Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Komputer zablokowany, dysk zaszyfrowany. Wyślij SMS o treści..

gugasinski 21 Sie 2014 03:50 16008 38
  • #31 21 Sie 2014 03:50
    m4jkel
    Poziom 11  

    Przytrafił mi się ten sam problem. Na szczęście na maszynie wirtualnej i to mało ważnej. Ale dzięki temu mogłem pobawić się bez ryzyka w naprawienie tego. Mam Windows 7 Pro x64.

    Wirus nie szyfruje dysku. Jedyne co zrobił to nadpisał MBR - zarówno program ładujący jak i tablicę partycji.

    Co zrobiłem ja:
    1. Odpaliłem program TestDisk z płytki UBCD http://www.ultimatebootcd.com/ i postępowałem zgodnie z instrukcją http://www.cgsecurity.org/wiki/TestDisk_Step_By_Step.. Dzięki temu odzyskałem tablicę partycji

    2. Odpaliłem płytkę startową z Windowsem i wybrałem opcję napraw. Wyskoczyło okienko, że wykryto problem z sektorem rozruchowym i czy naprawić i zrestartować. Tak.

    3. Odpaliłem jeszcze raz płytkę z Windowsem i naprawiłem MBR zgodnie z intrukcją: http://siedem.it/adam/jak-naprawic-master-boot-record-mbr-w-windows-7

    4. System powinien już być zdatny do uruchomienia, ale nie polecam tego robić, bo to paskudztwo dalej siedzi i z chęcią nam zrobi to jeszcze raz ;) Zamiast tego ściągnałem płytę startową z antywirusem AVG: http://www.avg.com/pl-pl/download.prd-arl i zrobiłem skan systemu. Wykryło trojana w pliku c:\windows\update.exe. Usunąłem plik.

    5. Teraz można już uruchomić Windowsa. Niemniej ponieważ system został skompromitowany mocno polecam format i reinstalację.

  • #32 21 Sie 2014 05:32
    PRL
    Poziom 34  

    Piszą może gdzieś, w jaki sposób wirus ten infekuje system?
    WWW,, mejl?

  • #33 21 Sie 2014 10:15
    Kolobos
    Spec od komputerów

    PRL sciagasz i klikasz na cos pod windows, infekcja uruchamia sie przy starcie systemu, infekuje mbr i gotowe.

    Pliki wchodzace w sklad infekcji:
    C:\Windows\System32\Tasks\update
    C:\Windows\update.exe
    C:\Windows\point.dll
    C:\Windows\conf.dll

  • #34 21 Sie 2014 10:24
    PRL
    Poziom 34  

    Cytat:
    klikasz na cos pod windows


    Coś... Ale co? Przecież nie cokolwiek.;)

  • #35 21 Sie 2014 20:05
    m4jkel
    Poziom 11  

    No ja się zdziwiłem, bo na tej wirtualce robiłem rzeczy mocno specjalistyczne, a "klikania w cosie" było bardzo mało...

    Dodano po 2 [godziny] 5 [minuty]:

    Zrobiłem analizę kodu maszynowego naszego przyjaciela z MBR i znalazłem prawidłowe hasło, które trzeba wpisać. Jest to xxxxxxxx27, gdzie x to dowolny znak. Ma być 10 znaków, a sprawdzane są tylko ostatnie dwie cyfry. Po wpisaniu hasła stara zawartość MBR jest przywracana i system się uruchamia. Pozdrawiam ;)

  • #36 14 Lis 2014 11:39
    carlosdelag
    Poziom 1  

    Witam wszystkich. I dziękuje za poświęcony czas:]

    Jestem twórcą w/w aplikacji.


    Wielki Szacunek dla m4jkel'a któremu chciało się przeanalizować kod mojego programu.

    Całość została napisana w języku Assembler (który uwielbiam) przy użyciu kompilatora Fasm. Poniżej opiszę w

    jaki sposób nastąpiła infekcja komputerów. Na życzenie jestem w stanie udostępnić źródło programu będące moją

    własnością.


    Infekcja nastąpiła podczas instalacji
    - NIE-oryginalnych programów,
    - NIE-oryginalnych gier lub
    - NIE-oryginalnych systemów operacyjnych

    więc użytkownik gdyby KUPIŁ oryginalny software to nigdy by nie miał problemów.

    Mój program z opóźnieniem czasowym podmienia boot sektor windowsa i zapisuje oryginalnego MBR w inne miejsce

    na dysku.

    W momencie wpisania odpowiedniego kodu oryginalny bootsector powraca.

    UWAGA dla użytkowników którzy zainfekowali się najnowszą wersją: INFEKCJA NASTĄPI 01 STYCZNIA 2014r.

    więc prosze pamiętać żeby nie wysyłać sms-ów i wprowadzić kod z końcówką '27' lub 'XP' np
    KarolGje27,
    KarolGjeXP
    KarolG27,
    KarolGXP

    (te kody są uniwersalne do każdej wersji mojego programu)

    kontakt do mnie: carlosdelag(malpa)wp.pl
    (proszę nie pisać gróźb ani obraźliwych słów bo i tak to oleję)

    Wielka prośba: NIE WYSYŁAJCIE SMS-ów, bo otrzymany kod nie odblokuję wam komputera (jest to wada usługi

    Premium SMS która nie chciała mi wygenerować kodów zakończonych tymi oto znakami).
    Komputer odblokuję się tylko gdy dwa ostatnie znaki to "27" (dla wersji WP A4792) lub "XP" (w wersji

    AP.HRM2).

    Pozdrawiam i proszę o zamknięcie tematu.

    Karol

    Moderowany przez DriverMSG:


  • #38 14 Lis 2014 12:21
    PRL
    Poziom 34  

    A to pod paragraf czasami się nie kwalifikuje?

  • #39 14 Lis 2014 12:34
    leonov
    Poziom 41  

    PRL napisał:
    A to pod paragraf czasami się nie kwalifikuje?


    WSTĘP
    Przestępstwa komputerowe .....

    2 Jednymi z najgroźniejszych przestępstw są;
    a)Rozpowszechnianie i wysyłanie wirusów ( samo tworzenie nie jest wzięte pod uwagę w postępowaniu karnym, ponieważ można również tworzyć tak zwane withe wirus, tzw. wirus pomocniczy np. do czyszczenia folderu "temp" )

    więc chyba tak :D