Jarasek Opublikowano 10 Lutego 2018 Zgłoś Udostępnij Opublikowano 10 Lutego 2018 Witam. Rok temu złapałem wirusa Cerber, który szyfruje pliki. Wirusa usunąłem już dawno, ale plików nie chciałem kasować. Mam na nich zdjęcia i notatki, na których bardzo mi zależy. Miałem utworzone punkty przywracania, a wirus usunął mi je wszystkie. Czy ktoś ma sposób na pewne odszyfrowanie tych plików? Oczywiście, płacić hakerom nie mam zamiaru. Odnośnik do komentarza
Miszel03 Opublikowano 10 Lutego 2018 Zgłoś Udostępnij Opublikowano 10 Lutego 2018 Ransomware Cerber ma kilka wariantów i trzeba wiedzieć, który to dokładnie, by określić czy istnieje ratunek dla danych. W celu identyfikacji wariantu proszę wysłać zaszyfrowany plik do analizy w usłudze ID Ransomware i dostarczyć jej wynik (w postaci screen'a). P.S: Ten dział wymaga dostarczenia raportów FRST. Jeśli jednak nie oczekujesz analizy raportów - poinformuj o tym. Odnośnik do komentarza
Jarasek Opublikowano 10 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2018 Witaj Miszel03. Czy chodzi o tego screen'a: Odnośnik do komentarza
Miszel03 Opublikowano 11 Lutego 2018 Zgłoś Udostępnij Opublikowano 11 Lutego 2018 Tak, o to chodziło, ale wynik analizy trochę mnie nie satysfakcjonuję. Rozszerzenie .cerber wskazuję na wariant V1, aczkolwiek ważna jest również nazwa zapisanego pliku. Jeśli schemat zapisu zaszyfrowanych plików jest następujący: {10 losowych znaków}.cerber to istnieje szansa na deszyfracje za pomocą Trend Micro Ransomware File Decryptor. Infekcja ransomware Xorist z tego co pamiętam tworzy plik w taki sposób: zachowana nazwa oryginalnego pliku.cerber i to też jest do odkodowania za pomocą Emsisoft Decrypter for Xorist i nie wykluczone, że poradzi sobie również Kaspersky XoristDecryptor. Gdy nic nie zadziała to proszę o pokazanie nazw zaszyfrowanych danych, bym mógł powiedzieć coś więcej. Odnośnik do komentarza
Jarasek Opublikowano 15 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2018 Witaj Miszel03. Tak, jak napisałeś, schemat zapisu zaszyfrowanych plików liczy 10 losowych znaków. Próbowałem deszyfrować za pomocą Trend Micro Ransomware File Decryptor. Zaczął skanować zaszyfrowany plik, ale po pół godzinie zatrzymałem, bo nie zdołał odszyfrować. Podaję screen z przykładowymi nazwami zaszyfrowanych danych: Odnośnik do komentarza
Miszel03 Opublikowano 16 Lutego 2018 Zgłoś Udostępnij Opublikowano 16 Lutego 2018 Schemat zdecydowanie wygląda na Cerber w wersji pierwszej (V1). Próbowałem deszyfrować za pomocą Trend Micro Ransomware File Decryptor. Zaczął skanować zaszyfrowany plik, ale po pół godzinie zatrzymałem, bo nie zdołał odszyfrować. Zapomniałem, że limitacja tego dekodera jest następująca: CERBER decryption must be executed on the infected machine itself (as opposed to another machine) since the tool needs to try and locate the first infected file for a critical decryption calculation. Oznacza to, że dekoder zadziała tylko na zainfekowanej maszynie, gdyż wymagane są ku temu dane, ale: Due to the method of decryption for CERBER, the tool may take several hours (average is 4) to complete decryption on a standard Intel i5 dual-core machine. In addition, the encryption logic for CERBER also is built in such a way that the more cores a CPU has, the lower percentage chance of success for the decryption because of its complexity. ...jeśli spełniasz w/w normy techniczne to niewykluczone, że jeśli pozwolisz narzędziu działać kilka godzin (ok. 4h) to być może deszyfracja się powiedzie. Odnośnik do komentarza
Jarasek Opublikowano 20 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2018 Czyli, jak mam zdecydowanie słabszy procesor - Pentium Dual-Core T4300 to nic z tego nie będzie? Czy masz jeszcze inny pomysł? Odnośnik do komentarza
Miszel03 Opublikowano 20 Lutego 2018 Zgłoś Udostępnij Opublikowano 20 Lutego 2018 Sugeruję po prostu czekać w nadziei, że kiedyś pojawi się dekoder, choć szanse na to są naprawdę nikłe. Zapytam jeszcze picasso, ale myślę, że jej odpowiedź pokryję się z moją. Odnośnik do komentarza
Jarasek Opublikowano 20 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2018 A jakiego antywirusa, który skutecznie chroniłby przed wirusami szyfrującymi pliki poleciłbyś mi? Tego Cerbera bardzo się obawiam, okazał się bardzo groźnym wirusem. W czasie gdy go złapałem (rok temu) korzystałem z Avasta. Może jego najnowsza wersja chroni skutecznie przed tego typu wirusami? Odnośnik do komentarza
Miszel03 Opublikowano 20 Lutego 2018 Zgłoś Udostępnij Opublikowano 20 Lutego 2018 Cerber to tylko jeden z całej puli, a przecież nieprzerwanie powstają nowe. Infekcje szyfrujące są ostatnio bardzo modne wśród cyberprzestępców, gdyż przynoszą zyski (i to nie małe!). Proszę skorzystać z naszego autorskiego zestawienia aplikacji zabezpieczających. Jeśli pojawią się wątpliwości to sugeruję założyć temat w dziale Oprogramowanie zabezpieczające. Najlepszą ochroną przeciwko oprogramowaniu typu Ransomware jest wykonywanie regularnych kopii zapasowych danych. Oprócz tego osobiście polecam rozwiązania Kaspersky (w tym wersję Free). Odnośnik do komentarza
Jarasek Opublikowano 20 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2018 Będę czekał na lepsze czasy z tymi zaszyfrowanymi plikami. Jesteś przekonany, że np. ten nieszczęsny Cerber nie usunie kopii zapasowych danych? U mnie usunął wszystkie punkty przywracania. Odnośnik do komentarza
Miszel03 Opublikowano 20 Lutego 2018 Zgłoś Udostępnij Opublikowano 20 Lutego 2018 Zaszyfruje. Ale ja mówię o kopiach zapasowych przetrzymywanych poza systemem. Odnośnik do komentarza
Jarasek Opublikowano 20 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2018 Racja, wprawdzie trochę kłopotliwe, bo nie zawsze się chce albo nie pamięta - ale najskuteczniejsze. Tak będę musiał robić. W każdym razie, dzięki Miszel03 i pozdrawiam. Odnośnik do komentarza
Rucek Opublikowano 20 Lutego 2018 Zgłoś Udostępnij Opublikowano 20 Lutego 2018 (edytowane) Jeszcze jedna ważna rzecz - pamiętaj, że to użytkownik jest zawsze najsłabszym punktem systemu zabezpieczeń. Patrz w co klikasz, nie instaluj piratów z crackami, nie klikaj w dziwne linki i wiadomości na np. facebooku, nie wchodź na mało znane strony www, nie zapuszczaj się za głęboko w internet bez świeżych kopii zapasowych i na głównym komputerze, jak czegoś musisz poszukać itp. - warto mieć do tego jakiś stary komputer za grosze, albo możesz też szukać na telefonie/tablecie - tylko uwaga - telefon też łatwo jest zainfekować, więc nie polecam np. robienia przelewów przez telefon, który ma służyć do "szperania w internecie" - z telefonem jest taki plus, że szybciej można przywrócić na nim ustawienia fabryczne, niż na komputerze. No i tak jak Miszel powiedział - pendrive, dysk zewnętrzny i regularne backupy tego co dla Ciebie ważne - lepszego sposobu nie ma (po zrobieniu backupu nośnik odłączasz i śpisz spokojnie). Edytowane 21 Lutego 2018 przez Rucek Odnośnik do komentarza
Jarasek Opublikowano 20 Lutego 2018 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2018 (edytowane) Dzięki Rucek i pozdrawiam. Edytowane 20 Lutego 2018 przez Miszel03 Zamykam. W przypadku chęci ponownego otwarcia proszę o kontakt z zespołem moderacyjnym. //Miszel03 Odnośnik do komentarza
Rekomendowane odpowiedzi