Σήμερα γνωστός μου είχε την ατυχία να προσβληθεί με νέο (μάλλον) ransomware που κρυπτογράφησε όλα τα αρχεία σε όλους τους δίσκους. (ας μην εξετάσουμε το πως μολύνθηκε....).
Το όνομα αυτού του ιού είναι "admin@stex777.com" και τα κρυπτογραφημένα αρχεία αποκτούν την κατάληξη ".money".
Από όσο έψαξα στο internet δεν υπάρχει ακόμα data recovery/decryption tool.
Προς το παρόν τον βόλεψα με LiveUSB xubuntu.
Το ερώτημα μου είναι το εξής:
Αν κάνει format τον C δίσκο με επανεγκατάσταση των Windows, το πιθανότερο είναι ότι θα σβηστεί ο ιός αλλά ταυτόχρονα θα χάσει τα κρυπτογραφημένα αρχεία που υπάρχουν στον C. Αν στο μέλλον βγει recovery tool θα μπορέσει να επαναφέρει τα λοιπά αρχεία που υπάρχουν στους άλλους δίσκους; Ή μήπως το tool θα χρειαστεί αρχεία του ιού που υπάρχουν στον C και θα σβηστούν με το format;
Ξέρει κανείς τι συμβαίνει με τα υπάρχοντα tools για τα υπόλοιπα ransomware; Λειτουργούν μόνα τους μόνο με τα κρυπτογραφημένα αρχεία ή θέλουν και αρχεία από τον ιό; (πχ config files, encryption key κλπ)
Εμφάνιση 1-15 από 30
-
02-10-19, 23:30 Κινήσεις μετά από προσβολή με ransomware #1Κάνω προσπάθεια να βάζω ; αντι για ?
-
03-10-19, 12:44 Απάντηση: Κινήσεις μετά από προσβολή με ransomware #2
Εξ όσων γνωρίζω,τα αρχεία αποκρυπτογραφούνται κανονικά με τα tools αν τα αποθηκεύσεις.
-
03-10-19, 14:31 Απάντηση: Κινήσεις μετά από προσβολή με ransomware #3
Αν ειναι αρχεια που δεν ειναι συνδεδεμενα με τον κυριο δισκο τοτε δεν εχεις θεμα. Αν καποια στιγμη βρεθει λυση( μετα απο χρονια) λογικα θα ανοιξουν.
Το θεμα ειναι οτι θα πρεπει να τους εχει αποσυνδεσει τελειως αυτους τους δισκους αν ειναι να προχωρησει σε clean-install.
Υπαρχουν περιπτωσεις με timer-bomb που ετεροχρονισμενα ξανακλειδωσανε τα αρχεια.
Οποτε φτανουμε στο ερωτημα μου.... για ποιο λογο να εχει τοσα χρονια δισκους αχρησιμοποιητους? τα αρχεια μετα απο 2-3 χρονια η παραπανω θα του ειναι το ιδιο χρησιμα?
Και αν για καποιο λογο καταλαθος συνδεσει καποιον...και του ξανακλειδωσουν κιαλλα αρχεια? Η αν μεπι καποιο logger? η κατι αλλο? Γιατι να το ρισκαρει?
Για μενα.... εφοσον εγινε η ζημια... διαγραφη τα παντα και ξεκινημα απο την αρχη.
The gr81 .
-
03-10-19, 14:47 Απάντηση: Κινήσεις μετά από προσβολή με ransomware #4
Ρίξε μια ματιά στο Site και ρώτησε τους για ότι απορία έχεις.
Free Ransomware DecryptorsImagination is more important than knowledge.
Knowledge is limited
IMAGINATION ENCIRCLES THE WORLD
Albert Einstein
-
07-10-19, 11:45 Απάντηση: Κινήσεις μετά από προσβολή με ransomware #5
αν δεν θες να κάνεις φορμάτ τρέχεις το msconfig σε κατάσταση clean boot και απο εκεί μετά τρέχεις το windows repair all in one είναι και γ@μώ τα εργαλεία θα σου σβήσει ότι σαβούρα έχει μέσα το πισί.
Απλά όταν θα δουλεύει μην πειράξεις τίποτα στο πισί.
Και αν έχεις την καλοσύνη πόσταρε τι σου απάντησε η kaspersky σχετικά με το ransomwareἀναφαίρετον ὅπλον ἡ ἀρετή
-
07-10-19, 11:57 Απάντηση: Κινήσεις μετά από προσβολή με ransomware #6
-
07-10-19, 13:56 Απάντηση: Κινήσεις μετά από προσβολή με ransomware #7
απλά δεν θα χρειαστεί να κάνει φορμάτ που ενδεχομένως να χάσει το decryption key.
Ρίξε και μια ματιά εδώ μήπως υπάρχει κάτι.
μπορείς βέβαια να μολύνεις σκόπιμα κάποιο pc και να το παρακολουθείς μέσω wireshark έτσι έχεις περισσότερες πιθανότητες να βρεις το decrytpion key και να το στείλεις στο σάιτ που σου έδωσα αυτό σίγουρα θα βοηθήσει.
- - - Updated - - -
επίσης κάποιες χρήσιμες πληροφορίες σχετικά με τα ransomwareἀναφαίρετον ὅπλον ἡ ἀρετή
-
07-10-19, 17:17 Απάντηση: Κινήσεις μετά από προσβολή με ransomware #8
-
07-10-19, 22:24 Απάντηση: Κινήσεις μετά από προσβολή με ransomware #9
δυστυχώς δεν έχω αν βρω όμως θα σε έχω στα υπόψιν.
Ίσως να έχει ο TS και να μην τον έσβησε.
- - - Updated - - -
επίσης κάτι που σκέφτηκα τώρα είναι να του πει να σταματήσει να χρησιμοποιεί το πισι και να μπουτάρει μέσα απο usb flash drive και να τρέξει το recuva έτσι θα έχει μεγάλη πιθανότητα να ανακτήσει τα αυθεντικά αρχεία τα οποία φυσικά έχουν διαγραφεί.ἀναφαίρετον ὅπλον ἡ ἀρετή
-
07-10-19, 22:31 Απάντηση: Κινήσεις μετά από προσβολή με ransomware #10The gr81 .
-
07-10-19, 22:57 Απάντηση: Κινήσεις μετά από προσβολή με ransomware #11
-
07-10-19, 23:13 Απάντηση: Κινήσεις μετά από προσβολή με ransomware #12
-
09-10-19, 21:38 Απάντηση: Κινήσεις μετά από προσβολή με ransomware #13
1. Ο γνωστός ήδη προχώρησε σε format του κύριου δίσκου.
2. Σκοπός είναι να τρέξει το recuva στους λοιπούς δίσκους. Αλλά περιμένει να αγοράσει νέο δίσκο για τις μεταγγίσεις. Ο ιός κρυπτογραφεί τα αρχεία μεν, αλλά αυτό το κάνει σε αντίγραφο του αρχείου και μετά διαγράφει το original μη κρυπτογραφημένο. Οπότε προγράμματα σαν το recuva έχουν αρκετές πιθανότητες να δουλέψουν. Αλλά δεν πρέπει να επαναφέρεις τα αρχεία στον ίδιο δίσκο γιατί υπάρχει κίνδυνος να γράψεις πάνω σε άλλο διαγραμμένο αρχείο το οποίο μετά να μην μπορείς να το ανακτήσεις.Κάνω προσπάθεια να βάζω ; αντι για ?
-
09-10-19, 21:46 Απάντηση: Κινήσεις μετά από προσβολή με ransomware #14
Αυτό το γράψιμο το έχει κάνει ο virus, εκάνε αντιγραφή το 1ο αρχείο που βρήκε, κρυπτογράφηση, διαγραφή το πρώτο και μετά ξεκίνησε να κάνει το ίδιο σε όλα τα 68 χιλιάδες που βρήκε στον δίσκο, το 1ο μάλλον πάει όπως και αρκετά άλλα μέχρι τα 68 χιλιάδες
Πιο σίγουρο είναι να πιάσει το λότο παρά να βρει αρχεία
-
10-10-19, 09:22 Απάντηση: Κινήσεις μετά από προσβολή με ransomware #15
Aν ήταν τόσο απλό δεν θα χρειαζόταν οι εταιρίες να ασχολούνται να φτιάξουν μηχανισμούς αποκρυπτογράφησης και να γίνεται τόσος ντόρος με αυτούς τους ιούς, θα έκανες πολύ απλά μια ανάκτηση και θα ήταν όλα μια χαρά, λες να είναι τόσο ηλίθιοι αυτοί που είναι πίσω από όλο αυτό το σύστημα;;;
Εδώ έχουμε διαβάσει ότι έχουν δώσει λεφτά νοσοκομεία, εταιρίες, κ.λ.π. που πέσανε θύματα, αυτοί δεν μπορούσαν να κάνουν ανάκτηση;;Imagination is more important than knowledge.
Knowledge is limited
IMAGINATION ENCIRCLES THE WORLD
Albert Einstein
Bookmarks