Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Złośliwe zaszyfrowanie plików - okup

rafdyd 17 Lut 2016 10:26 1221 10
  • #1 17 Lut 2016 10:26
    rafdyd
    Poziom 12  

    Witam.
    Wczoraj w moje ręce dostał się notebook, w którym zostały złośliwie zaszyfrowane pliki o pewnych rozszerzeniach (doc, docx, jpg). W wielu katalogach utworzyły się pliki o nazwach: RECOVER+sahiu.htm, RECOVER+sahiu.png, RECOVER+sahiu.txt oraz RECOVER+oeidx.htm, RECOVER+oeidx.png, RECOVER+oeidx.txt. Po włączeniu tego komputera te pliki z automatu się otwierają, a w nich zapisana jest instukcja co zrobić, żeby odszyfrować pliki. Oczywiście jest to informacja o okup w wysokości 500$. Ogólnie za tą kwotę należy zakupić bitcoiny. Podana jest data do której należy okup zapłacić z info, że jak nie zrobi się tego w tym czasie to potem wartość okupu wzrasta dwukrotnie do kwoty 1000$.
    Doczytałem, że firma Kaspersky wraz z policją zdobywa od czasu do czasu ileś tam kluczy prywatnych z serwerów tego typu grup. Dlatego mam pytanie o to gdzie to sprawdzić. Dodatkowo na razie mam przeinstalować system, ale chcę zarchiwizować te zaszyfrowane dane bo być może kiedyś będzie jakaś szansa na ich odszyfrowanie. Jakie oprogramowanie może później posłużyć do ich odszyfrowania, kiedy np. zdobyłbym klucz prywatny do odszyfrowania?

    Z góry dziękuję za wyjaśnienia.

    0 10
  • #3 17 Lut 2016 11:55
    rafdyd
    Poziom 12  

    Właściciel nie będzie płacić. Mam mu to tylko zarchiwizować. Jednak chciałbym za przyszłość wiedzieć co i jak :)

    0
  • #4 17 Lut 2016 17:30
    krzysiozak
    Poziom 35  

    rafdyd napisał:
    Właściciel nie będzie płacić. Mam mu to tylko zarchiwizować. Jednak chciałbym za przyszłość wiedzieć co i jak :)


    Na przyszłość to zaleca się robienie kopii plików na serwerze. A nawet dwóch.

    0
  • #5 27 Lut 2016 12:52
    rafdyd
    Poziom 12  

    Mam jeszcze pytanie. Na tą chwilę, dysk z zaszyfrowanymi danymi został wyciągnięty z notebooka. Czy gdy ten dysk włożę do innego notebooka to w przypadku pojawienia się możliwości odszyfrowania tych danych np. przez Kaspersky będę mógł to zrobić czy też dysk musi być dokładnie w tym samym notebooku, bo np. generowany jest jakiś kod na podstawie konkretnego sprzętu i tylko na nim może dojść do odszyfrowania?

    0
  • #6 27 Lut 2016 19:19
    masterten
    Poziom 29  

    Musisz sprawdzić jaki szkodnik to zaszyfrował (powinno być info w plikach które utworzył) i dowiedzieć się jak on działa. Np. CryptoWall 3.0 tworzy listę zaszyfrowanych plików gdzieś w rejestrze systemu. Jeśli wyciekły by klucze do cryptowalla, może być potrzebny twój osobisty numer (też podany w powyższych plikach) żeby sprawdzić czy jest klucz pasujący do twojego numeru.

    Podpowiem, że może być opcja odszyfrowania kilku (może dwóch) plików w ramach pokazu, że da się je odszyfrować. Niestety nie możesz decydować które pliki zostaną odzyskane, zostały wybrane już na etapie szyfrowania.

    0
  • #7 28 Lut 2016 09:59
    rafdyd
    Poziom 12  

    Przed wyciągnięciem dysku z notebooka i po odpaleniu systemu pokazywały się z autostartu plik, w których był ten osobisty klucz, o którym piszesz. Mnie bardziej interesuje, czy będzie możliwość odszyfrowania plików z tego dysku, kiedy wsadzę go do innego sprzętu.

    0
  • #8 28 Lut 2016 10:29
    Serwis_Eldamar

    Poziom 15  

    Nie powinno mieć to znaczenia w jakim sprzęcie będziesz próbował odszyfrować pliki, lecz tak jak kolega masterten wyżej napisał:

    Cytat:
    Musisz sprawdzić jaki szkodnik to zaszyfrował (powinno być info w plikach które utworzył) i dowiedzieć się jak on działa.

    Bez tej informacji, nikt nie będzie wstanie odpowiedzieć Tak lub Nie.

    Pozdrawiam, S_E

    0
  • #9 28 Lut 2016 21:48
    rafdyd
    Poziom 12  

    Poniżej wklejam treść z pliku RECOVER+oeidx.TXT. Ciekawa jest sprawa z otworzeniem tego pliku, ponieważ otwierając go notatnikiem mój antywirus wskazał go jako zainfekowany plik. Załączam obraz z komunikatem z antywirusa.

    Treść z pliku:

    Spoiler:
    __!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!

    NOT YOUR LANGUAGE? USE https://translate.google.com

    What happened to your files ?
    All of your files were protected by a strong encryption with RSA-4096.
    More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

    How did this happen ?
    !!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
    !!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
    Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

    What do I do ?
    So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way.
    If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

    For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
    1. http://akdfrefdkm45tf33fsdfsdf.yamenswash.com/85E811B2176DD418
    2. http://p4fhmjnsdfbm4w4fdsc.avowvoice.com/85E811B2176DD418
    3. http://nn54djhfnrnm4dnjnerfsd.replylaten.at/85E811B2176DD418
    If for some reasons the addresses are not available, follow these steps:
    1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
    2. After a successful installation, run the browser and wait for initialization
    3. Type in the address bar: fwgrhsao3aoml7ej.onion/85E811B2176DD418
    4. Follow the instructions on the site.

    !!! IMPORTANT INFORMATION:
    !!! Your personal pages:
    http://akdfrefdkm45tf33fsdfsdf.yamenswash.com/85E811B2176DD418
    http://p4fhmjnsdfbm4w4fdsc.avowvoice.com/85E811B2176DD418
    http://nn54djhfnrnm4dnjnerfsd.replylaten.at/85E811B2176DD418
    !!! Your personal page Tor-Browser: fwgrhsao3aoml7ej.onion/85E811B2176DD418
    !!! Your personal identification ID: 85E811B2176DD418


    Czy po tej treści można wykalkulować jaki szkodnik to zaszyfrował? Złośliwe zaszyfrowanie plików - okup

    0
  • #11 29 Lut 2016 08:44
    rafdyd
    Poziom 12  

    Wygląda na to, że pliki na dysku, zostały zaszyfrowane TeslaCrypt 3.0. Niestety nie ma szans w tej chwili na odszyfrowanie bez klucza prywatnego. Dziękuję za pomoc.

    0