Wirus szyfrujący RSA4096

[TomaszB]

Dzień dobry,

Kilka dni temu na komputerze mojej cioci, po jego uruchomieniu, pojawił się taki oto komunikat (w postaci obrazu bitmapy, tła pulpitu i informacji w IE):

 

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server

What do I do ?
So , there are two ways you can choose: wait for a _miracle_ and get _your_ PRICE DOUBLED! Or start obtaining *BITCOIN NOW! , and restore _YOUR_ _DATA_ easy way
If You have really valuable _DATA_, you better _NOT_ _WASTE_ _YOUR_ _TIME_, because there is _NO_ other way to get your files, except make a _PAYMENT_

Your personal ID: 7BCBC67E:483142A0:5180D698:AE314FA7    

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:

1 - http://cmzr4dz3begkpwa2.onion.to
2 - http://cmzr4dz3begkpwa2.onion.city

If for some reasons the addresses are not availablweropie, follow these steps:

1 - Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2 - Video instruction: https://www.youtube.com/watch?v=NQrUZdsw2hA
3 - After a successful installation, run the browser
4 - Type in the address bar: http://cmzr4dz3begkpwa2.onion
5 - Follow the instructions on the site

 

Komputer został wyłączony, na podane w komunikacie strony nie wchodzono.

Zrobiłem wymagane logi, jednakże dla bezpieczeństwa nie sprawdzałem czy wirus coś zaszyfrował - jak to ewentualnie sprawdzić?

 

Bardzo proszę o pomoc,

Pozdrawiam

TomaszB

Addition.txt FRST.txt GMER.txt Shortcut.txt

[pietrucha]

Cześć,
Jeśli faktycznie dane zostały zaszyfrowane to niestety nie ma na to rady i albo trzeba zapłacić albo zrezygnować z danych. Temat był poruszany na jednej z konferencji security i obecenie nie ma żadnego sposobu obrony przed atakami takiego typu. 

 

Pozdrawiam,

K.

[TomaszB]

Hmmmm.... to byłby klops.

Na razie poczekam cierpliwie na wytyczne co do dalszego postępowania.

 

Dzięki i pozdrawiam

TomaszB

[picasso]

Opis wskazuje, że w systemie pojawiła się infekcja szyfrująca dane Microsoft Decryptor (nowa wersja CryptXXX): KLIK, KLIK.

 

W raportach FRST brak oznak aktywnej infekcji (pewnie się już automatycznie usunęła), widać tylko notatki ransom dodane przez infekcję szyfrującą dane (ich widoczność oznacza, że jest "po ptakach", procesy szyfrujące się ukończyły):

 

2016-07-27 23:07 - 2016-07-27 23:07 - 03276854 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\README.bmp
2016-07-27 23:07 - 2016-07-27 23:07 - 00238187 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\README.html
2016-07-27 23:07 - 2016-07-27 23:07 - 00001659 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\README.txt
2016-07-27 22:59 - 2016-07-27 22:59 - 03276854 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\Dane aplikacji\README.bmp
2016-07-27 22:59 - 2016-07-27 22:59 - 00238187 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\Dane aplikacji\README.html
2016-07-27 22:59 - 2016-07-27 22:59 - 00001659 _____ C:\Documents and Settings\Michalina\Ustawienia lokalne\Dane aplikacji\README.txt
2016-07-27 22:45 - 2016-07-27 22:45 - 03276854 _____ C:\Documents and Settings\Michalina\Moje dokumenty\README.bmp
2016-07-27 22:45 - 2016-07-27 22:45 - 00238187 _____ C:\Documents and Settings\Michalina\Moje dokumenty\README.html
2016-07-27 22:45 - 2016-07-27 22:45 - 00001659 _____ C:\Documents and Settings\Michalina\Moje dokumenty\README.txt
2016-07-27 21:42 - 2016-07-27 21:42 - 03276854 _____ C:\Documents and Settings\Michalina\Dane aplikacji\README.bmp
2016-07-27 21:42 - 2016-07-27 21:42 - 00238187 _____ C:\Documents and Settings\Michalina\Dane aplikacji\README.html
2016-07-27 21:42 - 2016-07-27 21:42 - 00001659 _____ C:\Documents and Settings\Michalina\Dane aplikacji\README.txt

 

 

Ta infekcja nie zmienia rozszerzenia zaszyfrowanych plików, więc na pierwszy rzut oka nie da się ocenić czy i które dane podlegały szyfrowaniu. Ale skoro są notatki ransom, to sugeruje że dane są zaszyfrowane. Sprawdź obojętny plik graficzny czy da się otworzyć. Jeśli nie, dane są zaszyfrowane. Nie ma możliwości odkodowania.

 

Moja rola ewentualnie ograniczyłaby się tu do deinstalacji starych wersji programów (jedna z dróg infekcji szyfrujących dane) i usunięcia notatek ransom. To nie rozwiąże problemu zaszyfrowanych danych.

 

[TomaszB]

No to niezły bajzel.

Zdjęcia się nie otwierają.

Jedynie kilka zdjęć, które są w "koszu" można obejrzeć - ciekawe, że nie szyfruje plików w "koszu".

 

Czy warto zapłacić  za odszyfrowanie, czy są informacje na ten temat, czy to tylko naciąganie ??

 

Z czyszczeniem się na razie wstrzymajmy bo nie wiem jaka ma być przyszłość tego komputera. Ewentualnie poproszę o odpowiednie instrukcje.

 

Dziękuję i pozdrawiam

TomaszB

[Rucek]

Płacić nie warto. Nie ma gwarancji, że po zapłaceniu dostaniesz kod do odszyfrowania.

Tutaj jest chyba jedyny przypadek, gdzie ktoś się "dogadał" z hakerami, i dali mu kod do odblokowania plików, miał duże szczęście.

Raz na jakiś czas, zaszyfrowane pliki można odszyfrować - bo hakerzy udostępniają za darmo klucze do odszyfrowania, jakaś nadzieja jest, że w przyszłości to może nastąpić. Zgraj zaszyfrowane pliki na jakiś nośnik zewnętrzny i monitoruj temat raz na jakiś czas.

[TomaszB]

Dziękuję za info.

Tak właśnie myślałem, że nie ma sensu płacić.

Zrobię ja radzicie, zgram pliki ii poczekam.

Tylko gdzie to monitorować najlepiej ??

 

Pozdrawiam

TomaszB

[Rucek]

Ostatnio tutaj, w postach, Picasso pisała, że jest możliwość odszyfrowania plików. Myślę, że jeśli będzie taka możliwość to tutaj dostaniesz info. Powinno przyjść też na maila - jeśli np. ta wiadomość, którą napisałem - doszła też na maila.

[TomaszB]

OK, Bardzo dziękuję.

 

 

EDIT:

Być może informacje podane przez Picasso mogły by okazać się pomocne dla mnie, ale niestety nie mogę tego znaleźć - zapewne szukam złych haseł. Poproszę o jakąś wskazówkę.

[Rucek]

Jeśli Picasso miałaby coś istotnego do dodania w temacie - to na pewno by tutaj dopisała. Jak pisałem wyżej - nic się nie da zrobić.

Zgraj pliki, czekamy... może kiedyś pojawi się dekoder do tego. Jeśli tak, to pewnie dostaniesz w tym wątku odpowiedź, przyjdzie Ci też na maila - jeśli masz ustawione. Nic więcej się nie da zrobić na dzień dzisiejszy.

[picasso]

Cytat

Być może informacje podane przez Picasso mogły by okazać się pomocne dla mnie, ale niestety nie mogę tego znaleźć - zapewne szukam złych haseł. Poproszę o jakąś wskazówkę.

 

Nie ma żadnych nowych wieści w materii infekcji Microsoft Decryptor, z wyjątkiem że został rozpoznany jako CrypMic, czyli imitator CryptXXX a nie wariant CryptXXX: KLIK / KLIK.

 

Na chwilę obecną nie ma możliwości odkodowania inną metodą niż dekoder od przestępców. Kontakt z przestępcami nie jest polecany. Nie ma gwarancji, że otrzymasz odpowiedni dekoder lub w ogóle jakikolwiek. W jednym z wcześniejszych linków są nawet wypowiedzi poszkodowanych, że dostarczony dekoder nie zadziałał (błędy w dekoderze). To powtarzalny schemat przy infekcjach CrypMic / CryptXXX.

 

 

picasso napisał:

Moja rola ewentualnie ograniczyłaby się tu do deinstalacji starych wersji programów (jedna z dróg infekcji szyfrujących dane) i usunięcia notatek ransom. To nie rozwiąże problemu zaszyfrowanych danych.

 

Czy mam przejść do tych działań, czy decydujesz się na format dysku systemowego?

 

Edytowane 22 Stycznia 2020 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso