RansomWare | וירוס CryptoLocker הצפין לי קבצים

[sonic]

שלום,

 

בימים האחרונים מתפשט וירוס קטלני המצפין את רוב הקבצי  data של המשתמש במחשב.

קבצים כגון: וורד, אקסל, אקסס, תמונות, pdf ועוד…

גם הקבצים בשרת יפגעו אם יש למחשב הנגוע גישה אליהם.

הוירוס מקפיץ חלון עם טיימר המאיץ במשתמש לשלם סכום של כ- 300 יורו
לפני שתסתיים הספירה לאחור.

שכן לאחר מכן קוד הפיענוח של ההצפה של הקבצים ימחק מה שיהפוך את
הפיענוח ההצפנה קרוב לבלתי אפשרי.

על
מנת לפתוח את ההצפנה של הקבצים צריך את ה- private key. הבעיה שבשונה מהוירוסים
הקודמים, שה- private key הוחבא בתוך הרג'סטרי במחשב עצמו שנפרץ, הוירוס הזה השאיר את private key בשרת של ההאקרים.

רק
בווינדוס ויסטה, ווינדוס 7 או ווינדוס 8 יש אפשרות לבצע שחזור לקבצים מתוך
"שחזור גירסאות קודמות" (רק אם ה- shadow copy היה מופעל) ורק אם הקבצים נמצאים מקומית על המחשב ולא על השרת.

באמצעות
הכלי הבא אפשר לראות את כל רשימת הקבצים שנפגמו והוצפנו (את הכלי צריך להפעיל
מהמחשב שנדבק)

http://www.takala.co.il/forum/uploads/176/ListCrilock.zip

ניתן להסיר את הוירוס דרך תוכנות malwarebytes

[TUBE]DMEZ4FJ7QnM[/TUBE]

הוירוס התגלה אצל כמה לקוחות שלי והצלחתי להסיר את הוירוס מהמחשב אבל כל הקבצי משתמש במחשב לא נפתחים בגלל ההצפנה. שחזרתי את הקבצים במחשבים שהיו בהם גיבויים והכל תקין אבל המחשבים ללא גיבוי אני עדיין מחפש פתרון לפענוח ההצפנה.

אשמח אם תשתפו ידע נוסף בפוסט זה.

תודה

Your personal files are encrypted

takala2013-10-22 18:32:41

[יניב]

נסה את זה:

http://www.youtube.com/watch?v=-ZXv9_h08iE

 

[sonic]

כפי שאמרתי, אין בעיה להסיר את הוירוס אך יש בעיה לתקן את הקבצים

מישהו יכול לעזור?

[itsho]

1. חברת Panda כתבה תוכנה שמשחזרת את הקבצים, אך בדיוק כמו שכתבת בעצמך – בלי המפתח הפרטי לא תוכל לפענח את הקבצים.

2. אחת העצות שראיתי קשורות לשינוי התאריך במחשב – יתכן שזה יתכן לך ארכה נוספת. 

3. אנשים אחרים טוענים שהם שילמו את הכופר (300$ במקרה שלהם), והם אכן קיבלו את המפתח והקבצים שוחזרו. ראה כאן וכאן)

אני לא אומר שזה הפתרון האולטימטיבי, אבל זה מה שיש כרגע 

הערה חשובה: 

אל תעביר את הקבצים לתיקיות אחרות כי זה עלול לפגוע בשחזור המידע !

takala2013-10-11 13:56:36

[itsho]

אמנם זו לא חכמה גדולה לומר לאחר מעשה, אך הורדתי עותק של הרוגלה, וAVIRA זיהתה את הרוגלה עוד בטרם היא הורצה

כנ"ל לגבי MBAM.

בקיצור – ההמלצות (לשאר הקוראים) הם:

1. להחזיק תמיד אנטי וירוס טוב כדוגמת AVIRA

2. להריץ סריקה יזומה בעזרת אנטי רוגלות כדוגמת MBAM החינמית – מדי שבוע/שבועיים (או לקנות את הגירסה הלא-חינמית ולקבל הגנה בזמן אמת)

3. לא ללחוץ על לינקים במיילים שהגיעו משולחים לא מוכרים !!! אפילו לא "בשביל לבדוק מה זה". רוגלה מתוחכמת יכולה להתקין את עצמה ברגע הלחיצה על הלינקץ גם מבלי לבקש אישור התקנה.

takala2013-10-11 13:56:53

[sonic]

itsho, תודה על התשובה. הוירוס הזה התפשט לאלפי מחשבים כבר ועדיין ממשיך להתפשט ולכן אני מאמין שחברות האנטי וירוס לא יכולות להתעלם מזה. לדעתך יש סיכוי שחברות האנטי וירוס ימצאו דרך לפתוח את ההצפנת הקבצים?

לדעתך לכל מחשב שנפרץ יש private key שונה או וכולם יש אותו private key?

[itsho]

קשה לי להאמין שימצאו דרך לעקוף כי לא מדובר על הצפנה שהם המציאו אלא בהצפנה אמיתית ברמה מאוד גבוהה. ובלי 2 המפתחות (הפרטי והציבורי), לא ניתן לפענח את הקבצים.

אם הם אכן מחקו את המפתח הפרטי מהשרת שלהם – אז לצערי אני לא חושב שיש דרך לשחזר את הקבצים.

חברות האנטי וירוס "כיסו את עצמם" על ידי זה שהם מזהים את הרוגלה ומונעים ממנה להתחיל לפעול.

אני לא חושב שיש להם אינטרס לפענח את הקבצים.

יתכן שיהיה איזה חוקר אבטחה שיצליח למצוא פירצה ברוגלה עצמה ולגרום לה לחשוב שהקורבן באמת שילם, אך זה יהיה אפשרי רק כל עוד יש בצד השרת את המפתח הפרטי. ובהנחה שהFBI או איזה גורם אכיפה כלשהו לא יוריד את השרת.

צר לי.

[itsho]

בלי קשר – להלן 2 דוגמאות למיילים שמכילים את הרוגלה:

דוגמא 1 

דוגמא 2

itsho2013-10-12 20:37:17

[sonic]

כל המידע העדכני וכל השאלות והתשובות על הוירוס CryptoLocker נמצאות כאן:

http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information

[sonic]

פורסמה עכשיו ידיעה באתר malwarebytes  שהאקרים נותנים הזדמנות אחרונה לפענוח הצפנת הקבצים והעלו את המחיר ל-2000 דולר גם למי שלא שילם בזמן שנדבק בוירוס.

הבעיה שבשביל לשלם ולבדוק אם אפשר לפתוח את ההצפנה צריך להיכנס לאתר שלהם ואני לא מוצא את הקישור.

בכתבה לא מצויין הקישור לאתר.

הכתבה כאן-

http://blog.malwarebytes.org/cyber-crime/2013/11/cryptolocker-ups-the-ante-demands-2000-for-overdue-ransom/

מישהו יכול לעזור?

[itsho]

שלחתי בפרטי.

English »

< id="SL_lng_to">< value="af">Afrikaans< value="sq">Albanian< value="ar">Arabic< value="hy">Armenian< value="az">Azerbaijani< value="eu">Basque< value="bn">Bengali< value="be">Belarusian< value="bg">Bulgarian< value="ca">Catalan< value="zh-CN">Chinese (Simp.)< value="zh-TW">Chinese (Trad.)< value="hr">Croatian< value="cs">Czech< value="da">Danish< value="nl">Dutch< value="en">English< value="eo">Esperanto< value="et">Estonian< value="tl">Filipino< value="fi">Finnish< value="fr">French< value="gl">Galician< value="ka">Georgian< value="de">German< value="el">Greek< value="gu">Gujarati< value="ht">Haitian Creole< value="iw">Hebrew< value="hi">Hindi< value="hu">Hungarian< value="is">Icelandic< value="id">Indonesian< value="ga">Irish< value="it">Italian< value="ja">Japanese< value="kn">Kannada< value="ko">Korean< value="lo">Lao< value="la">Latin< value="lv">Latvian< value="lt">Lithuanian< value="mk">Macedonian< value="ms">Malay< value="mt">Maltese< value="no">Norwegian< value="fa">Persian< value="pl">Polish< value="pt">Portuguese< value="ro">Romanian< value="ru">Russian< value="sr">Serbian< value="sk">Slovak< value="sl">Slovenian< ed="" value="es">Spanish< value="sw">Swahili< value="sv">Swedish< value="ta">Tamil< value="te">Telugu< value="th">Thai< value="tr">Turkish< value="uk">Ukrainian< value="ur">Urdu< value="vi">Vietnamese< value="cy">Welsh< value="yi">Yiddish

Options

[sonic]

עדכון:

פורסמה לאחרונה ידיעה שההצפנה פוצחה ויש שירות חינמי שיכול לנטרל את ההצפנה.

לידיעה – 

http://www.suppware.co.il/archives/12633

השירות החינמי-

https://www.decryptcryptolocker.com/

sonic2014-09-16 21:24:45

[מאת]

תגובות