atasuke Opublikowano 2 Listopada 2017 Zgłoś Udostępnij Opublikowano 2 Listopada 2017 Potrzebuje pomocy z komputerem w którym większość plików została zaszyfrowana Vortex ransomware AES -256. Czy jest możliwość odszyfrowania tych plików. Przesyłam także skan programu FRST: FRST.txt Addition.txt Shortcut.txt Z tego co udało mi się ustalić straciłem wszystkie punkty przywracania systemu. Wiem że temat nie należy do łatwych ale głównie chodzi mi oto czy Istnieje choć cień nadziei na odkodowanie tych plików. Odnośnik do komentarza
Miszel03 Opublikowano 4 Listopada 2017 Zgłoś Udostępnij Opublikowano 4 Listopada 2017 Teoretycznie rozszerzenie .aes wskazuję, że to ransomware Vortex, ale pokuszę się jednak o analizę, która to potwierdzi. Wybierz zaszyfrowany plik lub notatkę ransomware i wyślij ją na serwer usługi ID Ransomware, momentalnie otrzymasz analizę - dostarcz ją w postaci screena. Kiedy dostane analizę powiem co robimy dalej i czy istnieje możliwość odzyskania plików. Odnośnik do komentarza
atasuke Opublikowano 4 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 4 Listopada 2017 Witam Zrobiłem screena z aplikacji "Id ransomeware " który jednak potwierdził Vortexa. Odnośnik do komentarza
Miszel03 Opublikowano 4 Listopada 2017 Zgłoś Udostępnij Opublikowano 4 Listopada 2017 To mamy jasność sytuacji. Najpierw zajmiemy się sprzątaniem systemu z resztek / notatek Ransomware, a na końcu zajmiemy się (o ile będzie to możliwe) deszyfracją. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Folder: C:\ProgramData\Keyboard FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X] Task: {396A36E8-A742-4F66-A200-F7C4937F7E03} - System32\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} => C:\ProgramData\cisFC86.exe C:\ProgramData\cisFC86.exe C:\Users\Dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TradeHub Aukcje sklepy.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom RansomNoteCleaner. Z opcji Select Ransomware(s) wybierz tylko pozycje Vortex. Do skanowania (opcja Search for Ransom Notes) ustaw cały dysk C:\ i D:\. Dostarcz wynikowy log. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Dziennik zdarzeń pokazuje niepokojące alerty dot. dysku, musimy je zweryfikować. Dostarcz raport z CrystalDiskInfo. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Diabelski Opublikowano 4 Listopada 2017 Zgłoś Udostępnij Opublikowano 4 Listopada 2017 (edytowane) Nie radzę usuwać notek. Załatali wszystkie błędy w tym ransomware już kilka miesięcy temu nie odzyskasz plików bez kupna klucza. Tutaj więcej w temacie miałem taki przypadek u klientki: https://www.bleepingcomputer.com/forums/t/642013/vortex-aes-ransomware-help-support-odzszyfruj-danetxt/ EDIT: Sprawdzałeś czy program napewno uruchomił się z prawami administratora i usunął pliki z shadow copy ? Edytowane 4 Listopada 2017 przez Miszel03 Pomoc bez uprawnień, ale zostawiam. //Miszel03 Odnośnik do komentarza
atasuke Opublikowano 4 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 4 Listopada 2017 1. Wykonane Log z FRST :Fixlog.txt2. Ransome Note Cleaner nic nie znalazł daje screena bo loga żadnego nie wyplułDaje screena na czym stanął i można go tylko zamknąć3 Log z MBAMmbam.txt4.Log z CrystalDiskcrystal.txt5. Log z FRST z Addition:FRST.txtAddition.txt Odnośnik do komentarza
Miszel03 Opublikowano 4 Listopada 2017 Zgłoś Udostępnij Opublikowano 4 Listopada 2017 Diabelski, zgodnie z zasadami działu pomocy udzielać mogą tylko moderatorzy działu. Post wyjątkowo nie zostanie skasowany. Nie radzę usuwać notek. To jest komponent infekcji, co prawda nieszkodliwy, ale infekcji. Ta notatka nie będzie potrzebna. Po pierwszy gdyby autor zdecydował się zapłacić okup to notatki dostępne są w Internecie (przestępcy nie podaj numeru konta, a jedynie kontakt), a po drugie nie ma kompletnie żadnej pewności, że pliki zostaną odkodowane. EDIT: Sprawdzałeś czy program napewno uruchomił się z prawami administratora i usunął pliki z shadow copy? Niestety, ale ten wariant kasuje kopie Shadow podczas procesu szyfracji. Stan dysku jest dobry, ale proszę go kontrolować co jakiś czas. Dziwne, że RansomNoteCleaner nie znalazł notatek, no cóż, te widoczne z poziomu logu skasuję przez skrypt. Gdybyś chciał jednak zachować sobie jedną to znajdzie się ona w C:\FRST\Quarantine tak samo jak log z szyfracji (C:\ProgramData\Keyboard). Rozszerzania wystarczy będzie zmienić z .vir na .txt 1. Zagrożenia wykryte przez Malwarebytes możesz dać do kasacji, ewentualnie RiskWare.Tool.CK możesz pominąć - jeśli z niego korzystasz (crack). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CreateRestorePoint: C:\ProgramData\Keyboard C:\Users\Dell\Downloads\!!$ O D Z Y S K A J P L I K I.txt C:\Users\Dell\!!$ O D Z Y S K A J P L I K I.txt C:\Users\Dell\Desktop\!!$ O D Z Y S K A J P L I K I.txt C:\Users\Dell\Documents\!!$ O D Z Y S K A J P L I K I.txt Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom CryptoSearch. W sekcji wyboru wariantu wybierz Vortex, a następnie kliknij Search Computer. Po zakończeniu wybierz Archive Files i przenieść pliki w dowolne miejsce (najlepiej na dysk zewnętrzny, np. pendrive). 4. Podsumuj obecny stan systemu. Odnośnik do komentarza
Diabelski Opublikowano 4 Listopada 2017 Zgłoś Udostępnij Opublikowano 4 Listopada 2017 Możesz mi wytłumaczyć czemu zawzięcie każesz mu najpierw usunąć te pliki txt z jedyną drogą do odzyskania danych w czym to pomoże? Po pierwsze w tym dokumecie TXT jest id komputera unikalne dla każdej infekcji po tym ID dopasowywane jest hasło z ich bazy danych. Bez tego ID nikt mu już nie pomoże, więc nie może użyć czyjejś notatki. Po drugie ten ransomware zaraził ostatnio wiele ludzi zapłaciliśmy i odzyskaliśmy dane i nie tylko my w internecie są inne opisy. https://www.elektroda.pl/rtvforum/topic3387447.html Udzielasz porad wogóle nie czytając czegoolwiek na temat zagrożenia gratuluję! Niestety, ale ten wariant kasuje kopie Shadow podczas procesu szyfracji. Tak ma taką funkcję wbudowaną w kodzie ale działa ona tylko, jeśli program został uruchomiony z prawami administatora wykorzystują do tego skrypt JAVASCRIPT/BAT i uruchamiają program z komendą -ExecutionPolicy Bypass Jedna ostatnio zarażali zupełnie inaczej https://zaufanatrzeciastrona.pl/post/uwaga-na-nowy-atak-na-prawnikow-wykorzystujacy-najnowsza-sztuczke-z-wordem/ Przez sztuczkę z wordem i dokument hta, jeden z plików hta nie uruchamiał programu z odpowiednimi uprawnieniami. Do tego usunięcie kopii działa z pewnym opóźnieniem, jeśli komputer został by zrestartowany zaraz po infekcji, to program uruchomi się ponownie i rozpocznie szyfrowanie ale już bez praw administratora i nie usunie kopii. Dlatego warto to zbadać w przypadku tego zagrożenia. Odnośnik do komentarza
atasuke Opublikowano 4 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 4 Listopada 2017 Miszel03: A możesz się wypowiedzieć na temat szans odzyskania plików po takim szyfrowaniu. Cudów się nie spodziewam ale może jakaś mała nadzieja pozostanie. Na razie wykonuje kopie tych plików. stan obecny Odnośnik do komentarza
Diabelski Opublikowano 4 Listopada 2017 Zgłoś Udostępnij Opublikowano 4 Listopada 2017 Miszel03: A możesz się wypowiedzieć na temat szans odzyskania plików po takim szyfrowaniu. Cudów się nie spodziewam ale może jakaś mała nadzieja pozostanie. Na razie wykonuje kopie tych plików. stan obecny Ten ransomware jest prosty jak budowa cepa, wysyła zapytanie do ich serwera po hasło. Dostaje ciąg znaków zwykle od 250 do 350 znaków. Następnie wysyła do ich serwera to co masz pliku TXT jako dane identyfikacyjne ID=xxxx IP= xxxx i Data=xxxx + hasło I zaczyna szyfrowanie. Możesz napisać do nich z prośbą o odszyfrowanie, 2 plików jeśli mogą je odszyfrować to znaczy że mają nadal dostęp do serwera z hasłami lub zanim został zablokowany, skopiowali co trzeba z baz danych na swój dysk. Na pewno nie płać w sytuacji gdyby nie mogli odszyfrować plików testowych bo to by znaczyło że zwyczajnie nie mają już dostępu do haseł. Odnośnik do komentarza
atasuke Opublikowano 4 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 4 Listopada 2017 Bardzo dziwne zjawisko wystąpiło po skanowaniu CryptoSearch z opcją na Vortex nie znalazł niczego. A moim zdaniem jeżeli sie nie mylę to powinien wszystkie pliki z roz *.aes zrobic ich kopie zapasową na dowolnym urządzeniu a on stwierdził że takich plików niema. Zamieszczam screena na potwierdzenie mojej uwagi: Stan systemu : Internet ok Prędkość działania systemu OK Na Dyskach pełno plików z ext *.aes Odnośnik do komentarza
Miszel03 Opublikowano 4 Listopada 2017 Zgłoś Udostępnij Opublikowano 4 Listopada 2017 Diabelski, jeden post skasowałem. Nie prowadzisz pomocy i nie masz do tego uprawnień - to jest moje ostatnie ostrzeżenie przed założeniem blokady na posty.Naprawdę zapłaciłbyś kilkaset złoty w ciemno? Przypominam Ci, że to są przestępcy i nie masz żadnej pewności, że to pieniądze rzeczywiście skłonią ich do deszyfracji. Płacąc przy każdej infekcji przestępcom kręcisz ich biznes! Zapytaj może najpierw użytkownika czy w ogóle jest skłonny tyle zapłacić w ciemno, zresztą czy ja kasuję jakieś dane dot. możliwości uiszczenia haraczu?! Zapoznaj się ze strukturą działania FRST i przeczytaj moje posty ze zrozumieniem.Dlaczego mam zostawiać w systemie elementy infekcji? Główne moje zadanie to wyizolować infekcję. Atasuke, muszę zgłosić problem z tymi narzędziami, ale najważniejsze, że sobie poradziłeś. Miszel03:A możesz się wypowiedzieć na temat szans odzyskania plików po takim szyfrowaniu. Cudów się nie spodziewam ale może jakaś mała nadzieja pozostanie. Na razie wykonuje kopie tych plików. stan obecny Próba łamania klucza jest praktycznie awykonalna. Szansa, na to, że ktoś stworzy dekoder jest, ale mała. Jutro spróbujemy kilku sztuczek, które być może coś wskórają. Odnośnik do komentarza
atasuke Opublikowano 5 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 5 Listopada 2017 Zrobiłem kopie zaszyfrowanych plików. Masz może jakiś pomysł na próbę odkodowania . Odnośnik do komentarza
Rucek Opublikowano 13 Grudnia 2017 Zgłoś Udostępnij Opublikowano 13 Grudnia 2017 Otwieram na prośbę autora. Odnośnik do komentarza
Miszel03 Opublikowano 14 Grudnia 2017 Zgłoś Udostępnij Opublikowano 14 Grudnia 2017 Masz może jakiś pomysł na próbę odkodowania. Wyślij zaszyfrowany plik na serwis usługi ID Ransomware i dostarcz wynik analizy (screen). Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się