Skocz do zawartości

Wirus RSA4096 i zaszyfrowane pliki .crypt


Rekomendowane odpowiedzi

Witam serdecznie.
Mój komputer został zainfekowany wirusem RSA4096
W pewnym momencie, mając uruchomiony FB i YT, pojawił się czarny ekran z napisami i musiałam zrestartować komputer. Od dwóch dni próbuję usunąć wirusa SpyHunterem, Avastem, Kasperskiego nie da rady zainstalować, gdyż na wstępie wykrywa wirusa ;)  Żaden program jak dotąd nie poradził sobie.
Nie posiadam punktu przywracania, musiał zostać usunięty, ponieważ z tego co pamiętam, dość niedawno robiłam, więc przywracanie odpada.
Wszystkie pliki są zaatakowane, posiadają końcówkę .crypt
Czy ktoś poradził sobie z tym wirusem? Czy jeśli zrobię format dysku C, gdzie zainstalowany jest Windows, to pomoże czy nadal na dysku D pliki będą mieć końcówkę .crypt?
Czy ktoś zna jakiś dobry dekoder, który przywróci pliki do sprawności? Próbowałam dekodery Casperskiego, ale nie rozpoznają wirusa.
Czy ktoś ma jakiś pomysł? Próbuję na razie sama rozwiązać problem, a jak nie to zostaje informatyk lub format całkowity lub zgranie plików i czekanie na odpowiedni dekoder ;/
Mój pulpit obecnie wygląda tak, jak na zdjęciu (!Recovery_38BD061FB993.bmp):

post-2-0-57820000-1464043476_thumb.png
 
Help :mellow:

Addition.txt

FRST.txt

Shortcut.txt

Gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Wszystkie pliki są zaatakowane, posiadają końcówkę .crypt

(...)

Mój pulpit obecnie wygląda tak, jak na zdjęciu

(...)

Czy ktoś zna jakiś dobry dekoder, który przywróci pliki do sprawności? Próbowałam dekodery Casperskiego, ale nie rozpoznają wirusa.

Opis wskazuje na infekcję CryptXXX. Owszem, tę infekcję w starszych wersjach mógł odszyfrować Kaspersky RannohDecryptor (próbowany już przez Ciebie), ale pod warunkiem posiadania oryginalnej niezaszyfrowanej kopii choć jednego pliku który podlegał szyfrowaniu: KLIK / KLIK.

 

Niestety, w ostatnich dniach pojawił się nowy zimmunizowany wariant tej infekcji, którego dekoder Kasperskiego nie rozpoznaje i nie jest w stanie złamać. Obecnie nie ma żadnej możliwości odkodowania plików, nawet jeśli zapłacisz przestępcom (dekoder od nich też nie działa). W tym wątku ktoś wspomina, że przestępcy wysyłają dekoder do starszej wersji infekcji niedziałający z najnowszym formatem zakodowanych plików: KLIK. No skoro nawet przestępcy (najlepiej zorientowani w temacie) nie mają działającego dekodera, to co dopiero Kaspersky i spółka...

Jedyne co pozostaje, to czekać w nadziei, że ktoś w przyszłości złamie to, choć szanse mogą być bliskie zeru. I nie zmieniaj zaszyfrowanym plikom rozszerzenia. To jest bez sensu i pogarsza tylko sprawę (w przyszłości, gdyby pojawił się nawet jakiś dekoder, może nie rozpoznać pliku).

 

A tło Pulpitu skoryguj w opcjach.

 

 

Od dwóch dni próbuję usunąć wirusa SpyHunterem, Avastem, Kasperskiego nie da rady zainstalować, gdyż na wstępie wykrywa wirusa Żaden program jak dotąd nie poradził sobie.

 

SpyHunter to program wątpliwej reputacji - do natychmiastowej deinstalacji. W przypadku problemów z deinstalacją oraz nawet po pomyślnej deinstalacji możesz zastosować SpyHunterCleaner. A Kaspersky Antivirus nie zainstaluje się, gdy jest inny aktywny antywirus - obecnie Avast Premier. I nie ma sensu instalować coraz to innych antywirusów, to w niczym nie pomoże. Obecnie infekcja nie jest już aktywna, więc tu się kończy rola antywirusów, a zaszyfrowane dane to "rozlane mleko" i nie ma za bardzo ratunku.

 

W systemie do czyszczenia są tylko drobne odpadki adware, ale to nie ma znaczenia, akcja byłaby poziomu kosmetycznego. Ostatecznie mogę się tym zająć, jeśli nie zdecydujesz się na format C.

 

 

Nie posiadam punktu przywracania, musiał zostać usunięty, ponieważ z tego co pamiętam, dość niedawno robiłam, więc przywracanie odpada.

Domyślnie i tak Przywracanie jest aktywne tylko i wyłącznie dla dysku systemowego. Pozostałe dyski nie mają aktywnej ochrony i nie można użyć tej funkcji do odzysku danych z innych dysków. Tak więc nawet gdyby był punkt Przywracania systemu, akcja dotyczyłaby tylko i wyłącznie dysku C.

 

 

Czy ktoś poradził sobie z tym wirusem? Czy jeśli zrobię format dysku C, gdzie zainstalowany jest Windows, to pomoże czy nadal na dysku D pliki będą mieć końcówkę .crypt?

 

Nie, format to tylko spowoduje, że dysk systemowy będzie "super czysty". Zaszyfrowane pliki nadal pozostaną zaszyfrowane na innych dyskach. Proponuję jednak zrobić format dysku C na wszelki wypadek, by choć wyeliminować na dobre skutki pobytu tej infekcji przynajmniej z jednego dysku.

Odnośnik do komentarza

Dziękuję za wyczerpującą odpowiedź. Dzisiaj sprawdzałam jeszcze raz ten dekoder i próbowałam wgrać zainfekowany plik i dobry plik, który skopiowałam z płyty, na której go kiedyś nagrałam. Jednak nadal pojawia się Error: "The decryption of files encrypted by this variant of Trojan-Ransom.Win32.CryptXXX is not supported."

 

 

Mam jeszcze pytania :)

1. Czy jeśli teraz nagram ważniejsze pliki z rozszerzeniem .crypt na płyty i później skopiowałabym je np. po formacie dysku C, celem odkodowania ich, gdyby dekoder się pojawił, to czy jest możliwość, że znowu ten wirus przeszedłby na cały "zdrowy" system?

 

2. Czy gdybym chciała teraz przez USB podłączyć komórkę i nagrać nowy, zdrowy plik mp3, to czy komórka też może zostać zaatakowana?

 

3. Z tego co zrozumiałam, to już raczej nie mam tego wirusa, ale zostały po nim skutki (zakodowane pliki). Czy dobrze myślę? Jeśli nie ma dużo roboty przy tym, to proszę napisać jakie "kosmetyczne" zmiany mogę wprowadzić zanim zrobię format. Jeśli jednak te kosmetyczne zmiany nie mają dużego wpływu, to proszę się nie fatygować. Komputer chodzi tak jak przed atakiem, jedynie te pliki są zaszyfrowane. Mam nawet w planie napisanie do ludzi z Kaspersky'ego i załączenie im obu plików: zdrowego i zaszyfrowanego - może to pomoże w zrobieniu dekodera ;)

 

4. Jak na przyszłość mogę się zabezpieczyć przed podobnym wirusem? Który antywirus warto mieć zainstalowany? Przyznam, że nie miałam żadnego aktywnego antywirusa. Jedynie od czasu do czasu robiłam skan Malwarebytes Anti-Malware. I sama też nie wiem w którym momencie złapałam ten wirus. Od dłuższego czasu szwankowała mi Mozilla Firefox, co chwilę wyskakiwało: "skrypt przestał odpowiadać". Odinstalowałam Firefoxa i zainstalowałam jeszcze raz, ale na dysku D i rzeczywiście to pomogło, przeglądarka chodziła szybciej, ale za to po paru godzinach, nie robiąc nawet nic na komputerze, ale mając włączonego YT i FB, wirus wtargnął i zaatakował cały komputer, przez pewien czas nawet porty USB nie działały, bo mysz przestała chodzić, ale później się to naprawiło ;) Być może ten wirus siedział w uśpieniu, a przy instalacji Firefoxa się obudził ;)

Odnośnik do komentarza

1. Czy jeśli teraz nagram ważniejsze pliki z rozszerzeniem .crypt na płyty i później skopiowałabym je np. po formacie dysku C, celem odkodowania ich, gdyby dekoder się pojawił, to czy jest możliwość, że znowu ten wirus przeszedłby na cały "zdrowy" system?

 

2. Czy gdybym chciała teraz przez USB podłączyć komórkę i nagrać nowy, zdrowy plik mp3, to czy komórka też może zostać zaatakowana?

Jak już powiedziałam, Twoje raporty wskazują, że infekcja nie jest już aktywna. Nie istnieje element startowy który mógłby ją odnawiać. Proces szyfrowania się już w pełni ukończył na Twoim komputerze. Pliki *.crypt to tylko zaszyfrowane dane i nie mogą zainfekować komputera. Można je zgrać na inny nośnik lub zostawić na bieżących dyskach.

 

 

3. Z tego co zrozumiałam, to już raczej nie mam tego wirusa, ale zostały po nim skutki (zakodowane pliki). Czy dobrze myślę? Jeśli nie ma dużo roboty przy tym, to proszę napisać jakie "kosmetyczne" zmiany mogę wprowadzić zanim zrobię format. Jeśli jednak te kosmetyczne zmiany nie mają dużego wpływu, to proszę się nie fatygować. Komputer chodzi tak jak przed atakiem, jedynie te pliki są zaszyfrowane. Mam nawet w planie napisanie do ludzi z Kaspersky'ego i załączenie im obu plików: zdrowego i zaszyfrowanego - może to pomoże w zrobieniu dekodera ;)

Wg raportów nie ma widocznych elementów tej infekcji, a zaszyfrowane pliki to są "tylko" skutki infekcji. Mówiłam, że w systemie pozostały "drobne odpadki adware", czyli zupełnie inny typ śmieci w ogóle nie powiązany z omawianą tu infekcją CryptXXX. Należy je usunąć. Zaznaczałam, że mogę się tym zająć, jeśli nie wybierzesz opcji formatowania C. Czyli mam podać te instrukcje?

 

 

4. Jak na przyszłość mogę się zabezpieczyć przed podobnym wirusem? Który antywirus warto mieć zainstalowany? Przyznam, że nie miałam żadnego aktywnego antywirusa. Jedynie od czasu do czasu robiłam skan Malwarebytes Anti-Malware. I sama też nie wiem w którym momencie złapałam ten wirus. Od dłuższego czasu szwankowała mi Mozilla Firefox, co chwilę wyskakiwało: "skrypt przestał odpowiadać". Odinstalowałam Firefoxa i zainstalowałam jeszcze raz, ale na dysku D i rzeczywiście to pomogło, przeglądarka chodziła szybciej, ale za to po paru godzinach, nie robiąc nawet nic na komputerze, ale mając włączonego YT i FB, wirus wtargnął i zaatakował cały komputer, przez pewien czas nawet porty USB nie działały, bo mysz przestała chodzić, ale później się to naprawiło ;) Być może ten wirus siedział w uśpieniu, a przy instalacji Firefoxa się obudził ;)

Infekcja CryptXXX jest ładowana via exploit Angler, tzn. odwiedzona została szkodliwa strona która wykonuje instrukcje detekcji luk w zainstalowanym oprogramowaniu i dzięki znalezieniu ich załadowanie malware na komputer. Ta szczególna infekcja używa "timera" (opóżnienia) między momentem infekcji z odwiedzonej strony a rozpoczęciem procesu szyfrowania, by utrudnić identyfikację witryny z której nastąpiła infekcja. Reinstalacja Firefox nie ma tu nic do rzeczy.

 

W kwestii zabezpieczeń, pomijając oczywiste aktualizacje aplikacji i Windows oraz wykonywanie kopii zapasowych cennych danych, pomocą służą dodatkowe programy z listy:

 

Darmowe:

 

Anti-Exploit, Anti-Ransomware / Zabezpieczenia przed infekcjami szyfrującymi dane

Inne monitory / Anti-exe, śledzenie zachowań, HIPS Komercyjne:

 

Anti-Exploit, Anti-Ransomware / Zabezpieczenia przed infekcjami szyfrującymi dane

Inne monitory / Anti-exe, śledzenie zachowań, HIPS
Odnośnik do komentarza

Wg raportów nie ma widocznych elementów tej infekcji, a zaszyfrowane pliki to są "tylko" skutki infekcji. Mówiłam, że w systemie pozostały "drobne odpadki adware", czyli zupełnie inny typ śmieci w ogóle nie powiązany z omawianą tu infekcją CryptXXX. Należy je usunąć. Zaznaczałam, że mogę się tym zająć, jeśli nie wybierzesz opcji formatowania C. Czyli mam podać te instrukcje?

 

Rozumiem. Ja będę niedługo robić format dysku C lub całego komputera, więc proszę  nie podawać instrukcji, bo w takim układzie, nie jest to

aż tak pilne. Myślałam, że te odpadki to wirus i znowu może się roznieść na pliki ;-)

 

W kwestii zabezpieczeń, pomijając oczywiste aktualizacje aplikacji i Windows oraz wykonywanie kopii zapasowych cennych danych, pomocą służą dodatkowe programy z listy:

Bardzo dziękuję za wskazówki co do bezpieczeństwa i listę. Teraz będę na pewno bardziej ostrożna i zainstaluję któryś z programów.  Mądry Polak po szkodzie ;)

Pozdrawiam serdecznie.

Odnośnik do komentarza

Drobna aktualizacja. Obecnie w narzędziu Trend Micro Ransomware File Decryptor jest możliwe częściowe odkodowanie określonych plików (z wyłączeniem archiwów i czysto tekstowych plików) nie większych niż 13MB. Oznacza to, że wynikowo uzyskujemy uszkodzony plik, który ewentualnie można obrabiać dalej jakimiś narzędziami do odzyskiwania / "regeneracji" danych. W praktyce oznacza to niestety raczej utratę danych.

 

Important Note about Decrypting CryptXXX V3

 

Due to the advanced encryption of this particular Crypto-Ransomware, only partial data decryption is currently possible on files affected by CryptXXX V3. After the partial data decryption, users may have to utilize a 3rd party corrupted file recovery tool (such as the open source program JPEGSnoop*) to try and recover the full file.

An example of this would be a photo or image file that is partially recovered to show parts of the image, but not the entire image. A user would then determine if the file is critical enough to utilize a 3rd party tool or seek assistance from an 3rd party professional file recovery service.

Original Photo (before CryptXXX V3 infection):

1114221-original-photo.png

Photo after partial data decryption:

1114221-decrypted-photo.png

Unfortunately, Trend Micro Technical Support will be extremely limited in any sort assistance that can be provided regarding 3rd party file recovery.

 

Trend Micro does not specifically endorse nor is affiliated with the JPEGSnoop project in any way and is just referencing it as an example of the type of recovery tool that a user may need.

 

 

Ponadto, pojawił się nowy wariant dodający rozszerzenie .cryp1 lub .crypz, również inna szata graficzna i przejęta tapeta: KLIK / KLIK.

Odnośnik do komentarza
  • 6 miesięcy temu...

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...