Jak nejlépe odstranit ransomware (šifrovací virus) z infikovaného PC?
Po úspěšném dešifrování PC napadeného ransomware a zazálohování rozšifrovaných dat bych rád vyčistil PC od veškerých zbytků viru, nejlépe nějakým bootable antivirem. Co kromě Kaspersky Rescue Disk by stálo za to vyzkoušet?
Mně napadá kontrola pomocí Proces Explorer, Autoruns.
Jak se podařilo ty data rozšifrovat? (Já jsem obnovoval data ze zálohy.)
Nejjednodussi cestou je pomoci ShadowCopy (pokud jsi nevypnul body obnoveni) a pokud jsi nenarazil na ransomware, ktery maze body obnoveni (vypnute UAC nebo uzivatel, ktery odklikne cokoliv)
Body obnovení jsem ani nekontroloval, novější ransomviry jej hned mažou a je to na PC s Windows XP Home. Raději bych se na nějaké body obnovení nespoléhal, pokud tam vůbec ještě nějaké jsou a pustil na to nějaký vhodný program nabootovaný z CD.
jak může vir mazat body obnovy, když nikdo příčetný nepracuje pod admin účtem? Aha?
Byl jsem nepříčetný a pracoval jsem pod admin účtem.
Tak to se už nedivím tomu přívalu tvých podivných problémů. Samoadmin je vždycky průser.
Tipoval bych, že 90% domácích uživatelů a OSVČ jsou samoadmini. Co teď s tím? Zastřelit nebo pod pohrůžkou vězení zakázat přístup k vlastním PC? Nebo jim neradit, ale stále dokazovat, jací jsou blbci? Jaký smysl má vlastně taková poradna, kde admin neporadí, jenom tazateli vynadá, že vše dělá blbě.
PS: Asi až tak blbě jsem si nevedl, když jsem dokázal rozšifrovat PC zašifrovaný ransomvirem, co? Kolik zdejších expertů by to dokázalo? Já vím, oni by se do téhle situace ani nedostali, protože dodržují určité bezpečnostní zásady a pravidelně zálohuji, ale každý se tomu nějak musel naučit a lepší je k tomu přijít později než vůbec. A pokud se to povede bez ztráty cenných dat, tak je to úplně nejlepší.
Větu "nepracujte pod admin účtem, pokud to není nezbytně nutné" za radu nepovažuješ?
Ani moc ne, protože taková "rada" většinou tazateli s nějakým problémem moc nepomůže, respektive bych to bral jako doporučení pro příště, ale až po vyřešení primárního dotazu.
Mimochodem, stále jsem nepochopil, jak změna účtu na omezený dokáže ochránit PC třeba před ransomwarem? Vždyť přece pokud mohu pracovat s nějakými soubory jako uživatel s omezenými právy, tak s ním může pracovat i virus. Nebo se omezením práv účtu zabrání nainstalování samotného viru?
Pokud pracuje s omezeným účtem, tak mu nehrozí, že by mu ten ransomware změnil nastavení bodů obnovy, stínových kopií nebo smazal zálohy, které má ten uživatel pouze pro čtení. Čímž se případná obnova velmi zjednodušuje.
A v některých případech může samozřejmě zabránit i spuštění samotného viru, pokud ten vyžaduje pro svou činnost administrátorská práva.
Jenže omezený účet se měl použít buďto ještě před napadením nebo až po úspěšném/neúspěšném vyřešení problému s infikovaným PC. Psát radu na konkrétní situaci, jak to mělo být a co se mělo dělat předtím je dost irelevantní. Jinak stínové kopie prý na Windows XP nejsou a pracovní soubory těžko budou jenom pro čtení. Pokud omezený účet nezabrání spuštění samotného viru, tak je celá šaráda s omezeným účtem celkem kontraproduktivní.
Kdyby byly zálohy, bylo by všechno mnohem jednodušší, ale to už jsme zase u kdyby. Samozřejmě, teď již mám záloh plný tucet (diskovou i souborovou zálohu infikovaného PC přes Acronis i souborovou přes Dolphin, to samé po odstránění vadného sektoru přes Seatools a CHKDSK, teď dělám to samé hned po dešifrování PC a ještě jedno repete po odvirování PC. Až pak budu řešit, které zálohy smazat a které pravidelně obnovovat. Holt opařený fouká i na studenou vodu!
asi to už konečně začínáš chápat. Kvalitně řešené ICT je proaktivní, nikoli reaktivní.
Já to řeším takto:
1. Všem svým zákazníkům nastavím omezený účet, nastavím práva aby mohli fungovat, vysvětlím princip funkce a efektivní ovládání počítače.
2. Pokud se jim vyskytne problém na takto nastaveném PC, řeším problémy v rámci záručního řízení a/nebo podpory zdarma - je toho tak málo, že to ani nemá smysl řešit fakturací (obvykle se jedná o instalaci méně kvalitních SW, které ani v roce 2016 neumí správně použít Windowsovskou adresářovou/registry logiku; naštěstí je takových aplikací už naprosté minimum) . Ti, co si na to zvykli, už chodí rovnou za mnou a chtějí nastavit stejně i ostatní PC, protože zjistili, že jim vše funguje, že mají rámcově zabezpečený počítač a případné problémy jdou řešit velmi rychle a efektivně. Podotýkám, že drtivá většina takových PC není nikdy reinstalována, není pro to totiž důvod (pokud neumře např. HDD/SSD).
3. Ti, co si říct nedali, popř. mají někde poblíž tzv. "sebevědomé samoadminy", si počítač dříve či později rozeserou pomocí virů, cleanerů, instalací nelegálního SW apod., tak těm samozřejmě účtuju běžnou taxu za opravy PC. Nejlepší je pak diskuse s takovým samoadminem, používá úplně stejně dementní argumenty jako ty, jege.
Čiší z nich přebujelé seběvědomí a naprostý nedostatek základních znalostí administrace Windows.
A co se týká tvé otázky na použití dešifrovacího toolu: spustit aplikaci umí každý dement.
Ale zadarmo ani ránu, co? Jenom popichování a obecné fráze, jak to mělo správně být, které tazateli moc nepomohou, že? Dávno jsem podezříval, že tohle bude ten pravý důvod tvého chování. Prostě zdarma poradit nechceš, ale zase něco napsat musíš, aby aspoň část tazatelů poptala tvé placené služby.
Neříkám, že na placených službách je něco špatného, ale takové polovičaté (ne)rady v bezplatné části mi moc košér nepřijdou. Buďto chci poradit a poradím zdarma nebo přímo napíšu, že mohu poradit, ale budu chtít za to zaplatit, popřípadě že poradím zdarma a pokud to bude nedostatečné, tak provedu servisní zásah osobně, ale budu jej chtít zaplatit.
Ale ne každý dement ji umí získat zdarma!
Promiň, nehodlám opakovat věci, které už tu zazněly. Na to nemám čas, ani chuť. Přečti si články, pokud nebudeš něčemu rozumět, buď na to přijdeš vlastním bádáním (to e preferované, třeba se něco i naučíš), nebo se prostě KONKRÉTNĚ zeptáš. Vodit za ručičku nikoho nehodlám!
Dešifrovací nástroje pro některé mutace kryptovirů jsou volně ke stažení. Třeba jsi měl jen štěstí.
To jsem teda měl, ale hlavně proto, že mě napadlo, co by mohlo na vyděrače fungovat a donutilo je snížit cenu na přijatelnou úroveň. Že to nakonec poslali úplně zdarma byl bonus navíc.
ako sa da normalne fungovat na svojom vlastnom pc ako ne-admin a ako sa da funguvat so zapnutymi UAC vyskakujucimi oknami ?
vazne sa pytam. vzdy som maval iba adminovske ucty a tak mi to aj pride logicke.
pouzivam aj 'kradeny' soft a aj hocico. nikdy som nemal ransomware ani taku velku zavadu rozesrateho pc aby som musel robit uplnu generalku. a ani zalohu nicoho nemam a nikdy som nemal. nic sa mi za tie roky nestalo. a ano som pre vas drbnuty user - klikac.
tak ako mi vysvetlite ze mi vsetko funguje a ze nemavam zasadne problemy s pc ?
za tie roky som sa naucil co mozem cakat od windows 7, ako bezpecne pouzivat cracky a pod
jedine co mozem mat v pc od zaciatku a teda aj vy vsetci lebo antiviry su na to kratke - je RAT malware (remote access neviem co)
ze jeho tvorca monitoruje vas pc, odchytava traffic hesla, vie si naklikat hocico akoby pouzival teamviewer. to je dneska sa malware nezameriava na nicenie ale na ziskavanie informacii je este horsie. a je uplne jedno ci mas admin user alebo nie.
ked je pouzity zero-day exploit znamy uz roky urcite na dark netovych forach hackerskych, tak ti neadmin ucet aj tak bude nahovno.
keby som presiel na windows 10, musel by som sa vsetko ucit odznova a to neplanujem
Se zapnutým UAC se dá fungovat úplně normálně. Ve firmě jsou všichni uživatelé s právy USER a nikdo si nestěžuje, že by mu někde něco vyskakovalo. A já si zase nestěžuju, že bych neustále řešil rozdrbané počítače. Pokud něco řeším, tak jsou to problémy s HW - něco odejde apod.
UAC nevypínám a dá se fungovat i s ADMIN účtem, pokud víš, co děláš a neodklepáváš bez čtení a přemýšlení každé okno, které na tebe vyskočí. Vyskočené okno = přístup programu o vyšší oprávnění. Z nějakého důvodu to okno vyskočí a ty bys měl vědět, proč vyskočilo.
A dokáže zapnutý UAC zabránit zašifrování uživatelských dat ransomvirem? Nějak to stále nemohu pochopit, vždyť přece pokud jsou data přístupna uživateli, jsou přístupna i pro virus.
Také všude čtu, že plnohodnotný UAC je přístupný až od Windows Vista a pod Windows XP je to jenom nějaký paskvil, který spíše komplikuje uživateli život než jej chrání: https://cs.wikipedia.org/wiki/User_Account_Control
Ne. Ale zapnuty UAC zabrani, aby ransomware smazal body obnovy a provedl další akce, na které nemá práva - třeba zašifroval dokumenty v jiných uživatelských profilech.
Navíc, pokud je aspoň trošku inteligentní, tak ti UAC dialog neukáže, protože by se tím prozradil.
A díky tomu, že ti nesmaže body obnovy a tím stínovou kopii, tak si dokumenty jsi schopný obnovit sám.
A ty aplikace, o kterých píšeš, byly vytvořeny bez ohledu na specifikace operačního systému, na kterém mají běžet. Takže už je měli autorovi omlátit o hlavu už před spoustou let.
Na druhou stranu, když vidím dotazy, týkající se programování, tak se nedivím, že takové aplikace existují a vznikají další a další
Tak v mém případě by UAC nepomohlo, protože Windows XP Home stínové kopie nemá. Se špatně napsanými programy uživatel moc nesvede a často není možné je nepoužívat. Vím, že před časem jsem tak narazil u Pohody, která při standardní instalaci nechtěla fungovat u účtu zaměstnance s omezeným přístupem.
Také to neřeší problém, kdy User1 potřebuje mít přístupné uživatelská data Usera2, ale ne opačně. Teda možná to nějak řešit jde, ale není to triviální a pokud User1 nemá čas a chuť se v tom moc hrabat, tak si jednoduše povolí administrátorská práva a problém je vyřešen. Ono s těmi právy to není tak jednoduché, stačí na něco zapomenout a odjet do zahraničí a hned na druhý den zaměstnanec volá, že mu něco nefunguje, protože k tomu nemá přístup. Pokud se to netestuje dlouhodobě, tak člověk nemá šanci předvídat všechny možné situace.
Jak nad tím spekuluji, tak se pořád nemohu dobrat ke kloudnému řešení u Windows XP. Omezený účet mě výrazně omezí a přitom nezabrání nakažení virem a zašifrování důležitých dat, admin účet mě neomezí, ale také viru poskytne plná práva k systému.
Problem s pristupem pro vice uzivatelu se resi pomoci verejnych (public) adresaru.
Profily All user, verejny (public)...co se da tam, je pristupne pro vsechny.
To by asi vyřešilo Pohodu, ale neřeší to problém s tím, že chci, aby USER1 měl možnost číst data uživatele USER2, ale USER2 nemohl číst data USER1. Prostě já potřebuji přístup k datům zaměstnance, ale nechci, aby on měl přístup k mým datům.
Jedině snad jeho data přesunout do ALL USER ...
tys nedokázal nic.
nezjistil jsi dešifrovací klíč, nenapsal sis dekódovací utilitu, všechno jsi dostal hotové.
jak jsi psal, i postup spuštění ti musel dát někdo jiný.
i po zjištění, že máš pc na jednom místě napadený, sis dokázal zavirovat další.
fak bych byl rád do budoucna ušetřen tvých velkolepých komentářů o tvé genialitě.
Jsem zvědavý, kolik bys toho se svou dekódovací utilitou dešifroval ty a jak bys zjistil dešifrovací klíč u současných ransomviru! To se to kasá na Internetu, když o nic nejde, co?
Je smutné, že tady mi to nikdo poradit nedokázal, (skoro) každý se zmohl jenom na posmívání a nadávky, přitom řešení bylo úplně triviální: http://pc.poradna.net/q/view/1577947-bezpecne-spus teni-desifrovaciho-software
A tohle tvrzení sis vycucal z prstu? Kde jsem psal, že mám zavirovaných víc PC? Měl jsem ransomvir na jednom jediném PC, a i z toho jsem dokázal úspěšně zachránit data.
Přímo přes dešifrovací program a klíč od původců viru, viz.: http://pc.poradna.net/q/view/1577947-bezpecne-spus teni-desifrovaciho-software
Aha. A mohu se zeptat kolik za to chtěli?
1.000 EUR v bitcoinech.
Nějaké porovnání bootable antiviru jsem našel na http://www.chip.cz/soubory/dokumenty/09-13-070-tes t-bootantiviru.pdf.
A co nějaké specializované programy, třeba z http://www.4removal-guide.com/cz/jak-odstranit-inf ocryptedfiles-biz-files-virus/? Neví někdo náhodou, nakolik je tato stránka bezpečná?