Mam problem, ponieważ na komputerze został wykryty wirus, który zaszyfrował wszystkie pliki z rozszerzeniami .doc, .excel, .ppt. Komputer został przeskanowany i wirus został usunięty, ale pliki pozostały zaszyfrowane. Nie można ich otworzyć, bo wyskakują różne krzaczki.
Pytanie - czy jest jakiś sposób (program), który pozwoli na odszyfrowanie tych plików?
Zakładając, że wirus szyfrował czymś bardziej wyrafinowanym niż prostym Cezarem, należałoby dokonać inżynierii wstecznej pliku wirusa, aby dojść do tego, w jaki sposób i przy użyciu jakiego hasła zakodował on pliki.
Nie ma żadnego rozwiązania w stylu pobierz program xyz, on wszystko odszyfruje
, jeśli o to pytasz.

- Rejestracja:około 21 lat
- Ostatnio:prawie 3 lata
- Lokalizacja:Space: the final frontier
- Postów:26433
Byłoby prościej gdybyś napisał chociaż CO to był za wirus. Wbrew pozorom wiele z tych bieda-ransomware robi gówniane szyfrowanie w stylu xor ze stałym kluczem, wychodząc z założenia że wielu ludzi zapłaci dla świętego spokoju.

- Rejestracja:prawie 9 lat
- Ostatnio:około 5 lat
- Lokalizacja:Racibórz
- Postów:101
Jeżeli teoretycznie jest tak jak mówi Shalom, to te wszystkie excel ppt itd. mają tam jakiś swój format więc można by było łatwo klepnąć jakiś programik który by to odszyfrował. Może wrzuć jakiś plik to tak dla beki można zobaczyć co tam jest.

- Rejestracja:około 21 lat
- Ostatnio:prawie 3 lata
- Lokalizacja:Space: the final frontier
- Postów:26433
Zresztą nawet te high-endowe ransomware mają swoje wpadki ;) Petya dopiero w 3 czy 4 wersji miało poprawnie zaimplementowane szyfrowanie Salsa20 - poprzednie wersje były łamalne bo ktoś nie mógł sobie poradzić z przeczytaniem dokładnie jak to ma działać ;)
@Patryk27 - no mniej więcej o to pytam :P. Ale jak się tak nie da, to jest jakiś inny sposób?
@Shalom - dowiem się i napiszę, bo nie stało sie to mi, tylko znajomemu.
Ogólnie jest jakaś szansa na odzyskanie tych plików? Bez - rzecz jasna - płacenia.
@NeuroXiq - też o tym myślałem, klepnąć coś takiego mogę. Pytanie bardziej jak by miał wyglądać algorytm, bo nie bardzo się znam na tych szyfrowaniach wszystkich :P

Mały Krawiec napisał(a):
@Patryk27 - no mniej więcej o to pytam :P. Ale jak się tak nie da, to jest jakiś inny sposób?
Wyobraź sobie, że dajesz mi dostęp do całego Twojego komputera, a ja ręcznie każdy plik szyfruję na wymyślony przez siebie sposób. Zakładamy, że znam się na kryptografii i nie jest to nic, co byle student mógłby podejść jakąś analizą statystyczną.
I teraz jak Ci się wydaje: czy istnieje jakiś sposób na rozszyfrowanie plików poza dopytaniem/torturowaniem mnie i wyciągnięciem sposobu, w jaki je zaszyfrowałem?
No właśnie.
W przypadku wirusów masz o tyle 'szczęście', iż możesz natrafić na takiego, który został już złamany, natomiast nie jest to oczywiście nic pewnego.


- Rejestracja:ponad 8 lat
- Ostatnio:około 3 godziny
- Postów:156
można spróbować Właściwości -> Poprzednie wersje na katalogu z danymi, jeśli tam nic nie ma (i nie ma kopii zapasowej) marne szanse na odzyskanie, jeśli wirus stosował szyfrowanie asymetryczne żadna inżynieria nie pomoże, a jeśli nawet szyfr symetryczny, komu by się chciało siedzieć godzinami nad odzyskaniem prezentacji w PP

- Rejestracja:prawie 10 lat
- Ostatnio:ponad 4 lata
- Lokalizacja:Piwnica
- Postów:7697
pewnie Cryptolocker lub jakaś jego mutacja, zrób format dysku dla pewności, potem prewencyjnie jakiś dobry pakiet ochrony i poczytaj o zasadach bezpieczeństwa, np. nie otwierać załączników w spamowych wiadomościach itp.


Dobra, mam nazwę wirusa - Win32/Filecoder.Cerber
Niby znalazłem na necie możliwości odzyskania plików ale żadne narzędzia nie pomogły. Np. http://malwarefixes.com/ransomware-file-decryptor-tool-download-and-usage/
Komp już przeskanowany i wirusa się pozbyto, ale pliki zostały zaszyfrowane. Narzędzia nie pomogły, dlatego wydaje mi się, że nie ma jak odzyskać już tych plików.

- Rejestracja:około 21 lat
- Ostatnio:prawie 3 lata
- Lokalizacja:Space: the final frontier
- Postów:26433

- Rejestracja:ponad 15 lat
- Ostatnio:16 minut
Miałeś skonfigurowane file history?
edit
Jeśli to jakaś pochodna CryptoLocker'a i jemu podobnych to wysoce prawdopodobne, że jeśli zapłacisz dostaniesz klucz. Pytanie na ile wyceniasz te pliki.



Pliki w ogóle nie miały żadnej większej wartości, gdzieś są kopie zapasowe. :)
Ogólnie to problem nie dotyczył bezpośrednio mnie, tylko znajomego :D. W każdym razie, komp miał zainstalowanego eseta, aktualizacje i jakieś anty-malwarowe skanery. Nie pomogło, trudno. Zabezpieczenie było.
Jakieś porady, jak Wy zabezpieczacie swoje komputery? Dodatkowe antywirusy czy windowsowy defender + skanowanie co jakiś czas i nie klikanie we wszystko w internetach? :P
Zapomniałem dopisać - dzięki za udział w temacie. Myślałem, że nikt nie odpowie, a tu nawet sensowna dyskusja ;)
zapłata nie gwarantuje niczego poza utratą zapłaconej kwoty. I o tym nie jestem pewien czy przejdzie przez sitko ale należy powiedzieć wyraźnie i mówić publicznie: to jest paliwo napędzające bez spodziewanego efektu dla ofiary i kaska znika... Może Ktoś by to bardziej zgrabnie ujął aby wpadło w ucho i zapamiętać było każdemu na dłużej:
NO DOBRA: po pierwsze NIE PŁAĆ ! ( i raczej pogódź się z utratą )
- Rejestracja:około 18 lat
- Ostatnio:11 miesięcy
na Linuxa po prostu wirusów NIE MA
plot twist: jedne z największych znanych obecnie botnetów to urządzenia z jądrem Linuksa (Android&IOT)
Rev napisał(a):
Ja mam pytanie z innej beczki: wiadomo w jaki sposób doszło do infekcji?
Otwarcie maila (jakiś spam). Po prostu, żadnych załączników itp.

- Rejestracja:ponad 15 lat
- Ostatnio:16 minut
na Linuxa po prostu wirusów NIE MA
Są są, tylko mało kto inwestuje wysiłek w atakowanie linuxów bo nie opłaca się atakować tych kilku nerdów. Z takich głośniejszych podatności to np shellshock zrobił ciekawą karierę. Generalnie nie ma co się oszukiwać co do linuksów, atakowanie ich jest może trudniejsze (chociaż w sumie nie znam się na security na poziomie kernela), ale jakby to się opłacało to ruskie znalazłyby sposób.
(edit literówki)

- Rejestracja:około 18 lat
- Ostatnio:11 miesięcy
Mały Krawiec napisał(a):
Rev napisał(a):
Ja mam pytanie z innej beczki: wiadomo w jaki sposób doszło do infekcji?
Otwarcie maila (jakiś spam). Po prostu, żadnych załączników itp.
Mógłbyś przeforwardować całego maila na cert@cert.pl? Dzięki.