Zaszyfrowane pliki (dokumenty) przez wirusa

Zaszyfrowane pliki (dokumenty) przez wirusa
0

Mam problem, ponieważ na komputerze został wykryty wirus, który zaszyfrował wszystkie pliki z rozszerzeniami .doc, .excel, .ppt. Komputer został przeskanowany i wirus został usunięty, ale pliki pozostały zaszyfrowane. Nie można ich otworzyć, bo wyskakują różne krzaczki.
Pytanie - czy jest jakiś sposób (program), który pozwoli na odszyfrowanie tych plików?

Patryk27
Moderator
  • Rejestracja:ponad 17 lat
  • Ostatnio:ponad rok
  • Lokalizacja:Wrocław
  • Postów:13042
0

Zakładając, że wirus szyfrował czymś bardziej wyrafinowanym niż prostym Cezarem, należałoby dokonać inżynierii wstecznej pliku wirusa, aby dojść do tego, w jaki sposób i przy użyciu jakiego hasła zakodował on pliki.

Nie ma żadnego rozwiązania w stylu pobierz program xyz, on wszystko odszyfruje, jeśli o to pytasz.


Shalom
  • Rejestracja:około 21 lat
  • Ostatnio:prawie 3 lata
  • Lokalizacja:Space: the final frontier
  • Postów:26433
0

Byłoby prościej gdybyś napisał chociaż CO to był za wirus. Wbrew pozorom wiele z tych bieda-ransomware robi gówniane szyfrowanie w stylu xor ze stałym kluczem, wychodząc z założenia że wielu ludzi zapłaci dla świętego spokoju.


"Nie brookliński most, ale przemienić w jasny, nowy dzień najsmutniejszą noc - to jest dopiero coś!"
edytowany 1x, ostatnio: Shalom
NeuroXiq
  • Rejestracja:prawie 9 lat
  • Ostatnio:około 5 lat
  • Lokalizacja:Racibórz
  • Postów:101
0

Jeżeli teoretycznie jest tak jak mówi Shalom, to te wszystkie excel ppt itd. mają tam jakiś swój format więc można by było łatwo klepnąć jakiś programik który by to odszyfrował. Może wrzuć jakiś plik to tak dla beki można zobaczyć co tam jest.

Shalom
  • Rejestracja:około 21 lat
  • Ostatnio:prawie 3 lata
  • Lokalizacja:Space: the final frontier
  • Postów:26433
0

Zresztą nawet te high-endowe ransomware mają swoje wpadki ;) Petya dopiero w 3 czy 4 wersji miało poprawnie zaimplementowane szyfrowanie Salsa20 - poprzednie wersje były łamalne bo ktoś nie mógł sobie poradzić z przeczytaniem dokładnie jak to ma działać ;)


"Nie brookliński most, ale przemienić w jasny, nowy dzień najsmutniejszą noc - to jest dopiero coś!"
edytowany 1x, ostatnio: Shalom
0

@Patryk27 - no mniej więcej o to pytam :P. Ale jak się tak nie da, to jest jakiś inny sposób?
@Shalom - dowiem się i napiszę, bo nie stało sie to mi, tylko znajomemu.

Ogólnie jest jakaś szansa na odzyskanie tych plików? Bez - rzecz jasna - płacenia.

NeuroXiq
  • Rejestracja:prawie 9 lat
  • Ostatnio:około 5 lat
  • Lokalizacja:Racibórz
  • Postów:101
0

Jak będzie wiadomo DOKŁADNIE co to było, to myślę, że na necie są już jakieś gotowce

0

@NeuroXiq - też o tym myślałem, klepnąć coś takiego mogę. Pytanie bardziej jak by miał wyglądać algorytm, bo nie bardzo się znam na tych szyfrowaniach wszystkich :P

NeuroXiq
1. Nie wiadomo jak plik wygląda po zaszyfrowaniu więc nawet nie można mniej więcej stwierdzić na jakiej zasadzie to działa 2. Nie wiadomo co to za wirus więc nic na necie nie można znaleźć więc póki co to raczej nie da się podać mniej więcej algrymu, trzeba danych
0

Dobra hakiery, z tego co mi się na chwilę obecną udało dowiedzieć plik wirusa miał rozszerzenie "9998 win32.cyber". Mniej więcej (mogą sie pojawiać jeszcze jakieś nazwy między kropkami). Jutro się powinienem dokładnie dowiedzieć.

Patryk27
Moderator
  • Rejestracja:ponad 17 lat
  • Ostatnio:ponad rok
  • Lokalizacja:Wrocław
  • Postów:13042
0
Mały Krawiec napisał(a):

@Patryk27 - no mniej więcej o to pytam :P. Ale jak się tak nie da, to jest jakiś inny sposób?
Wyobraź sobie, że dajesz mi dostęp do całego Twojego komputera, a ja ręcznie każdy plik szyfruję na wymyślony przez siebie sposób. Zakładamy, że znam się na kryptografii i nie jest to nic, co byle student mógłby podejść jakąś analizą statystyczną.

I teraz jak Ci się wydaje: czy istnieje jakiś sposób na rozszyfrowanie plików poza dopytaniem/torturowaniem mnie i wyciągnięciem sposobu, w jaki je zaszyfrowałem?

No właśnie.


W przypadku wirusów masz o tyle 'szczęście', iż możesz natrafić na takiego, który został już złamany, natomiast nie jest to oczywiście nic pewnego.

edytowany 3x, ostatnio: Patryk27
Shalom
Żebyś sie nie zdziwił co ludzie potrafią zrobić :P @akrasuski1 potrafi np. zreversować w ciemno customowy język programowania w stylu brainfucka bazując tylko na kilkudziesięciu instrukcjach i tym że znał kilka pierwszych znaków które kod powinien wypisać :P A taki Reford umie zreversować w ciemno wymyśloną architekturę na podstawie binarki która została pod nią skompilowana i jeszcze napisać na to exploita ( https://twitter.com/q3k/status/711734512401702913 ) więc uważałbym z takimi stwierdzeniami że tylko tortury coś dadzą ;)
somekind
Za to tortury są łatwiejsze i przyjemniejsze.
  • Rejestracja:ponad 8 lat
  • Ostatnio:około 2 godziny
  • Postów:156
0

można spróbować Właściwości -> Poprzednie wersje na katalogu z danymi, jeśli tam nic nie ma (i nie ma kopii zapasowej) marne szanse na odzyskanie, jeśli wirus stosował szyfrowanie asymetryczne żadna inżynieria nie pomoże, a jeśli nawet szyfr symetryczny, komu by się chciało siedzieć godzinami nad odzyskaniem prezentacji w PP

czysteskarpety
czysteskarpety
  • Rejestracja:prawie 10 lat
  • Ostatnio:ponad 4 lata
  • Lokalizacja:Piwnica
  • Postów:7697
0

pewnie Cryptolocker lub jakaś jego mutacja, zrób format dysku dla pewności, potem prewencyjnie jakiś dobry pakiet ochrony i poczytaj o zasadach bezpieczeństwa, np. nie otwierać załączników w spamowych wiadomościach itp.


Zobacz pozostałe 6 komentarzy
vpiotr
Proponujesz antybiotyk bez badania pacjenta. Może pomoże. Kiedyś szalał taki wirus który łapał niezałatane Windows. Instalował się pół godziny po włączeniu czystego Windows do sieci (sam widziałem). Jeśli nie wiesz co to za wirus to nie wiesz gdzie go masz. Inny przypadek - wirus w sterowniku do urządzenia. Urządzenie było prezentem od korporacji (nie JanuszSoft tylko firma kilka tysięcy osób), producent: Samsung. O CD które po włożeniu zawirusowywały kompa (bez pomocy użytkownika) nie wspomnę, bo mam nadzieje że najnowsze Windows już tego nie robią.
vpiotr
Od siebie proponuję najpierw uruchomienie antywira, najlepiej w trybie awaryjnym lub z ISO: http://pcsupport.about.com/od/system-security/tp/free-bootable-antivirus-software.htm, potem ew. leczenie.
czysteskarpety
czysteskarpety
A kto normalny podłącza system do sieci przed zabezpieczeniem...
vpiotr
Każdy kto nie ma update'ów Windows na płytce/dysku.
grzesiek51114
grzesiek51114
@vpiotr To był bodajże Sasser :) Pamiętam hehe, ludzie nawet radzili instalować Xp'ki offline, taka była paranoja. Chyba w sp2 załatano tę dziurę.
0

Dobra, mam nazwę wirusa - Win32/Filecoder.Cerber
Niby znalazłem na necie możliwości odzyskania plików ale żadne narzędzia nie pomogły. Np. http://malwarefixes.com/ransomware-file-decryptor-tool-download-and-usage/

Komp już przeskanowany i wirusa się pozbyto, ale pliki zostały zaszyfrowane. Narzędzia nie pomogły, dlatego wydaje mi się, że nie ma jak odzyskać już tych plików.

Shalom
  • Rejestracja:około 21 lat
  • Ostatnio:prawie 3 lata
  • Lokalizacja:Space: the final frontier
  • Postów:26433
0

To jest pewnie już n-ta odsłona tego ransomware więc może dorobili się wreszcie jakiegoś sensownego szyfrowania ;)


"Nie brookliński most, ale przemienić w jasny, nowy dzień najsmutniejszą noc - to jest dopiero coś!"
grzesiek51114
grzesiek51114
@Shalom Cezara - NIKT się nie pokapuje, że to aż takie proste i wszyscy płacą! :)
several
  • Rejestracja:ponad 15 lat
  • Ostatnio:około 6 godzin
0

Miałeś skonfigurowane file history?

edit
Jeśli to jakaś pochodna CryptoLocker'a i jemu podobnych to wysoce prawdopodobne, że jeśli zapłacisz dostaniesz klucz. Pytanie na ile wyceniasz te pliki.


edytowany 1x, ostatnio: several
czysteskarpety
czysteskarpety
serio przelałbyś pieniądze lub bitcoiny na jakieś echo-konto? podziwiam :)
Shalom
@czysteskarpety wbrew pozorom ransomware to jest niezły biznes i niektórzy nawet call-center sobie wynajmują w indiach gdzie można na infolinii krok po kroku uzyskać info jak zapłacic i odzyskać pliki. Bo jak nie będziesz ludziom odszyfrowywać danych to się info rozniesie i nikt ci juz nie zapłaci po prostu, więc generalnie w ich interesie jest żeby ludzie swoje pliki odzyskali jeśli zapłacą.
several
@czysteskarpety Tak lub nie, w zależności od ceny i strat. Cryptolocker powstał by jego twórcy na nim zarobili, jeżeli pójdzie fama, że po zapłaceniu nie odzyskasz danych to ludzie nie będą płacić. EDIT @Shalom szybszy byłeś :)
czysteskarpety
czysteskarpety
@Shalom zapewne, lecz nigdy nie masz pewności czy trafisz na "uczciwego złodzieja" :D czy na jednorazowy numer z czyszczeniem kont i śladów po określonym czasie
several
@czysteskarpety nie wiem jak z bitcoinami, ale wysyłając przelew nie narażasz się na czyszczenie konta co nie? Chyba, że dasz się nabraź na jakąś akcję phishingową, ale to jest do wyłapania w trakcie samego procesu.
0

Pliki w ogóle nie miały żadnej większej wartości, gdzieś są kopie zapasowe. :)

Ogólnie to problem nie dotyczył bezpośrednio mnie, tylko znajomego :D. W każdym razie, komp miał zainstalowanego eseta, aktualizacje i jakieś anty-malwarowe skanery. Nie pomogło, trudno. Zabezpieczenie było.

Jakieś porady, jak Wy zabezpieczacie swoje komputery? Dodatkowe antywirusy czy windowsowy defender + skanowanie co jakiś czas i nie klikanie we wszystko w internetach? :P

Zapomniałem dopisać - dzięki za udział w temacie. Myślałem, że nikt nie odpowie, a tu nawet sensowna dyskusja ;)

0

zapłata nie gwarantuje niczego poza utratą zapłaconej kwoty. I o tym nie jestem pewien czy przejdzie przez sitko ale należy powiedzieć wyraźnie i mówić publicznie: to jest paliwo napędzające bez spodziewanego efektu dla ofiary i kaska znika... Może Ktoś by to bardziej zgrabnie ujął aby wpadło w ucho i zapamiętać było każdemu na dłużej:

NO DOBRA: po pierwsze NIE PŁAĆ ! ( i raczej pogódź się z utratą )

RE
Moderator
  • Rejestracja:około 18 lat
  • Ostatnio:11 miesięcy
0

Ja mam pytanie z innej beczki: wiadomo w jaki sposób doszło do infekcji?

RE
Moderator
  • Rejestracja:około 18 lat
  • Ostatnio:11 miesięcy
0

na Linuxa po prostu wirusów NIE MA

plot twist: jedne z największych znanych obecnie botnetów to urządzenia z jądrem Linuksa (Android&IOT)

edytowany 1x, ostatnio: Rev
KA
masz na myśli androidy czy co? ja mówiłam o destkopach i o prawdziwych dystrybucjach na desktopy :f
0
Rev napisał(a):

Ja mam pytanie z innej beczki: wiadomo w jaki sposób doszło do infekcji?

Otwarcie maila (jakiś spam). Po prostu, żadnych załączników itp.

several
  • Rejestracja:ponad 15 lat
  • Ostatnio:około 6 godzin
1

na Linuxa po prostu wirusów NIE MA

Są są, tylko mało kto inwestuje wysiłek w atakowanie linuxów bo nie opłaca się atakować tych kilku nerdów. Z takich głośniejszych podatności to np shellshock zrobił ciekawą karierę. Generalnie nie ma co się oszukiwać co do linuksów, atakowanie ich jest może trudniejsze (chociaż w sumie nie znam się na security na poziomie kernela), ale jakby to się opłacało to ruskie znalazłyby sposób.

(edit literówki)


edytowany 1x, ostatnio: several
Shalom
Nie żartuj sobie. Oczywiście że atakuje sie linuxy bo stoją na nich tysiące serwerów, ale to trochę inne ataki niż ransomware bo ktoś kliknął w "ładne dziewczyny w twojej okolicy". No i Android to też linux ;)
several
Masz rację, ale cytat dotyczył desktopów, więc moja odpowiedź zawęża się do tego kontekstu.
RE
Moderator
  • Rejestracja:około 18 lat
  • Ostatnio:11 miesięcy
0
Mały Krawiec napisał(a):
Rev napisał(a):

Ja mam pytanie z innej beczki: wiadomo w jaki sposób doszło do infekcji?

Otwarcie maila (jakiś spam). Po prostu, żadnych załączników itp.

Mógłbyś przeforwardować całego maila na cert@cert.pl? Dzięki.

Shalom
I zaraz będzie miał ABW w progu jako terrorysta rozsyłający malware ;)
Kliknij, aby dodać treść...

Pomoc 1.18.8

Typografia

Edytor obsługuje składnie Markdown, w której pojedynczy akcent *kursywa* oraz _kursywa_ to pochylenie. Z kolei podwójny akcent **pogrubienie** oraz __pogrubienie__ to pogrubienie. Dodanie znaczników ~~strike~~ to przekreślenie.

Możesz dodać formatowanie komendami , , oraz .

Ponieważ dekoracja podkreślenia jest przeznaczona na linki, markdown nie zawiera specjalnej składni dla podkreślenia. Dlatego by dodać podkreślenie, użyj <u>underline</u>.

Komendy formatujące reagują na skróty klawiszowe: Ctrl+B, Ctrl+I, Ctrl+U oraz Ctrl+S.

Linki

By dodać link w edytorze użyj komendy lub użyj składni [title](link). URL umieszczony w linku lub nawet URL umieszczony bezpośrednio w tekście będzie aktywny i klikalny.

Jeżeli chcesz, możesz samodzielnie dodać link: <a href="link">title</a>.

Wewnętrzne odnośniki

Możesz umieścić odnośnik do wewnętrznej podstrony, używając następującej składni: [[Delphi/Kompendium]] lub [[Delphi/Kompendium|kliknij, aby przejść do kompendium]]. Odnośniki mogą prowadzić do Forum 4programmers.net lub np. do Kompendium.

Wspomnienia użytkowników

By wspomnieć użytkownika forum, wpisz w formularzu znak @. Zobaczysz okienko samouzupełniające nazwy użytkowników. Samouzupełnienie dobierze odpowiedni format wspomnienia, zależnie od tego czy w nazwie użytkownika znajduje się spacja.

Znaczniki HTML

Dozwolone jest używanie niektórych znaczników HTML: <a>, <b>, <i>, <kbd>, <del>, <strong>, <dfn>, <pre>, <blockquote>, <hr/>, <sub>, <sup> oraz <img/>.

Skróty klawiszowe

Dodaj kombinację klawiszy komendą notacji klawiszy lub skrótem klawiszowym Alt+K.

Reprezentuj kombinacje klawiszowe używając taga <kbd>. Oddziel od siebie klawisze znakiem plus, np <kbd>Alt+Tab</kbd>.

Indeks górny oraz dolny

Przykład: wpisując H<sub>2</sub>O i m<sup>2</sup> otrzymasz: H2O i m2.

Składnia Tex

By precyzyjnie wyrazić działanie matematyczne, użyj składni Tex.

<tex>arcctg(x) = argtan(\frac{1}{x}) = arcsin(\frac{1}{\sqrt{1+x^2}})</tex>

Kod źródłowy

Krótkie fragmenty kodu

Wszelkie jednolinijkowe instrukcje języka programowania powinny być zawarte pomiędzy obróconymi apostrofami: `kod instrukcji` lub ``console.log(`string`);``.

Kod wielolinijkowy

Dodaj fragment kodu komendą . Fragmenty kodu zajmujące całą lub więcej linijek powinny być umieszczone w wielolinijkowym fragmencie kodu. Znaczniki ``` lub ~~~ umożliwiają kolorowanie różnych języków programowania. Możemy nadać nazwę języka programowania używając auto-uzupełnienia, kod został pokolorowany używając konkretnych ustawień kolorowania składni:

```javascript
document.write('Hello World');
```

Możesz zaznaczyć również już wklejony kod w edytorze, i użyć komendy  by zamienić go w kod. Użyj kombinacji Ctrl+`, by dodać fragment kodu bez oznaczników języka.

Tabelki

Dodaj przykładową tabelkę używając komendy . Przykładowa tabelka składa się z dwóch kolumn, nagłówka i jednego wiersza.

Wygeneruj tabelkę na podstawie szablonu. Oddziel komórki separatorem ; lub |, a następnie zaznacz szablonu.

nazwisko;dziedzina;odkrycie
Pitagoras;mathematics;Pythagorean Theorem
Albert Einstein;physics;General Relativity
Marie Curie, Pierre Curie;chemistry;Radium, Polonium

Użyj komendy by zamienić zaznaczony szablon na tabelkę Markdown.

Lista uporządkowana i nieuporządkowana

Możliwe jest tworzenie listy numerowanych oraz wypunktowanych. Wystarczy, że pierwszym znakiem linii będzie * lub - dla listy nieuporządkowanej oraz 1. dla listy uporządkowanej.

Użyj komendy by dodać listę uporządkowaną.

1. Lista numerowana
2. Lista numerowana

Użyj komendy by dodać listę nieuporządkowaną.

* Lista wypunktowana
* Lista wypunktowana
** Lista wypunktowana (drugi poziom)

Składnia Markdown

Edytor obsługuje składnię Markdown, która składa się ze znaków specjalnych. Dostępne komendy, jak formatowanie , dodanie tabelki lub fragmentu kodu są w pewnym sensie świadome otaczającej jej składni, i postarają się unikać uszkodzenia jej.

Dla przykładu, używając tylko dostępnych komend, nie możemy dodać formatowania pogrubienia do kodu wielolinijkowego, albo dodać listy do tabelki - mogłoby to doprowadzić do uszkodzenia składni.

W pewnych odosobnionych przypadkach brak nowej linii przed elementami markdown również mógłby uszkodzić składnie, dlatego edytor dodaje brakujące nowe linie. Dla przykładu, dodanie formatowania pochylenia zaraz po tabelce, mogłoby zostać błędne zinterpretowane, więc edytor doda oddzielającą nową linię pomiędzy tabelką, a pochyleniem.

Skróty klawiszowe

Skróty formatujące, kiedy w edytorze znajduje się pojedynczy kursor, wstawiają sformatowany tekst przykładowy. Jeśli w edytorze znajduje się zaznaczenie (słowo, linijka, paragraf), wtedy zaznaczenie zostaje sformatowane.

  • Ctrl+B - dodaj pogrubienie lub pogrub zaznaczenie
  • Ctrl+I - dodaj pochylenie lub pochyl zaznaczenie
  • Ctrl+U - dodaj podkreślenie lub podkreśl zaznaczenie
  • Ctrl+S - dodaj przekreślenie lub przekreśl zaznaczenie

Notacja Klawiszy

  • Alt+K - dodaj notację klawiszy

Fragment kodu bez oznacznika

  • Alt+C - dodaj pusty fragment kodu

Skróty operujące na kodzie i linijkach:

  • Alt+L - zaznaczenie całej linii
  • Alt+, Alt+ - przeniesienie linijki w której znajduje się kursor w górę/dół.
  • Tab/⌘+] - dodaj wcięcie (wcięcie w prawo)
  • Shit+Tab/⌘+[ - usunięcie wcięcia (wycięcie w lewo)

Dodawanie postów:

  • Ctrl+Enter - dodaj post
  • ⌘+Enter - dodaj post (MacOS)