczości zagranicznej a Vortex Ransomware to podobno z logiem "teraz Polska" wyszło i pojęcie honoru nie jest im obce :].

 

 

 

Najlepszą prewencją jest nie klikanie w dziwne załączniki, uaktualniony system operacyjny i antywirus oraz praca na standardowym koncie użytkownika Windows i robienie backupu - żadne specjalistyczne oprogramowanie nie zrobi tego za nas, nawet proaktywne bo tego typu rozwiązania "zabijają" typowego Kowalskiego w ciągu 1 dnia a i często wymagany poziom wiedzy użytkownika jest zbyt wysoki by to oprogramowanie mógł sobie sam odpowiednio przystosować o cenie nie wspominając.

Edytowane przez RalfNwn
Link to post
Share on other sites

Od ostatniej instalacji systemu (czyli ok ~3 lat) używałem Avasta, CCleanera, Microsoft Security Essentials i Bitdefender Anti-Ransomware.

Wszystko aktualne na bieżąco. Nic nie wyskoczyło - żadnego alertu, żadnego ostrzeżenia. Do zarządzania pocztą używam grubo od ponad 10 lat Thunderbirda z dodanymi filtrami w tym jeden zdefiniowany ręcznie.

NIE UŻYWAM konta administratora - na nim jest hasło. Jak widać - nie pomogło.

Z tego, co do tej pory wyczytałem, ten atak jest bardzo parszywy - nie ma na niego na razie ŻADNEGO sposobu do obrony - przepuszczają go nawet płatne i to te najdroższe antywirusy (ludzie testowali na maszynach wirtualnych). Szyfrowanie plików (z konkretnymi rozszerzeniami) odbywa się błyskawicznie - nie minęła nawet minuta, kiedy się ocknąłem co się dzieje i pliki na C i D poszły się bujać i już zaczynało "zżerać" E. Wirus jest aktualizowany na bieżąco - podobno tylko w tym roku miał już 4 aktualizacje. Nie ma żadnego sposobu na odkodowanie plików - potrzebny jest klucz i wiedza o jego długości i jaką metodę szyfrowania zastosowano (są chyba 4 albo 5 ale mogą być też inne - zmodyfikowane). Przeskanowałem teraz komputer i nic nie znalazło - wirus po zakończeniu szyfrowania usuwa po sobie wszelkie ślady - pozostawiając tylko info w txt z kontaktem do atakujących w sprawie okupu. Na dysku C tworzone są logi, które są w sumie bezwartościowe. Wirus podczas szyfrowania korzysta z połączenia internetowego i cała operacja tworzenia klucza odbywa się zdalnie.

Dodatkowo dowiedziałem się, że tego typu szyfrowania używają teraz największe agencje rządowe na świecie w tym te w USA. A to już o czymś świadczy...

Pozostaje format i zerowanie całego dysku (prewencyjnie) bo większość plików na C jest zaszyfrowana a na reszcie partycji nie pozostało nic co mogłoby teraz mieć jakąś realną wartość. System chodzi mimo to stabilnie a w menadżerze procesów nie ma niczego podejrzanego. Wyczytałem też, że atak jest "jednorazowy" - po zakończeniu szyfrowania i restarcie, nowe pliki nie będą już szyfrowane (ale nie na 100%).

Link to post
Share on other sites

Do weryfikacji rodzaju infekcji służy serwer usługi ID Ransom

https://id-ransomware.malwarehunterteam.com/

natomiast do tworzenia kopii/archiwizacji zaszyfrowanych plików

CryptoSearch

https://www.bleepingcomputer.com/news/security/cryptosearch-finds-files-encrypted-by-ransomware-moves-them-to-new-location/

przydatne na przyszłość gdyby okazało się że na ten rodzaj szyfrowania pojawią się klucze dekodujące.

Link to post
Share on other sites

@rockywood

 

Czyli bardzo podobnie jak miał mój znajomy sytuację z CryptXXX ale tam nawet nie było szans zapłacić i odszyfrować pliki... W jego przypadku trochę go uratowało, że jak odpaliliśmy Recuva to znalazł kilka krytycznych dla niego plików w kopiach shadow także nie musiał wszystkiego robić od nowa na czym mu wtedy zależało - jeśli nie skanowałeś dysku tym narzędziem to nie zaszkodzi spróbować.

 

Co do AVasta (Avira w sumie też) to nie raz czy dwa miałem u siebie komputery, gdzie antywiry były aktualne, wszystko ładnie świeciło na zielono a po przepięciu dysku do stacji "czyszczącej" brakowało ekranu od ilości zainfekowanych plików... Ciężko definitywnie stwierdzić czy płatne oprogramowanie pokroju Kaspersky, NOD32, etc. w identycznej sytuacji by się obronił ale widocznie częściej taka sytuacja dotyczy tych dwóch darmówek.

Edytowane przez RalfNwn
Link to post
Share on other sites

Próbowałem szukać wieloma różnymi "najlepszymi" programami do odzyskiwania. Niestety ten ransomware zanim zastąpi plik, kopiuje go pod nową nazwą i szyfruje. Czyli każdy kolejny plik zapisuje się często w miejscu poprzedniego starego i dlatego odzyskanie tego starego jest nie możliwe. Szczególnie kiedy na partycja ma 350 gb a wolnego niecałe 10...

Link to post
Share on other sites
  • 2 tygodnie później...

Temat na dzień dzisiejszy (i chyba na przyszły rok-2) można zamknąć.

Nie ma możliwości odkodowania plików bez posiadania hasła znajdującego się na serwerze przestępców.

 

Jedynym "ratunkiem" po takiej infekcji jest albo format albo zapłata okupu i 50/50 szans, że przestępcy będą mieli dobry humor i prześlą indywidualnie skonfigurowany program deszyfrujący.

Link to post
Share on other sites
Gość
This topic is now closed to further replies.
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...