RansomWare | וירוס CryptoLocker הצפין לי קבצים

פורום פורומים פורום תמיכה בתקלות מחשבים RansomWare | וירוס CryptoLocker הצפין לי קבצים

מוצגות 12 תגובות – 1 עד 12 (מתוך 12 סה״כ)
  • מאת
    תגובות
  • #53929
    sonic
    חבר

    שלום,

     

    בימים האחרונים מתפשט וירוס קטלני המצפין את רוב הקבצי  data של המשתמש במחשב.

    קבצים כגון: וורד, אקסל, אקסס, תמונות, pdf ועוד…

    גם הקבצים בשרת יפגעו אם יש למחשב הנגוע גישה אליהם.

    הוירוס מקפיץ חלון עם טיימר המאיץ במשתמש לשלם סכום של כ- 300 יורו
    לפני שתסתיים הספירה לאחור
    .

    שכן לאחר מכן קוד הפיענוח של ההצפה של הקבצים ימחק מה שיהפוך את
    הפיענוח ההצפנה קרוב לבלתי אפשרי
    .


    על
    מנת לפתוח את ההצפנה של הקבצים צריך את ה- 
    private key. הבעיה שבשונה מהוירוסים
    הקודמים, שה-
     private key הוחבא בתוך הרג'סטרי במחשב עצמו שנפרץ, הוירוס הזה השאיר את private key בשרת של ההאקרים.

    רק
    בווינדוס ויסטה, ווינדוס 7 או ווינדוס 8 יש אפשרות לבצע שחזור לקבצים מתוך
    "שחזור גירסאות קודמות" (רק אם ה- 
    shadow copy היה מופעל) ורק אם הקבצים נמצאים מקומית על המחשב ולא על השרת.

    באמצעות
    הכלי הבא אפשר לראות את כל רשימת הקבצים שנפגמו והוצפנו (את הכלי צריך להפעיל
    מהמחשב שנדבק)

    http://www.takala.co.il/forum/uploads/176/ListCrilock.zip


    ניתן להסיר את הוירוס דרך תוכנות malwarebytes

    [TUBE]DMEZ4FJ7QnM[/TUBE]

    הוירוס התגלה אצל כמה לקוחות שלי והצלחתי להסיר את הוירוס מהמחשב אבל כל הקבצי משתמש במחשב לא נפתחים בגלל ההצפנה. שחזרתי את הקבצים במחשבים שהיו בהם גיבויים והכל תקין אבל המחשבים ללא גיבוי אני עדיין מחפש פתרון לפענוח ההצפנה.

    אשמח אם תשתפו ידע נוסף בפוסט זה.
    תודה
    Your personal files are encrypted

    takala2013-10-22 18:32:41

    #53935
    יניב
    מנהל בפורום
    #53949
    sonic
    חבר

    כפי שאמרתי, אין בעיה להסיר את הוירוס אך יש בעיה לתקן את הקבצים

    מישהו יכול לעזור?
    #53951
    itsho
    מנהל בפורום
    1. חברת Panda כתבה תוכנה שמשחזרת את הקבצים, אך בדיוק כמו שכתבת בעצמך – בלי המפתח הפרטי לא תוכל לפענח את הקבצים.

    2. אחת העצות שראיתי קשורות לשינוי התאריך במחשב – יתכן שזה יתכן לך ארכה נוספת. 
    3. אנשים אחרים טוענים שהם שילמו את הכופר (300$ במקרה שלהם), והם אכן קיבלו את המפתח והקבצים שוחזרו. ראה כאן וכאן)
    אני לא אומר שזה הפתרון האולטימטיבי, אבל זה מה שיש כרגע Ermm
    הערה חשובה: 
    אל תעביר את הקבצים לתיקיות אחרות כי זה עלול לפגוע בשחזור המידע !

    takala2013-10-11 13:56:36

    #53953
    itsho
    מנהל בפורום

    אמנם זו לא חכמה גדולה לומר לאחר מעשה, אך הורדתי עותק של הרוגלה, וAVIRA זיהתה את הרוגלה עוד בטרם היא הורצה

    כנ"ל לגבי MBAM.
    בקיצור – ההמלצות (לשאר הקוראים) הם:
    1. להחזיק תמיד אנטי וירוס טוב כדוגמת AVIRA
    2. להריץ סריקה יזומה בעזרת אנטי רוגלות כדוגמת MBAM החינמית – מדי שבוע/שבועיים (או לקנות את הגירסה הלא-חינמית ולקבל הגנה בזמן אמת)
    3. לא ללחוץ על לינקים במיילים שהגיעו משולחים לא מוכרים !!! אפילו לא "בשביל לבדוק מה זה". רוגלה מתוחכמת יכולה להתקין את עצמה ברגע הלחיצה על הלינקץ גם מבלי לבקש אישור התקנה.

    takala2013-10-11 13:56:53

    #53954
    sonic
    חבר

    itsho, תודה על התשובה. הוירוס הזה התפשט לאלפי מחשבים כבר ועדיין ממשיך להתפשט ולכן אני מאמין שחברות האנטי וירוס לא יכולות להתעלם מזה. לדעתך יש סיכוי שחברות האנטי וירוס ימצאו דרך לפתוח את ההצפנת הקבצים?

    לדעתך לכל מחשב שנפרץ יש private key שונה או וכולם יש אותו private key?

    #53957
    itsho
    מנהל בפורום

    קשה לי להאמין שימצאו דרך לעקוף כי לא מדובר על הצפנה שהם המציאו אלא בהצפנה אמיתית ברמה מאוד גבוהה. ובלי 2 המפתחות (הפרטי והציבורי), לא ניתן לפענח את הקבצים.

    אם הם אכן מחקו את המפתח הפרטי מהשרת שלהם – אז לצערי אני לא חושב שיש דרך לשחזר את הקבצים.
    חברות האנטי וירוס "כיסו את עצמם" על ידי זה שהם מזהים את הרוגלה ומונעים ממנה להתחיל לפעול.
    אני לא חושב שיש להם אינטרס לפענח את הקבצים.
    יתכן שיהיה איזה חוקר אבטחה שיצליח למצוא פירצה ברוגלה עצמה ולגרום לה לחשוב שהקורבן באמת שילם, אך זה יהיה אפשרי רק כל עוד יש בצד השרת את המפתח הפרטי. ובהנחה שהFBI או איזה גורם אכיפה כלשהו לא יוריד את השרת.
    צר לי.
    #53959
    itsho
    מנהל בפורום

    בלי קשר – להלן 2 דוגמאות למיילים שמכילים את הרוגלה:


    itsho2013-10-12 20:37:17

    #54051
    sonic
    חבר

    כל המידע העדכני וכל השאלות והתשובות על הוירוס CryptoLocker נמצאות כאן:

    #54281
    sonic
    חבר

    פורסמה עכשיו ידיעה באתר malwarebytes  שהאקרים נותנים הזדמנות אחרונה לפענוח הצפנת הקבצים והעלו את המחיר ל-2000 דולר גם למי שלא שילם בזמן שנדבק בוירוס.

    הבעיה שבשביל לשלם ולבדוק אם אפשר לפתוח את ההצפנה צריך להיכנס לאתר שלהם ואני לא מוצא את הקישור.
    בכתבה לא מצויין הקישור לאתר.
    הכתבה כאן-
    מישהו יכול לעזור?
    #54287
    itsho
    מנהל בפורום

    שלחתי בפרטי.

    #56904
    sonic
    חבר

    עדכון:

    פורסמה לאחרונה ידיעה שההצפנה פוצחה ויש שירות חינמי שיכול לנטרל את ההצפנה.
    לידיעה – 
    השירות החינמי-

    sonic2014-09-16 21:24:45

מוצגות 12 תגובות – 1 עד 12 (מתוך 12 סה״כ)
  • יש להתחבר למערכת על מנת להגיב.