Κινήσεις μετά από προσβολή με ransomware

[hammered]

Σήμερα γνωστός μου είχε την ατυχία να προσβληθεί με νέο (μάλλον) ransomware που κρυπτογράφησε όλα τα αρχεία σε όλους τους δίσκους. (ας μην εξετάσουμε το πως μολύνθηκε....).

Το όνομα αυτού του ιού είναι "admin@stex777.com" και τα κρυπτογραφημένα αρχεία αποκτούν την κατάληξη ".money".
Από όσο έψαξα στο internet δεν υπάρχει ακόμα data recovery/decryption tool.


Προς το παρόν τον βόλεψα με LiveUSB xubuntu.
Το ερώτημα μου είναι το εξής:
Αν κάνει format τον C δίσκο με επανεγκατάσταση των Windows, το πιθανότερο είναι ότι θα σβηστεί ο ιός αλλά ταυτόχρονα θα χάσει τα κρυπτογραφημένα αρχεία που υπάρχουν στον C. Αν στο μέλλον βγει recovery tool θα μπορέσει να επαναφέρει τα λοιπά αρχεία που υπάρχουν στους άλλους δίσκους; Ή μήπως το tool θα χρειαστεί αρχεία του ιού που υπάρχουν στον C και θα σβηστούν με το format;
Ξέρει κανείς τι συμβαίνει με τα υπάρχοντα tools για τα υπόλοιπα ransomware; Λειτουργούν μόνα τους μόνο με τα κρυπτογραφημένα αρχεία ή θέλουν και αρχεία από τον ιό; (πχ config files, encryption key κλπ)

[mzaf]

Εξ όσων γνωρίζω,τα αρχεία αποκρυπτογραφούνται κανονικά με τα tools αν τα αποθηκεύσεις.

[griniaris]

Αν ειναι αρχεια που δεν ειναι συνδεδεμενα με τον κυριο δισκο τοτε δεν εχεις θεμα. Αν καποια στιγμη βρεθει λυση( μετα απο χρονια) λογικα θα ανοιξουν.

Το θεμα ειναι οτι θα πρεπει να τους εχει αποσυνδεσει τελειως αυτους τους δισκους αν ειναι να προχωρησει σε clean-install.
Υπαρχουν περιπτωσεις με timer-bomb που ετεροχρονισμενα ξανακλειδωσανε τα αρχεια.

Οποτε φτανουμε στο ερωτημα μου.... για ποιο λογο να εχει τοσα χρονια δισκους αχρησιμοποιητους? τα αρχεια μετα απο 2-3 χρονια η παραπανω θα του ειναι το ιδιο χρησιμα?
Και αν για καποιο λογο καταλαθος συνδεσει καποιον...και του ξανακλειδωσουν κιαλλα αρχεια? Η αν μεπι καποιο logger? η κατι αλλο? Γιατι να το ρισκαρει?


Για μενα.... εφοσον εγινε η ζημια... διαγραφη τα παντα και ξεκινημα απο την αρχη.

Off Topic

Αληθεια με ποιο τροπο εγινε η ζημια? Απλα για να προσεχουμε και εμεις.

[sweet dreams]

Σήμερα γνωστός μου είχε την ατυχία να προσβληθεί με νέο (μάλλον) ransomware που κρυπτογράφησε όλα τα αρχεία σε όλους τους δίσκους. (ας μην εξετάσουμε το πως μολύνθηκε....).

Το όνομα αυτού του ιού είναι "admin@stex777.com" και τα κρυπτογραφημένα αρχεία αποκτούν την κατάληξη ".money".
Από όσο έψαξα στο internet δεν υπάρχει ακόμα data recovery/decryption tool.


Προς το παρόν τον βόλεψα με LiveUSB xubuntu.
Το ερώτημα μου είναι το εξής:
Αν κάνει format τον C δίσκο με επανεγκατάσταση των Windows, το πιθανότερο είναι ότι θα σβηστεί ο ιός αλλά ταυτόχρονα θα χάσει τα κρυπτογραφημένα αρχεία που υπάρχουν στον C. Αν στο μέλλον βγει recovery tool θα μπορέσει να επαναφέρει τα λοιπά αρχεία που υπάρχουν στους άλλους δίσκους; Ή μήπως το tool θα χρειαστεί αρχεία του ιού που υπάρχουν στον C και θα σβηστούν με το format;
Ξέρει κανείς τι συμβαίνει με τα υπάρχοντα tools για τα υπόλοιπα ransomware; Λειτουργούν μόνα τους μόνο με τα κρυπτογραφημένα αρχεία ή θέλουν και αρχεία από τον ιό; (πχ config files, encryption key κλπ)

Ρίξε μια ματιά στο Site και ρώτησε τους για ότι απορία έχεις.
Free Ransomware Decryptors

[xaris2335]

Σήμερα γνωστός μου είχε την ατυχία να προσβληθεί με νέο (μάλλον) ransomware που κρυπτογράφησε όλα τα αρχεία σε όλους τους δίσκους. (ας μην εξετάσουμε το πως μολύνθηκε....).

Το όνομα αυτού του ιού είναι "admin@stex777.com" και τα κρυπτογραφημένα αρχεία αποκτούν την κατάληξη ".money".
Από όσο έψαξα στο internet δεν υπάρχει ακόμα data recovery/decryption tool.


Προς το παρόν τον βόλεψα με LiveUSB xubuntu.
Το ερώτημα μου είναι το εξής:
Αν κάνει format τον C δίσκο με επανεγκατάσταση των Windows, το πιθανότερο είναι ότι θα σβηστεί ο ιός αλλά ταυτόχρονα θα χάσει τα κρυπτογραφημένα αρχεία που υπάρχουν στον C. Αν στο μέλλον βγει recovery tool θα μπορέσει να επαναφέρει τα λοιπά αρχεία που υπάρχουν στους άλλους δίσκους; Ή μήπως το tool θα χρειαστεί αρχεία του ιού που υπάρχουν στον C και θα σβηστούν με το format;
Ξέρει κανείς τι συμβαίνει με τα υπάρχοντα tools για τα υπόλοιπα ransomware; Λειτουργούν μόνα τους μόνο με τα κρυπτογραφημένα αρχεία ή θέλουν και αρχεία από τον ιό; (πχ config files, encryption key κλπ)

αν δεν θες να κάνεις φορμάτ τρέχεις το msconfig σε κατάσταση clean boot και απο εκεί μετά τρέχεις το windows repair all in one είναι και γ@μώ τα εργαλεία θα σου σβήσει ότι σαβούρα έχει μέσα το πισί.
Απλά όταν θα δουλεύει μην πειράξεις τίποτα στο πισί.

Και αν έχεις την καλοσύνη πόσταρε τι σου απάντησε η kaspersky σχετικά με το ransomware

[griniaris]

αν δεν θες να κάνεις φορμάτ τρέχεις το msconfig σε κατάσταση clean boot και απο εκεί μετά τρέχεις το windows repair all in one είναι και γ@μώ τα εργαλεία θα σου σβήσει ότι σαβούρα έχει μέσα το πισί.
Απλά όταν θα δουλεύει μην πειράξεις τίποτα στο πισί.

Σε τι ακριβως θα βοηθησουν αυτα που εγραψες?

[xaris2335]

Σε τι ακριβως θα βοηθησουν αυτα που εγραψες?

απλά δεν θα χρειαστεί να κάνει φορμάτ που ενδεχομένως να χάσει το decryption key.

Ρίξε και μια ματιά εδώ μήπως υπάρχει κάτι.

μπορείς βέβαια να μολύνεις σκόπιμα κάποιο pc και να το παρακολουθείς μέσω wireshark έτσι έχεις περισσότερες πιθανότητες να βρεις το decrytpion key και να το στείλεις στο σάιτ που σου έδωσα αυτό σίγουρα θα βοηθήσει.

- - - Updated - - -

επίσης κάποιες χρήσιμες πληροφορίες σχετικά με τα ransomware

[sweet dreams]

μπορείς βέβαια να μολύνεις σκόπιμα κάποιο pc.......................

Έχεις κανένα ransomware πρόχειρο;; αν ναι, στείλε μου PM, θέλω να κάνω δοκιμές.

[xaris2335]

Έχεις κανένα ransomware πρόχειρο;; αν ναι, στείλε μου PM, θέλω να κάνω δοκιμές.

δυστυχώς δεν έχω αν βρω όμως θα σε έχω στα υπόψιν.
Ίσως να έχει ο TS και να μην τον έσβησε.

- - - Updated - - -

επίσης κάτι που σκέφτηκα τώρα είναι να του πει να σταματήσει να χρησιμοποιεί το πισι και να μπουτάρει μέσα απο usb flash drive και να τρέξει το recuva έτσι θα έχει μεγάλη πιθανότητα να ανακτήσει τα αυθεντικά αρχεία τα οποία φυσικά έχουν διαγραφεί.

[griniaris]

- - - Updated - - -

δυστυχώς δεν έχω αν βρω όμως θα σε έχω στα υπόψιν.
Ίσως να έχει ο TS και να μην τον έσβησε.

- - - Updated - - -

επίσης κάτι που σκέφτηκα τώρα είναι να του πει να σταματήσει να χρησιμοποιεί το πισι και να μπουτάρει μέσα απο usb flash drive και να τρέξει το recuva έτσι θα έχει μεγάλη πιθανότητα να ανακτήσει τα αυθεντικά αρχεία τα οποία φυσικά έχουν διαγραφεί.

Ενα προγραμμα ιος κρυπτογραφησης δεν κυκλοφορει ετσι απλα . Αν εβρισκε ο καθενας τον source code θα υπηρχε μεγαλο προβλημα.

Εκτος οτι θελει licence το προγραμμα..... πως θα τον βοηθησει να βρει παλια και αχρηστα αρχεια (γιαυτο και τα διεγραψε) ???

[sweet dreams]

δυστυχώς δεν έχω αν βρω όμως θα σε έχω στα υπόψιν.
Ίσως να έχει ο TS και να μην τον έσβησε.

- - - Updated - - -

επίσης κάτι που σκέφτηκα τώρα είναι να του πει να σταματήσει να χρησιμοποιεί το πισι και να μπουτάρει μέσα απο usb flash drive και να τρέξει το recuva έτσι θα έχει μεγάλη πιθανότητα να ανακτήσει τα αυθεντικά αρχεία τα οποία φυσικά έχουν διαγραφεί.

Για τον ιό, σου απάντησε ο @griniaris.

Για τα αρχεία, τα αρχεία δεν τα σβήνει ο ιός, τα κρυπτογραφεί.

[xaris2335]

Για τον ιό, σου απάντησε ο @griniaris.

Για τα αρχεία, τα αρχεία δεν τα σβήνει ο ιός, τα κρυπτογραφεί.

[hammered]

1. Ο γνωστός ήδη προχώρησε σε format του κύριου δίσκου.
2. Σκοπός είναι να τρέξει το recuva στους λοιπούς δίσκους. Αλλά περιμένει να αγοράσει νέο δίσκο για τις μεταγγίσεις. Ο ιός κρυπτογραφεί τα αρχεία μεν, αλλά αυτό το κάνει σε αντίγραφο του αρχείου και μετά διαγράφει το original μη κρυπτογραφημένο. Οπότε προγράμματα σαν το recuva έχουν αρκετές πιθανότητες να δουλέψουν. Αλλά δεν πρέπει να επαναφέρεις τα αρχεία στον ίδιο δίσκο γιατί υπάρχει κίνδυνος να γράψεις πάνω σε άλλο διαγραμμένο αρχείο το οποίο μετά να μην μπορείς να το ανακτήσεις.

[sdikr]

1. Ο γνωστός ήδη προχώρησε σε format του κύριου δίσκου.
2. Σκοπός είναι να τρέξει το recuva στους λοιπούς δίσκους. Αλλά περιμένει να αγοράσει νέο δίσκο για τις μεταγγίσεις. Ο ιός κρυπτογραφεί τα αρχεία μεν, αλλά αυτό το κάνει σε αντίγραφο του αρχείου και μετά διαγράφει το original μη κρυπτογραφημένο. Οπότε προγράμματα σαν το recuva έχουν αρκετές πιθανότητες να δουλέψουν. Αλλά δεν πρέπει να επαναφέρεις τα αρχεία στον ίδιο δίσκο γιατί υπάρχει κίνδυνος να γράψεις πάνω σε άλλο διαγραμμένο αρχείο το οποίο μετά να μην μπορείς να το ανακτήσεις.

Αυτό το γράψιμο το έχει κάνει ο virus, εκάνε αντιγραφή το 1ο αρχείο που βρήκε, κρυπτογράφηση, διαγραφή το πρώτο και μετά ξεκίνησε να κάνει το ίδιο σε όλα τα 68 χιλιάδες που βρήκε στον δίσκο, το 1ο μάλλον πάει όπως και αρκετά άλλα μέχρι τα 68 χιλιάδες

Πιο σίγουρο είναι να πιάσει το λότο παρά να βρει αρχεία

[sweet dreams]

1. Ο γνωστός ήδη προχώρησε σε format του κύριου δίσκου.
2. Σκοπός είναι να τρέξει το recuva στους λοιπούς δίσκους. Αλλά περιμένει να αγοράσει νέο δίσκο για τις μεταγγίσεις. Ο ιός κρυπτογραφεί τα αρχεία μεν, αλλά αυτό το κάνει σε αντίγραφο του αρχείου και μετά διαγράφει το original μη κρυπτογραφημένο. Οπότε προγράμματα σαν το recuva έχουν αρκετές πιθανότητες να δουλέψουν. Αλλά δεν πρέπει να επαναφέρεις τα αρχεία στον ίδιο δίσκο γιατί υπάρχει κίνδυνος να γράψεις πάνω σε άλλο διαγραμμένο αρχείο το οποίο μετά να μην μπορείς να το ανακτήσεις.

Aν ήταν τόσο απλό δεν θα χρειαζόταν οι εταιρίες να ασχολούνται να φτιάξουν μηχανισμούς αποκρυπτογράφησης και να γίνεται τόσος ντόρος με αυτούς τους ιούς, θα έκανες πολύ απλά μια ανάκτηση και θα ήταν όλα μια χαρά, λες να είναι τόσο ηλίθιοι αυτοί που είναι πίσω από όλο αυτό το σύστημα;;;
Εδώ έχουμε διαβάσει ότι έχουν δώσει λεφτά νοσοκομεία, εταιρίες, κ.λ.π. που πέσανε θύματα, αυτοί δεν μπορούσαν να κάνουν ανάκτηση;;