Εξαιρετικά επικίνδυνοι ιοί κρυπτογράφησης στα Παντζούρια
#1
Πριν λίγες ημέρες αντιμετώπισα μια περίπτωση γνωστού μου, με χτύπημα ιού στα Παντζούρια. Επρόκειτο για έναν τύπο ιού μιας ομάδας που λέγεται Cryptolocker. Το Λ/Σ ήταν τα Win 7, και ο ιός κολλήθηκε μάλλον μέσω Limewire, (σημειώνω εδώ μακριά από αυτή την παλιά εφαρμογή διαμοιρασμού, εδώ και χρόνια βρίθει από viruses). Η νέα ομάδα ιών κρυπτογραφίας ransomware trojans δυστυχώς αποδυκνείεται μοιραία για τον χρήστη, διότι κάνει το εξής: Βρίσκει όλα τα αρχεία εγγράφων τύπου *.doc, *.xls, *.mdb, *.pdf. *.jpg, και όλα τα υπόλοιπα αρχεία χρήστη, όπως φωτογραφίας, κειμένου, σχεδίων, και στη συνέχεια τα κρυπτογραφεί με ένα κλειδί που προφανώς προέρχεται από μια γεννήτρια τυχαίων αριθμών.

Η κρυπτογράφηση είναι ισχυρή RSA & AES encryption . Μετά, όταν ολοκληρωθεί, τα αρχεία μετονομάζονται με γεννήτρια τυχαίων ονομάτων σε αλαμπουρνέζικα ονόματα, με κατάληξη τελεία ανάλογα τον ιό. Ο χρήστης που είδα είχε χτυπηθεί από τον ιό κρυπτογραφίας cerber2, και τα αρχεία είχαν κατάληξη .cerber2. Η ανάκτηση των αρχείων είναι σχεδόν αδύνατη. Οι δημιουργοί του ιού, ζητούν από τον χρήστη, με μια ανακοίνωση στην επιφάνεια εργασίας, να τους στείλει 100 δολάρια σε bitcoins, σε κάποια sites με κατάληξη τελεία κρεμμύδι (onion).

Όσοι προσπάθησαν οι περισσότεροι λέει δεν πήραν απάντηση, πρόκειται γα απατεωνιά, ενώ ένας τρόπος ανάκτησης λέγεται ότι είναι αφού ξεφορτωθείς τον ιό κάνοντας boot με F8 σε standard mode, σβήσεις τα αρχεία του ιού, το process, και τους φακέλους του ιού, αλλά και τις καταχωρήσεις ιού στο μητρώο, να επαναφέρεις ένα system restore. Πολύ φοβάμαι, πως ο ιός έχει την εξυπνάδα να μηδενίζει επίσης τον χώρο δίσκου του system restore για μα μην μπορεί ένας χρήστης να κάνει επαναφορά συστήματος. Μόνος ίσως τρόπος επαναφοράς είναι μέσω utilites που μπορούν να φέρουν προηγούμενες εκδόσεις του αρχείου, σβησμένες μέσω NTFS.

Ορισμένα sites λένε για χρήση κάποιων utilities όπως Shadow Copies η Shadows Explorer, που μπορεί να επαναφέρουν προηγούμενες, μη κρυπτογραφημένες εκδόσεις των αρχείων πίσω. Προς το παρόν δεν είχα κατορθώσει να δώσω λύση στο πρόβλημα του χρήστη που είχε χτυπηθεί. Πρόκειται για μια επικίνδυνη περίπτωση όπου τα αρχεία χρήστη κρυπτογραφούνται με άγνωστο κλειδί, και καθίστανται άχρηστα.

Το antivirus που υπήρχε (Mc Affee) δεν είχε ανιχνεύσει το malware, και ο ιός κρυπτογράφησε και αρχεία συνδεδεμένων εξωτερικών σκληρών δίσκων. Προφανώς μέθοδοι προστασίας θα ήταν ήδη κρυπτογραφημένα volumes, προσωπικός φάκελλος, αλλά και προστασία με δικαιώματα, δηλαδή να έμπαινε με login σαν χρήστης.
  Απάντηση
#2
Εάν κάποιος είχε εμπειρία με τον Cerber2 θα με βοηθούσε με κάποια συμβουλή, μήπως του ανακτήσω ορισμένα αρχεία.
  Απάντηση
#3
Δοκίμασες cryptolocker removal tools, αν ναι, δεν δούλεψε κανένα?
~Dark sTyM
  Απάντηση
#4
αυτός που κόλλησε τον ιό πάτησε σε κάποια ψεύτικη διαφήμιση στο ίντερνετ ή έμπαινε σε πονηρές ιστοσελίδες; θυμάμαι ένας φίλος μου που είχε κολλήσει έναν γνωστό ιό με την ονομασία «ucash» που μόλις έμπαινε στα windows του κλείδωνε ο υπολογιστής κι έβγαζε κάτι εντελώς άκυρο στην οθόνη: η αστυνομία, δίωξη ηλεκρονικού εγκλήματος τον έπιασε να παρακολουθεί και καλά παιδικό πορνό και κάτι άλλα σχετικά.Προκειμένου να του το ξεκλείδωνε θα έπρεπε να καταβάλλει το ποσό των 100ευρώ μέσω κουπονιού ucash (που ούτε καν βλέπω να πουλάνε έδω στη Ελλάδα). Παρολίγο να μπλέξω εγώ διότι είχα ανοίξει τον pc του το πρωί που κοιμόταν σαν το βόδι, εκείνη την ώρα καθώς ήμουν στο ίντερνετ και έψαχνα διάφορες μαλακίες μου πετάει τον ιό και τον κλείνω όπως ήταν βίαια. Μετά που σηκώθηκε και τον άνοιξε εγώ έκαμα τον κινέζο. Μόλις συνοιδητοποίησε περί τίνος πρόκειται του λέω «επειδή εσύ είσαι μαλάκας και βλέπεις και κατεβάζεις τσόντες όλη μέρα θα μπλέξω εγώ» Τώρα ευτυχώς έχω εγκατεστημένο linux και τα windows τα έχω γραμμένα στα μέζεα του στεατοπηγικού μου υποσυστήματος
Manjaro xfce 64
  Απάντηση
#5
Χάρης, post: 23751, member: 1144 είπε κι ελάλησε:Εάν κάποιος είχε εμπειρία με τον Cerber2 θα με βοηθούσε με κάποια συμβουλή, μήπως του ανακτήσω ορισμένα αρχεία.
Από linux live usb δεν βλέπεις τίποτα;
  Απάντηση
#6
asinoro, post: 24334, member: 1760 είπε κι ελάλησε:Από linux live usb δεν βλέπεις τίποτα;

Βρε δεν είναι το θέμα πως έγιναν αόρατα τα αρχεία. Απλώς τα κωδικοποίησε με άγνωστο κλειδί. Είναι σαν να είχε αχλάδια και μήλα, και ήρθε ένα μίξερ και τα πήρε αυτά, και τα έκανε φρουτοχυμό, τώρα δεν μπορείς να τα ξανακάνεις μήλα. Βέβαια, μπορείς αν ξέρεις το κλειδί, αλλά αυτό το ξεχνάμε, διότι δεν είναι μόνο αυτό, είναι και το πρόγραμμα κωδικοποίησης, αποκωδικοποίησης.
Μόνη λύση, είναι αν βρει παλιές εκδόσεις των αρχείων (ενδιάμεσα saves του word), μέσα στο σύστημα αρχείων NTFS, με τη βοήθεια κάπου προγράμματος.

Σημειώνω πάντως πως ύστερα και από αυτό που έπαθε, δεν το σκέφτεται να αλλάξει και να βάλει Linux.
  Απάντηση
#7
Χάρης, post: 24368, member: 1144 είπε κι ελάλησε:Βρε δεν είναι το θέμα πως έγιναν αόρατα τα αρχεία. Απλώς τα κωδικοποίησε με άγνωστο κλειδί. Είναι σαν να είχε αχλάδια και μήλα, και ήρθε ένα μίξερ και τα πήρε αυτά, και τα έκανε φρουτοχυμό, τώρα δεν μπορείς να τα ξανακάνεις μήλα. Βέβαια, μπορείς αν ξέρεις το κλειδί, αλλά αυτό το ξεχνάμε, διότι δεν είναι μόνο αυτό, είναι και το πρόγραμμα κωδικοποίησης, αποκωδικοποίησης.
Μόνη λύση, είναι αν βρει παλιές εκδόσεις των αρχείων (ενδιάμεσα saves του word), μέσα στο σύστημα αρχείων NTFS, με τη βοήθεια κάπου προγράμματος.

Σημειώνω πάντως πως ύστερα και από αυτό που έπαθε, δεν το σκέφτεται να αλλάξει και να βάλει Linux.
[INDENT]παντα offline backups, και σε ηδη κρυπτογραφημενα μεσα, ωστε το σκουπιδι να μην μπορει να τα παραβιασει με κανενα τροπο. αν δεν εχετε δυνατοτητα για κρυπτογραφημενα μεσα, υπαρχουν και τα σταθερα μη επανεγγραψιμα (cd/dvd, sdcards με το «διακοπτακι» σε locked θεση) για παλιες εκδοσεις αρχειων μην ελπιζετε, γιατι το σκουπιδι μπλοκαρει τα volume shadow copies, και διαγραφει και ολα τα restore points. οποτε μονο αν υπαρχει offline backup θα ανακτηθουν τα αρχεια. και προφανως σε φρεσκο συστημα που να μην εχει ακομα το σκουπιδι μεσα.

limewire? υπαρχει ακομα αυτο το σκουπιδι? ολα πλεον εκει ειναι σκουπιδια. ακομα και στις «δοξες του», το μεγαλυτερο ποσοστο αρχειων εκει ηταν σκουπιδια, αφου πολλοι peers ηταν honeypots και hosting σκουπιδιων (τωρα πλεον ειναι ΟΛΟΙ οι peers, honeypots). ηθελε πολυ τυχη για να βρεις εστω ενα κανονικο αρχειο. χαρη, σορυ κιολας για τον γνωστο σου, θα ακουστω κακος, αλλα κατεβασε ΤΩΡΑ αρχειο απο το limewire? θα τον χαρακτηριζα «αφελη». δυστυχως τετοιοι χρηστες, απλα ειναι αξιοι της μοιρας τους. οτι και να τους πεις, δεν προκειται να νιωσουν.

αν με λες οτι κατεβασε το σκουπιδι απο το limewire, αστο, μην χανεις το χρονο σου. δεν προκειται να καταλαβει τι σημαινει η ασφαλεια του, οτι και να τον πεις. θα συνεχιζει να κανει τα ιδια, και εσυ θα εισαι συνεχεια αποπανω του να τον κανεις τη νταντα, μην τυχον και την ξαναπατησει (που θα την ξαναπατησει). και στο τελος και εσυ θα κουραστεις, και αυτος θα εκνευριζεται, γιατι δεν τον αφηνεις στην ησυχια του, να παταει ηρεμος τα κακοβουλα διαφημιστικα (εχω και εγω την αδερφη μου, που δυστυχως ειναι ΑΚΡΙΒΩΣ ΕΤΣΙ, δεν εννοει να καταλαβει, και με λεει παρανοικο)
ονομαζομαι DarkGoth, και ειμαι «καλα»( ; )... το OsArena με θεραπευσε... (goth=!ok {equals} EMO)...  Emo
  Απάντηση
#8
με ασφαλίζει το πρόγραμμα αυτό https://sureshotsoftware.com/guides/cerb...help-help/
  Απάντηση
#9
και οπως ειπα και στο αλλο θεμα αποκει. ολες οι αλλες «προστασιες», ειναι γατακια μπροστα σε αυτο:...
ονομαζομαι DarkGoth, και ειμαι «καλα»( ; )... το OsArena με θεραπευσε... (goth=!ok {equals} EMO)...  Emo
  Απάντηση
#10
Είδα ότι η ανάρτηση άνοιξε πριν μήνες. Τώρα έχουν βρει εργαλεία ειδικά αποκρυπτογράφησης για αυτό τον ιό. Προσωπικά δεδομένου ότι είναι 256 κλειδί δε θα δεχόμουν καμιά βοήθεια και θα εκλάμβανα εκ του πονηρού κάθε δημοσιευμένο εργαλείο. Θα το εκλάμβανα ας πούμε σαν να μου έλεγε μια τσιγγάνα ότι μου έχουν κάνει μάγια και μετά να ερχόταν μια άλλη και να ήθελε να τα σπάσει. Και να ερχόταν μια τρίτη να μου πουλήσει μετά χα'ι'μαλιά να μη με πιάνουν τα μάγια. Τίποτα. Ότι χάσαμε χάσαμε. Το ξεχνάμε και μαθαίνουμε να δουλεύουμε λίνουξ και bsd.
  Απάντηση


Ίσως Σχετικά Νήματα...
Νήμα Άτομο Απαντήσεις Βλεφαριάσματα Τελευταία Ανάρτηση
  HSTS : Ένα πρόβλημα στα Παντζούρια Χάρης 1 1.831 22.03.2016 22:23
Τελευταία Ανάρτηση: STavrosYoMafias

Πάμε στο Forum:


Πλάσματα σουλατσάρουν στο νήμα: 1 Επισκέπτης(ες)