kayabart Opublikowano 28 Września 2016 Zgłoś Udostępnij Opublikowano 28 Września 2016 a sprawdzał ktoś może ten sposób?? hxxp://www.4-cybersecurity.com/pl/jak-usunac-unblockupc-ransomware/ Odnośnik do komentarza
picasso Opublikowano 28 Września 2016 Zgłoś Udostępnij Opublikowano 28 Września 2016 eric Nabrałam ponownie wątpliwości.... Otóż w tym temacie który linkowałam w ostatnich postach jest opisane podobne zjawisko, które sugerowałeś, tzn. cofnięcie stanu z kopii zapasowej do daty jakoby daleko sprzed infekcji, a mimo to infekcja szyfrująca zaatakowała ponownie lub "doszyfrowała" dane które wcześniej nie były zaszyfrowane. Tu nie jest wykluczone, że rzeczywista data infekcji była sfałszowana, tzn. infekcja była w systemie wcześniej niż się zorientowałeś (siedziała w uśpieniu) i odpaliła objawy dopiero określonego dnia. To by wyjaśniało dlaczego Przywracanie systemu nie miało skutków. Sugeruję zrobić format dysku C dla bezpieczeństwa... Cytat btw.- Rozumiem ,że a propos Unblockupc Ransomware forum będzie aktualizowało dane...?;)Pozostała mi tylko modlitwa... Tak, zawsze dostarczam informacje, gdy zmienia się stan rzeczy. kayabart Zasady działu: KLIK. Każdy ma mieć osobny temat. Poza tym, dostarcza się raporty na okoliczość weryfikacji czy infekcja jest nadal aktywna. Cytat a nie wiecie może, czy jak się zapłaci to odblokują pliki?? Kontakt z przestępcami nie jest polecany. Nie ma gwarancji, że otrzymasz sprawny dekoder lub że w ogóle go otrzymasz. Dla porównania niedawno były incydenty z infekcją szyfrującą CryptXXX - poszkodowani zapłacili i otrzymali niesprawny dekoder do innej wersji infekcji. Cytat a sprawdzał ktoś może ten sposób?? hxxp://www.4-cybersecurity.com/pl/jak-usunac-unblockupc-ransomware/ Link uczyniony nieaktywnym. To opis wątpliwej reputacji, którego jedyny cel to wmanipulować w instalację lewego skanera SpyHunter. Pomijając że to skaner od którego należy trzymać się z daleka, żaden skaner nie pomoże. Dla zakodowanych plików nie ma ratunku. Odnośnik do komentarza
eric Opublikowano 28 Września 2016 Autor Zgłoś Udostępnij Opublikowano 28 Września 2016 picasso Znalazłem w necie teraz taki przekaz-co myślisz o tym ...? "Witam wszystkich. I dziękuje za poświęcony czas:] Jestem twórcą w/w aplikacji. Wielki Szacunek dla m4jkel'a któremu chciało się przeanalizować kod mojego programu. Całość została napisana w języku Assembler (który uwielbiam) przy użyciu kompilatora Fasm. Poniżej opiszę w jaki sposób nastąpiła infekcja komputerów. Na życzenie jestem w stanie udostępnić źródło programu będące moją własnością. Infekcja nastąpiła podczas instalacji - NIE-oryginalnych programów, - NIE-oryginalnych gier lub - NIE-oryginalnych systemów operacyjnych więc użytkownik gdyby KUPIŁ oryginalny software to nigdy by nie miał problemów. Mój program z opóźnieniem czasowym podmienia boot sektor windowsa i zapisuje oryginalnego MBR w inne miejsce na dysku. W momencie wpisania odpowiedniego kodu oryginalny bootsector powraca. UWAGA dla użytkowników którzy zainfekowali się najnowszą wersją: INFEKCJA NASTĄPI 01 STYCZNIA 2014r. więc prosze pamiętać żeby nie wysyłać sms-ów i wprowadzić kod z końcówką '27' lub 'XP' np KarolGje27, KarolGjeXP KarolG27, KarolGXP (te kody są uniwersalne do każdej wersji mojego programu) kontakt do mnie: carlosdelag(malpa)wp.pl (proszę nie pisać gróźb ani obraźliwych słów bo i tak to oleję) Wielka prośba: NIE WYSYŁAJCIE SMS-ów, bo otrzymany kod nie odblokuję wam komputera (jest to wada usługi Premium SMS która nie chciała mi wygenerować kodów zakończonych tymi oto znakami). Komputer odblokuję się tylko gdy dwa ostatnie znaki to "27" (dla wersji WP A4792) lub "XP" (w wersji AP.HRM2). Pozdrawiam i proszę o zamknięcie tematu. Karol" ps.ja jestem w pracy i dopiero wieczorem będę mógł to zweryfikować... ?czy nie ma z czego się cieszyć? Odnośnik do komentarza
picasso Opublikowano 28 Września 2016 Zgłoś Udostępnij Opublikowano 28 Września 2016 Dane przesunięte do spoilera, by nie wprowadzać w błąd. Popatrz na datę posta i opis. To w ogóle nie ta infekcja. To co linkujesz to opis starej infekcji w MBR blokującej całkowicie dostęp do systemu (wyświetla się plansza z kodem do wpisania zamiast ekranu startu Windows). Jest masa infekcji szyfrujących, już chyba z kilkaset różnych wariantów. Nie można się odnosić do danych innych infekcji. U Ciebie był Unblockupc Ransomware. Podany przeze mnie na początku link do forum Bleeping to obecnie jedyny wiarygodny link. Odnośnik do komentarza
eric Opublikowano 28 Września 2016 Autor Zgłoś Udostępnij Opublikowano 28 Września 2016 łudzę się nadzieją stąd moje rozterki... Odnośnik do komentarza
picasso Opublikowano 28 Września 2016 Zgłoś Udostępnij Opublikowano 28 Września 2016 Tak, rozumiem, że to paskudny przypadek i chwytasz się wszystkiego, ale jedyny wiarygodny temat to ten na Bleeping (tam są prawdziwi eksperci od szyfratorów danych) i obecnie nie znajdziesz nigdzie indziej żadnego wiarygodnego opisu. Jedyne co możesz zrobić, to zachować zaszyfrowane dane i sprawdzać regularnie podany temat na forum Bleeping. Na razie jest wiadome, że: przypuszczalna bomba czasowa odpalona z opóźnieniem 23 września (rzeczywista data infekcji prawdopodobnie zupełnie inna, by zaciemnić prawdziwe źródło i czas infekcji), nie wiadomo w jaki sposób uruchamia się infekcja (plik einfo.exe w starcie którego notabene już u Ciebie nie było, to tylko wyświetlanie planszy z okupem na Pulpicie po starcie, poza tym infekcje szyfrujące dane samoczynnie się kasują po wykonaniu zadania), zastosowane szyfrowanie AES-128 jest nie do złamania. Jest poszukiwany dropper infekcji, by zanalizować budowę infekcji. Odnośnik do komentarza
eric Opublikowano 28 Września 2016 Autor Zgłoś Udostępnij Opublikowano 28 Września 2016 Jeśli cokolwiek mogło by pomóc również innym osobom to mógłbym wysłać listę odwiedzanych stron z tego feralnego 23.09...pytanie czy to ma sens? ps.Nie wiem czy to ma jakieś znaczenie ale tych notatek files encypted tym programem RansomNoteCleaner nie usunąłem-krzyczał,że odmowa dostępu... Odnośnik do komentarza
picasso Opublikowano 29 Września 2016 Zgłoś Udostępnij Opublikowano 29 Września 2016 Cytat Jeśli cokolwiek mogło by pomóc również innym osobom to mógłbym wysłać listę odwiedzanych stron z tego feralnego 23.09...pytanie czy to ma sens? Z opisów mi wynika, że prawdopodobnie 23 wrzesień to nie była data infekcji, w rozumieniu że infekcja nastąpiła dużo wcześniej i opóźniła objawy, by zamaskować źródło infekcji. Tak więc strony odwiedzone tego dnia przypuszczalnie nie są związane z problemem. Cytat Nie wiem czy to ma jakieś znaczenie ale tych notatek files encypted tym programem RansomNoteCleaner nie usunąłem-krzyczał,że odmowa dostępu... Narzędzie utworzyło log, dostarcz go. Odnośnik do komentarza
eric Opublikowano 29 Września 2016 Autor Zgłoś Udostępnij Opublikowano 29 Września 2016 poniżej zał. tylko nie mogę dodac tego właśnie bo to txt...?;( nie dałem rady zmienić tego z .log na .txt-coś mam chyba zablokowane a,że sie bardzo spieszę to wysłałem Ci na pw-za co przepraszam! Odnośnik do komentarza
picasso Opublikowano 29 Września 2016 Zgłoś Udostępnij Opublikowano 29 Września 2016 Cytat nie dałem rady zmienić tego z .log na .txt-coś mam chyba zablokowane a,że sie bardzo spieszę to wysłałem Ci na pw-za co przepraszam! Jaki widzisz błąd? Jeśli rzecz o dostarczonym logu, to on wykazuje że narzędzie wykasowało tylko pliki "Files encrypted.txt" od tej infekcji, nie ma uid.txt (może narzędzie tego po prostu nie kasuje?), a przy okazji to usunięte zostały pliki tekstowe które nie mają związku z tą infekcją. By dokasować te notki ransom: 1. Otwórz Notatnik i wklej w nim: attrib -h -s C:\uid.txt /s attrib -h -s "C:\Files encrypted.txt" /s del /q /s C:\uid.txt del /q /q "C:\Files encrypted.txt" pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako DEL.BAT Prawoklik na plik i "Uruchom jako administrator". 2. Po wykonaniu zadania dla dysku C należy zedytować powyższy BAT i po kolei podstawiać kolejne litery dysków: ==================== Dyski ================================ Drive c: (SSD-win8) (Fixed) (Total:123.57 GB) (Free:62.8 GB) NTFS Drive e: (samsung) (Fixed) (Total:259.03 GB) (Free:37.35 GB) NTFS Drive i: (WD2) (Fixed) (Total:811.33 GB) (Free:83.79 GB) NTFS Drive j: (WD.wim7.old) (Fixed) (Total:97.66 GB) (Free:62.91 GB) NTFS Drive k: (WD1) (Fixed) (Total:488.28 GB) (Free:11.03 GB) NTFS Drive o: (old.samsungXP) (Fixed) (Total:39.06 GB) (Free:3.56 GB) NTFS ==>[system z komponentami startowymi (pozyskano odczytując dysk)] Drive p: (SSD-sysXP) (Fixed) (Total:100 GB) (Free:75.94 GB) NTFS ==>[system z komponentami startowymi (pozyskano odczytując dysk)] Drive q: (maxtor.D) (Fixed) (Total:233.76 GB) (Free:35.18 GB) NTFS Odnośnik do komentarza
eric Opublikowano 30 Września 2016 Autor Zgłoś Udostępnij Opublikowano 30 Września 2016 nie mam mozliwości zmiany z .log na .txt-po prostu nie wiem gdzie to się zmienia albo w jaki sposób bo w tradycyjny nie idzie...;( ps.Zrobiłem obydwa kroki 1 i 2 i dalej mam na dyskach te files encypted...co nie jest jakoś uciążliwe... Odnośnik do komentarza
picasso Opublikowano 30 Września 2016 Zgłoś Udostępnij Opublikowano 30 Września 2016 nie mam mozliwości zmiany z .log na .txt-po prostu nie wiem gdzie to się zmienia albo w jaki sposób bo w tradycyjny nie idzie...;( W Opcjach folderów musisz odznaczyć Ukrywaj rozszerzenia znanych typów plików. W eksploratorze będziesz widzieć pełną nazwę, i wtedy normalna próba zmiany nazwy (zastąpienie .log przez .txt). Zrobiłem obydwa kroki 1 i 2 i dalej mam na dyskach te files encypted...co nie jest jakoś uciążliwe.. Przepraszam. Literówka mi się zaplątała w jednej komendzie, tu miał być parametr /s (rekursywne usuwanie z całego dysku): del /q /s "C:\Files encrypted.txt" Odnośnik do komentarza
eric Opublikowano 30 Września 2016 Autor Zgłoś Udostępnij Opublikowano 30 Września 2016 Udało się,wszystko poprawnie!!!Przynajmniej tego (files encrypted) nie będę widział!Dziękuję! Odnośnik do komentarza
picasso Opublikowano 1 Października 2016 Zgłoś Udostępnij Opublikowano 1 Października 2016 Wszystko zdaje się być zrobione. Temat więc zamykam. W przypadku podejrzanych objawów lub ujawnienia nowych konsekwencji tej infekcji poproś o otworzenie tematu. Jeśli pojawią się jakieś nowe informacje, oczywiście dostarczę. Na razie "ciemno wszędzie, głucho wszędzie". Odnośnik do komentarza
Rekomendowane odpowiedzi