t6p Opublikowano 6 Grudnia 2015 Zgłoś Udostępnij Opublikowano 6 Grudnia 2015 Witam,Wczoraj w nocy, przed pójściem spać, jak grom z jasnego nieba zaatakował mój komputer jakiś wstrętny wirus. Gdy to się działo czułem się jak by ktoś "wszedł mi na komputer". Ogólnie mówiąc mógłbym zrobić reinstall systemu i po problemie. Problem w tym, że mam kilka plików na prawdę ważnych. Kilkanaście mniej ważnych. A całkiem sporo takich, które po prostu chciałbym, żeby zostały. Jednak wszystkie są "zaszyfrowane" przez ten wirus i nie można ich otworzyć. Do każdego pliku; pdf, avi, txt itp, dopisana jest końcówka ".vvv". Skanowałem komputer Kasperskym oraz SpyHunter4, Malwarebytes Anti-Malware, HitmanPRO. Wszystkie programy "coś" znalazły i wyrzuciły śmieci, jednak nadal jest wszystko bez zmian i nic nie działa. W co drugim folderze jak nie w każdym mam 4 pliki: Zdjęcia Po uruchomieniu komputera otwiera mi się dokument tekstowy wraz z chromem (w notatniku jest to samo co na zdjęciu): Zdjęcia Niby jak wpłaci się 500 czy 1000$ to odblokowują to, ale trochę w to wątpię. Po za tym, to jest dla mnie na prawdę sporo pieniędzy! Nigdy jeszcze nie byłem w takim potrzasku, więc będę na prawdę bardzo wdzięczny za pomoc. Ewentualnie komu mógłbym zlecić "naprawę" tego w okolicach Warszawy, a nawet Polsce. Na prawdę zależy mi na tych plikach. Drugie pytanie. Czy jeśli np za rok znajdzie się jakiś program, który będzie potrafił odszyfrować te pliki, a ja je teraz zgram na drugi dysk i będę cierpliwie czekał, to będę mógł odzyskać swoje najważniejsze pliki w przyszłości? Będę wdzięczny za jakiekolwiek wskazówki. EDIT: W załączniku wrzucam pliki wygenerowane przez "FRST" oraz "GMER" GMER.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Pliki o rozszerzeniu *.vvv to najnowszy wariant TeslaCrypt: KLIK. Bardzo mi przykro, ale nie ma technicznej możliwości odszyfrowania danych. Jedyna (niepolecana) możliwość to uiszczenie opłaty przestępcom. Jedyne co jest w mojej gestii, to doczyszczenie odpadków infekcji, czyli dodanych wtórnie plików how_recover+*. Decyduj czy się za to zabieramy, czy reinstalujesz system. Odnośnik do komentarza
t6p Opublikowano 7 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Ok, rozumiem. Byłbym jeszcze wdzięczny za odpowiedź na pytanie, które zadałem w poprzednim poście, czyli; Czy jeśli np za rok znajdzie się jakiś program, który będzie potrafił odszyfrować te pliki, a ja je teraz zgram na drugi dysk i będę cierpliwie czekał, to będę mógł odzyskać swoje najważniejsze pliki w przyszłości? Jeszcze drugie pytanie. Jaka jest szansa, że po zapłaceniu dostanę "klucz", czy coś tam co pozwoli odzyskać moje dane? Generalnie napisałem tam "support" i udało mi się trochę utargować tę kwotę Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Czy jeśli np za rok znajdzie się jakiś program, który będzie potrafił odszyfrować te pliki, a ja je teraz zgram na drugi dysk i będę cierpliwie czekał, to będę mógł odzyskać swoje najważniejsze pliki w przyszłości? Widoki na odkodowanie w przyszłości są zerowe. Ale oczywiście asekuracyjnie na wszelki wypadek kopiuje się cenne zaszyfrowane dane na zewnętrzny nośnik. Jaka jest szansa, że po zapłaceniu dostanę "klucz", czy coś tam co pozwoli odzyskać moje dane? Generalnie napisałem tam "support" i udało mi się trochę utargować tę kwotę Kontakt z przestępcami na własne ryzyko. Musisz ocenić czy te pliki rzeczywiście są aż tak ważne, by się wplątać w taką sytuację. Nie ma gwarancji, że otrzymasz działający klucz lub go w ogóle otrzymasz. Odnośnik do komentarza
t6p Opublikowano 7 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Czyli mam rozumieć, że nawet za 10 lat jest tylko 1% szansy na odszyfrowanie tego? W sumie większość plików jestem w stanie odszukać lub stworzyć ponownie. Jednak nie wszystko. Mam na komputerze jakieś tam pliki bezcenne, czyli np zdjęcia... Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Obecna sytuacja jest następująca: klucze (unikatowe dla danej instalacji Windows, każdy ma inny klucz przypisany) są nieosiągalne i znane tylko przestępcom, a hasła nie są słabe, stąd złamanie ich przez atak typu "brute force" odpada. Dlatego też są bardzo nikłe szanse, że w przyszłości pojawi się jakaś "solucja", choć trudno przewidywać co będzie za X lat. Odnośnik do komentarza
t6p Opublikowano 7 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 W takim razie jak wygląda sytuacja z poprzednimi wersjami "TeslaCrypt"? Może warto się oprzeć na podstawie tego gdy starsza wersja była tą "najnowszą"? Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Zestawienie nic nie wnosi do sprawy. Wszystkie warianty TeslaCrypt opisane tu: KLIK. Tylko najstarsze z nich (pliki .ecc, .ezz, .exx) można było odkodować, gdyż klucz był zapisywany na dysku twardym. I ten "błąd" właśnie "naprawiono" we wszystkich nowych wariantach, które już w ogóle nie zapisują klucza na dysku (jest w pamięci tylko tymczasowo podczas szyfrowania), dlatego nie jest możliwe odkodowanie plików. Akcja "Can only be decrypted if victim was able to capture the key being sent to the server at the time of encryption." nie aplikuje się u Ciebie, gdyż infekcja nie jest już czynna. Zresztą nie znam nawet żadnego przypadku, by komuś udało się wyłuskać z pamięci klucz, gdy infekcja była jeszcze aktywna. Odnośnik do komentarza
t6p Opublikowano 7 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Ok, rozumiem. W takim razie nie mam więcej pytań i z tego co przeczytałem sądzę, że jedyna droga to mimo wszystko zaryzykować i zapłacić. Bo dosłownie nic innego nie da się zrobić. A po ostatnim przeczytanym poście widzę, że odszyfrowanie plików w przyszłości to nawet nie jest 1%, tylko może 0,1% ... Tak czy inaczej dziękuję serdecznie za dobre chęci i pomoc w ustaleniu co się dokładnie stało. Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Jeśli zdecydujesz się na uiszczenie opłaty, to daj znać czy otrzymałeś poprawny klucz dekodujący. Po ewentualnym odkodowaniu plików i tak sugeruję sformatować dysk C. Dodatkowo, polecam wyposażyć się w jeden z tych programów do zabezpieczeń przed szyfratorami: KLIK. Odnośnik do komentarza
zerx Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 kolejny artykuł - edytowane Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 zerx, link wymazany! To jest jeden z owych sponsorowanych opisów mijających się z prawdą. Celem jest tylko pobranie wątpliwego skanera SpyHunter, który nie odkoduje plików wcale. Odnośnik do komentarza
t6p Opublikowano 9 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 UWAGA UWAGA ! Chyba nic nie muszę pisać, wystarczy zobaczyć poniżej zrobione przeze mnie screeny: Zdjęcia Potrzymam jeszcze wszystkich w chwili niepewności i za około 1-2h zdradzę jak to załatwiłem EDIT: A tak to się skończyło: Zdjęcia Moje wypociny troszkę żenujące, ale na prawdę zależało mi na tych plikach, a po tym co tam wypisałem, dostałem po prostu klucz. Wychodzi na to, że metoda skuteczna W sumie to czekam na jakiś komentarz. Dlaczego mogli podjąć taką a nie inną decyzje. Co mogło ich do tego skłonić? Btw. Jest jakaś metoda na to, żeby usunąć już te niepotrzebne pliki? Każdy folder wygląda u mnie mniej więcej tak: Zdjęcia Mozna to robić ręcznie i tak też będę robił jak nie znajdę alternatywy. Jednak trochę słabo jak wchodzi się do folderu, gdzie jest np 1000 zdjęć i muszę ręcznie klikać i kasować 1k plików Odnośnik do komentarza
spawciu Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Pliki o rozszerzeniu *.vvv to najnowszy wariant TeslaCrypt: KLIK. Bardzo mi przykro, ale nie ma technicznej możliwości odszyfrowania danych. Jedyna (niepolecana) możliwość to uiszczenie opłaty przestępcom. Jedyne co jest w mojej gestii, to doczyszczenie odpadków infekcji, czyli dodanych wtórnie plików how_recover+*. Decyduj czy się za to zabieramy, czy reinstalujesz system. Coś kręcisz ..., (zresztą - cały ten post trochę dziwnie mi wygląda, jakby nagonka aby pobierać decryptery. Ale to moje prywatne zdanie, mam prawo je mieć) picasso już wyraźnie zaznaczyła wcześniej, że bez problemu da się to zrobić. Czekaj cierpliwie. Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 spawciu Z tego co rozumiem on po prostu zapłacił haracz i dostał decrypter od przestępców. Ta metoda tylko, gdy się ma już nóż na gardle i utracone pliki są tak ważne, że nie da się bez nich żyć. t6p Zajmę się Twoim tematem w wolnej chwili, bo teraz mam zalew innych tematów z adware i nie wyrabiam. Na szybko: W sumie to czekam na jakiś komentarz. Dlaczego mogli podjąć taką a nie inną decyzje. Co mogło ich do tego skłonić? To jest biznes. A im więcej osób płaci, tym większa ochota by kontynuować proceder. Mówiłam wcześniej o "braku gwarancji", bo czytałam o przypadkach, że ktoś zapłacił i dostał niedziałający klucz. Jest jakaś metoda na to, żeby usunąć już te niepotrzebne pliki? Potem podam odpowiedni skrypt do FRST. Odnośnik do komentarza
t6p Opublikowano 9 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 spawciu Z tego co rozumiem on po prostu zapłacił haracz i dostał decrypter od przestępców. Ta metoda tylko, gdy się ma już nóż na gardle i utracone pliki są tak ważne, że nie da się bez nich żyć. Trochę źle mnie wszyscy zrozumieli. W sumie nie dziwne, bo wprost tego nie zaznaczyłem. W każdym razie, owszem 100$ to była dla mnie cena powiedzmy "do przyjęcia" i po zastanowieniu byłem skłonny się na nią zgodzić. Jednak osoby, z którymi prowadziłem rozmowy były trochę innego zdania, a ja 300$ nie miałem zamiaru płacić, i zaznaczyłem to w ostatniej wiadomości do nich. W skrócie - "przemyślcie jeszcze raz. Daje wam 100$ albo nic. decyzja należy do was". Napisałem to może w trochę bardziej żenujący sposób, ale ważne, że poskutkowało (można przeczytać całą rozmowę jaką z nimi przeprowadziłem na załączonym screenie w poprzednim poście). W zasadzie, po napisaniu ostatniej mojej wiadomości, byłem już pogodzony z tym, że plików w najbliższym czasie na pewno nie odzyskam. Na następny dzień wszedłem na tę ich stronę bardziej z ciekawości, co mogli mi odpowiedzieć. Zalogowałem się i od razu wyświetliła mi się instrukcja z kluczem do odszyfrowania. Szybko to pobrałem i skopiowałem klucz (aby przypadkiem nie zginęło ). Następnie wszedłem do zakładki "support" i zobaczyłem ich wpis, żebym odświeżył sobie stronę. Reasumując. Nie wpłacałem żadnych pieniędzy, a moją propozycje na 100$ odrzucili. Klucz wraz z instrukcją udostępnili z własnej woli. Wychodzi na to, że "zlitowali się nade mną"? Teraz jak już wszystko jasne ponawiam pytania z poprzedniego postu: "W sumie to czekam na jakiś komentarz. Dlaczego mogli podjąć taką a nie inną decyzje. Co mogło ich do tego skłonić?" No i jeszcze przyda się ten skrypt do FRST. Chcę to wyczyścić a następnie zrobić format, bo straszny śmietnik zrobił mi się w komputerze przez to całe zamieszanie. Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 t6p, rzeczywiście nie zrozumiałam, że Ty ... nie zapłaciłeś nic, bo z dialogu to nie wynikało wprost (myślałam że ta stówka jednak poszła). Sytuacja kompletnie nie zrozumiała. Jesteś pewien, że to nie jest jakieś "demo" (tylko część plików odszyfrowana), a wszystkie odkodowane pliki działają? A skrypt podam jak będę mogła się zająć tym tematem dokładniej. Odnośnik do komentarza
Rucek Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 No, teraz jest czytelne, poprzednio myślałem, że zapłaciłeś 100$ "W sumie to czekam na jakiś komentarz. Dlaczego mogli podjąć taką a nie inną decyzje. Co mogło ich do tego skłonić?" Myślę, że w kimś się po prostu sumienie odezwało. Generalnie dobrze wszystko ująłeś pisząc do nich. Kiedyś miałem przypadek z radiem internetowym ( radio z USA), podnieśli opłatę za radio, napisałem im, że żyję w PL i generalnie tyle i tyle to już o tyle i tyle za dużo.... tak samo, nastepnego dnia, zgodzili sie bym pozostał przy tym co było poprzednio Poza tym, ludzie im pewnie z automatu płacą jak już coś, a jak się pogada - często można coś ugrać, jeśli zrobi się to w odpowiedni sposób. Odnośnik do komentarza
spawciu Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Coś kręcisz ..., (zresztą - cały ten post trochę dziwnie mi wygląda, jakby nagonka aby pobierać decryptery. Ale to moje prywatne zdanie, mam prawo je mieć) picasso już wyraźnie zaznaczyła wcześniej, że bez problemu da się to zrobić. Czekaj cierpliwie. To co wyżej napisałem dotyczy oczywiście kwestii doczyszczenia a nie zapłaty, przepraszam za niedoprecyzowanie cytatu - powinien wyglądać tak: Jedyne co jest w mojej gestii, to doczyszczenie odpadków infekcji, czyli dodanych wtórnie plików how_recover+*. Decyduj czy się za to zabieramy, czy reinstalujesz system. Co do: No i jeszcze przyda się ten skrypt do FRST. Chcę to wyczyścić a następnie zrobić format, bo straszny śmietnik zrobił mi się w komputerze przez to całe zamieszanie. Po co zajmować cenny czas picasso skoro i tak dysk sformatujesz? Moim zdaniem bez sensu, dane zrzucić i formatować dysk. Odnośnik do komentarza
t6p Opublikowano 9 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 t6p, rzeczywiście nie zrozumiałam, że Ty ... nie zapłaciłeś nic, bo z dialogu to nie wynikało wprost (myślałam że ta stówka jednak poszła). Sytuacja kompletnie nie zrozumiała. Jesteś pewien, że to nie jest jakieś "demo" (tylko część plików odszyfrowana), a wszystkie odkodowane pliki działają? A skrypt podam jak będę mogła się zająć tym tematem dokładniej. Jak na razie nie zauważyłem, żeby jakiekolwiek pliki nie działały. Na pewno te, na których najbardziej mi zależało, odpalają się, i wyświetlają to co powinny. Inne tak samo, ale wszystkich nie jestem w stanie sprawdzić. Program odszyfrowywał całość około 60 min. Po co zajmować cenny czas picasso skoro i tak dysk sformatujesz? Moim zdaniem bez sensu, dane zrzucić i formatować dysk. Bo formatuje tylko dysk C (systemowy), z kolei "D" zostawiam nienaruszony, a to tam głównie mam wszystkie pliki i przy okazji śmietnik, który pozostawił po sobie ten "robak". Przykład: Mam około 10 folderów ze zdjęciami. Niech w każdym będzie załóżmy 100 zdjęć, co daje drugie 100 takich samych plików tylko z rozszerzeniem ".vvv". Żeby było przyjemniej poustawiane są "na przemian", więc totalnie ręcznie trzeba by to było usuwać. Odnośnik do komentarza
spawciu Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 ... No i jeszcze przyda się ten skrypt do FRST. Chcę to wyczyścić a następnie zrobić format, bo straszny śmietnik zrobił mi się w komputerze przez to całe zamieszanie. Ze zrozumieniem raczej nie miewam problemów, natomiast Twoja wypowiedź powyżej sugeruje format całego dysku - zwłaszcza po użyciu stwierdzenia: " ... w komputerze". Tak tylko tytułem wyjaśnienia mojej intencji, kończę wypowiedzi w tym temacie. Odnośnik do komentarza
t6p Opublikowano 9 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Strasznie czepliwy jesteś. To, że ma być to format tylko partycji systemowej pozostawiłem w domyśle. Natomiast wyczyścić skryptem FRST, partycję C i D... EDIT: A żebyś się nie przyczepił za chwilę z pytaniem "Po co czyścić partycje C, skoro i tak idzie pod format?" - od razu odpowiem. Jak już muszę wyczyścić D, to i przy okazji mogę to samo zrobić z C. Chociażby po to, żeby mieć później ułatwione kopiowanie plików (bo kilka jakiś tam mniej ważnych dokumentów, też tutaj mam). Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Skrypt do FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: attrib -r -h -s C:\*.vvv /s CMD: attrib -r -h -s C:\how_recover* /s CMD: attrib -r -h -s D:\*.vvv /s CMD: attrib -r -h -s D:\how_recover* /s CMD: del /q /s C:\*.vvv CMD: del /q /s C:\how_recover* CMD: del /q /s D:\*.vvv CMD: del /q /s D:\how_recover* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, przetwarzanie może trwać długo w zależności od liczebności śmieci. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Będzie ogromny, shostuj na jakiś zewnętrznym serwisie i podaj link do pliku. Odnośnik do komentarza
t6p Opublikowano 10 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Nice. Wszystko wróciło do normy. Dziękuję serdecznie! A tutaj plik: http://speedy.sh/QTR4p/Fixlog.txt Może być kiepski transfer, ale nie przychodzi mi do głowy żaden inny hosting. Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Szybki rzut okiem na wyniki potwierdza poprawność zadania, w rozumieniu braku błędów. Czyli teraz wdrażasz główny plan: kopie zapasowe ważnych danych > format > programy zabezpieczające podałam wcześniej, uwaga też na wersje Adobe Flash i Java (TeslaCrypt głównie utylizuje exploity bazujące na przeterminowanym flashu). I chyba temat możemy zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi