Dešifrování souborů .vvew po napadení počítače virem/malwarem
Dobrý den.
Naneštěstí mi dnes někdo hacnkul PC, respektive zkrátka ani nevím jak, neboť jsem žádné programy neinstaloval ani nestahoval ani nic podobného, mi dneska nějaký de*il, kterého to očividně hodně baví, zašifroval virem/malarem většin souborů, a to hlavně JPG, případně i .exe soubory a zkrátka jakékoliv soubory dále typu .pdf, .doc apod, kdy z původních souborů .jpg vzniklo .jpg.vvew, z .pdf vzniklo .pdf.vvew apod.
Byl to docela humusácký a velmi odolný virus, vůbec se mi nedařilo jej z PC odstranit, a to ani pomocí těch nejúčinnějších metod. Nakonec jsem pomocí bodu obnovy a odstranění škodlivých spouštěcích .exe souborů a aplikací virus odstranil. Virus mi způsobovat samovolné spouštění mnoha dalších naprogramovaných malwarů, procesor vytěžoval na 100 %, dokonce nešlo použít jakékoliv účinné softwary pro jejich zneškodnění.
Nakonec se mi viry/malare podařilo je z PC odstranit.
Ovšem, bohužel, i po bodu obnovení zůstaly dokumenty a soubory zašifrovány a co jsem našel na internetu, tak poměrně šikovně.
Zkoušel jsem dle videií na youtube, která jsou dle mě stejně neúčinná jako rady a řešení, vše dešifrovat. Neúspěšně. Nastavení v registrech dle videí nezabralo (mnohdy stejně ve videu měl dotyčný zcela jiné soubory a registry, než já, takže se postup stejně neshodoval).
Dle stránky https://virus-removal-guide.net/cs/73473-vvew-ransomware/, jsem si stáhnul i případný Emsisoft Decryptor for STOP Djvu ale nic se neděje, respektive žádný úspěch, napsalo to ERROR.
Navíc jsem ještě dal na soubory zašifrované .vvew kliknul, aby se otevírala tato přípona např. vždy ve Microsoft Office 2010 Picture Manager, takže se teď všechny soubory zašifrované s .vvew jeví jako obrázkové (bez ohledu na původní příponu), takže ikony se změnily na ikony Picture Manager, ale samozřejmě ani .jpg.vvew nelze v picture manager otevřít, stále jsou prostě zašifrované.
Pomůže mi, prosím, někdo, jak úspěšně dešifrovat ony soubory, případně jakou cestu použít (klidně i přes případné nastavení registrů, jako tomu je na mnoha videích na youtube - ale jak jsem psal, mě se to dle návodu nepodařilo, navíc ne úplně všemu jsem tam rozuměl.
Přikládám i ukázku, jak vypadají soubory po zašifrování ([i].jpg -> .jpg.vvew; .pdf -> .pdf.vvew[/i] atd...)
Děkuji Vám moc.
Jediná spolehlivá cesta je obnovení že zálohy.
Tady píše, že není možné bez znalosti privátního klíče dešifrovat tento virus. Ten privátní klíč bys musel mít, musel by ti ho nejspíš dát ten, kdo se ti naboural do PC.
Taky myslím, že jediná účinná obnova je ze zálohy a to co jsi neměl zálohováno, nejspíš neobnovíš.
Zamysli se nad tím, jak se ti to tam dostalo, ať se ti to nestane znovu.
Podľa toho obrázku o neúspešnom dešifrovaní neprišlo ani k pokusu o dešifrovanie. Píše ti to, že cesta k súboru nesmie byť dlhšia ako 248, resp. 260 znakov. Takže treba zistiť prečo je taká dlhá.
Na skúšku si priamo na C-čku vytvor nejaký adresár, skopíruj don zopár zašifrovaných súborov a vyskúšaj ich dešifrovať tam.
Ach jo, ne, nikdo se na tebe nezaměřil, ty jsi malware nainstaloval sám a radostně. Nic bych nedal za to, že to tam furt máš a nic bych nedal za to, že máš ještě Windows 7 a pracuješ uživatelsky s maximálními právy k systému. Takže shrnu to, co ti již poradili:
1. Přeinstalovat operační systém a potom aplikační software. Původní systém lze považovat za kompromitovaný a tím nebezpečný.
2. Řádně systém nastavit, včetně účtů.
3. Obnovit data ze zálohy.
Ne, nic jsem neinstaloval, nestahoval a navíc mám antivirus (ano, samozřejmě, ten zákeřnější malware a viry neodhalí)! Ale nepřesvědčujte mě o něčem, co vím, že bylo jinak. Nic špatného jsem nenainstaloval, nestahoval a NEBO SI TOHO NEJSEM VĚDOM - tedy mohlo to být v rámci e-mailové přílohy, v rámci facebooku a podobně, neboť primárně mi někdo napadl Facebook a odtud se nejspíše dostal nějak do mého počítače!
A co myslíte tím i cituji: „Pracuješ uživatelsky s maximálními právy k systému“? Že vlastním nelegální software? To rozhodně ne, mám legální software, aktivovaný, zaplacený na mém druhém počítači zásadně vše jen zaplaceno, na prvním mi momentálně nefunguje systém, pokud narážíte na to (v rámci nedávno řešeného problému).
1. Přeinstalování systému mi absolutně nepomůže v dešifrování a obnovení dat (navíc virus a malware jsem už dávno odstranil z počítače)
2. ...
3. Obnovit data ze zálohy? Myšleno jak? Já měl disk se zálohou k PC právě připojen, neboť jsem s ním pracoval a ona data jsem na něj během dvou dnů přesouval!
A ze zálohy myslíte jakože jak? MOJE DATA MAJÍ KOMPLETNĚ VELIKOST TŘÍ 3TB DISKŮ - TO ZNAMENÁ, ŽE MÁM NĚKDE ZÁLOHOVAT VŠECH 9TB JEŠTĚ NĚKDE JINDE? Poměrně nereálné. Navíc na jednom disku byla právě ona záloha všech dat, tento disk byl právě ale k PC také připojen, takže i zálohovaná data byla samozřejmě rovněž dešifrována!!!! O jaké záloze nebo radě „obnovit data ze zálohy“ tedy vlastně mluvíme?
Děkuji moc!
Ten tvůj poslední odstavec je jedna velká výmluva.
I kdyby tvoje data měly velikost deseti 3TB disků, otázka zůstává stále stejná - jsou ta data důležitá? Pokud ano, musíš zajistit jejich zálohu (jakýmkoliv způsobem). Pokud ne, tak pak nebreč.
Že jsi měl připojený zrovna zálohovací disk, smůla. Ale záloha nemá být jen na jednom místě - disku. To snad víš, ne?
Umíš si představit, že bys dělal ajťáka v nějaké firmě, ransomware by vám zašifroval data a ty bys vysvětloval šéfovi: "Víte, my nemáme zálohu, protože těch dat máme hodně".
Souhlasím, ale zkrátka už se stalo...
Ale určitě lze data nějak rozšifrovat zpět. Na internetu jsem četl, že to lze podniknout nějakými kroky, které budou možná složitější a na delší dobu (tzn. přenastavení registrů, různých nastavení v PC, kterým již nerozumím), a data lze obnovit dle mě určitě a klidně si za to nějakému POČÍTAČOVÉMU GURU, který těmto nastavením registrů apod. rozumí!
Určitě nemohou být data jen tak zničena, bude se jednat jen o nějaký složitější algoritmus šifrování. Když jej šlo zašifrovat, musí jít i odšifrovat. Co jsem se díval na internetu na rady a videa, jak to lidé dešifrovali, tak jim to šlo. Pomocí přenastavení v registrech a různými nastaveními, případně pomocí softwarů, ale do toho se pouštět nehodlám, neboť jsem zkoušel a některé kroky mi neseděly dle rady na internetu, takže by to nemělo význam, ač bych to rád dokázal.
Jak říkám, určitě data nejsou zničena, jsou jen šikovně zašifrována a na internetu se to ve videu podařilo jiným napravit. Na to jsou ale mé znalosti o registrech apod. poměrně krátké a raději se do toho pouštět nebudu a pokud je obnovit lze, což lze, I KDYŽ SLOŽITĚJI, tak to přenechám někomu jinému, případně Vám a prosím tímto o radu.
Děkuji moc
Ano, už se stalo.
Nevím, kde bereš tu jistotu. Na rozšifrování může být potřeba "klíč" - bez něho se k datům nedostaneš.
Nezkoumal jsem detailně, jaký máš konkrétně ransomware. Pokud tvrdíš, že jsou na internetu postupy a návody pro tento tvůj druh, tak to udělej podle nich (píšeš že to nejde) nebo kontaktuj autora, aby ti pomohl nebo to rovnou udělal za tebe (asi ne zadarmo).
Záleží jakým způsobem jsou data šifrovaná.
Pokud metodou AES (data) a RSA (jedinečné vygenerované heslo pro AES šifrování zašifrované veřejným RSA klíčem) tak data z pohledu roku 2022 prostě bez privátního RSA klíče nedešifruješ a ten má jen tvůrce malwaru.
Přičemž toto šifrování jde provést i jednoduchým cmd skriptem a třeba openssl, vše nedetekované, návody jsou na to veřejně dostupné na netu.
Z nějakého záhadného důvodu dělají někdy tvůrci malwaru šifrování bez vygenerovaného jedinečného hesla zašifrovaného pomocí RSA a pak to jde dešifrovat.
Jestli to tvé jde dešifrovat netuším a pátrat po tom nebudu.
Ještě poznámka, pokud ti na datech záleží, tak rozhodně nepoužívej nepodporovaný Windows 7 a pokud neumíš řešit zálohování kvalitně tak se na někoho obrať ať ti vyřeší zálohování pořádně.
Jestli si myslíš, že budeš používat Windows 7, zálohování řešit špatně a pokud se ti něco stane tak problém za tebe někdo vyřeší na poradně tak to jsi docela naivní
To, že data nejsou čitelná ještě nemusí znamenat, že jsou zašifrovaná - klidně taky mohou být prostě přepsána stejným počtem (pseudo)náhodných dat a nenávratně ztracena. (A ano, takovéhle viry taky existují, přepsání pseudonáhodnými hodnotami může být várazně rychlejší, než zašifrování a ujištění autora viru, že to za nějaký poplatek zase rozšifruje může - a často bývá - prostý scam, ať už to je zašifrované, nebo zničené).
Druhá věc je, že jsou celkem běžné šifry, kde by to bez klíče rozšifrovávaly všechny počítače na Zemi po dobu srovnatelnou se stářím vesmíru. A že ty šifry jdou celkem snadno upravit tak, aby šlo o dobu nesrovnatelnou se stářím vesmíru. Nemluvě o tom, že jsou šifry, které bez klíče rozšifrování prostě neumožní - teda pokud nebudeme náhodně vytvářet data dané délky, dokud náhodou nevytvoříme původní soubor - což ovšem bez původního souboru nelze ověřit.
Třetí věc je, že Internet - stejně jako papír - snese všechno. Taky jsem na internetu viděl, jak padouch unesl programátora, slíbil mu bambilión peněz, pokud uspěje a kulku do hlavy pokud ne - a ten programátor se v daném limitu (asi 10 minut, nebo kolik) s pistolí u hlavy přez modem a anonymní telefonní linku proboural do nejtajnější databáze a vytáhnul z ní přesně ta data, co padouch potřeboval. (Pro srovnání - nalezení té sady dat by běžné obsluze se všemi klíči a právy a přímo u toho počítače zabralo několik dní a ještě by výsledky nebyly tak krásně animované.)
Tolik k tomu "na internetu jsem viděl" (nebo říkal kámoš kámoše, že v hospodě slyšel, že a tak podobně). Některé věci z internetu fungujou, některé jen někdy a pro specifické případy a některé holt ne. Ostatně už jen ta formulace sama (pomocí přenastavení v registrech a různými nastaveními dešifrovali zašifrovaný soubor) je více než podezřelá - možná by to mohlo fungovat pro nějaký hodně specifický případ, jako že si dotyčný rozhasil asociace, co čím se má otevírat, nebo jaký je defaultní jazyk, ale opravdové dešifrování takhle nefunguje.
S registry to nijak nesouvisí ... a s nastavením PC taky ne.
Napravit to můžeš tak, že opatříš klíč (pokud existuje a je to zašifrované).
Jen ze zvědavosti, co je těch 3 x 3 TB dat ???
1. Ne, nepomůže, pokud to nebyl lempl, tak už ti nepomůže NIC.
3. Obnova dat ze zálohy kupodivu znamená opravdu "obnovu dat ze zálohy" Domníval jsem se, že ta jednoduchá věta je významově naprosto jasná. To, že jsi jedinou zálohu nechal malwarem poškodit znamená, že už žádnou zálohu nemáš a tedy data už NELZE obnovit, protože NENÍ z čeho.
Nedávno ses kasal že jsi: denní uživatel PC a celkem tomu i rozumíš a nejsi schopen zodpovědět jednoduchý dotaz, zda jsi náhodou neudělal z víceuživatelského os jednouživatelský. A ne, počítač můžeš používat i v noci, ale uživatel s aspoň znalostmi na úrovni zprofanovaného ECDL za ty roky opravdu nejsi. Od věci: Pikantní mi připadá výmluva proč neinstalovat W10 místo W7 na ten tvůj elektrošrot. Pravděpodobně by i na té starobě s obskurní konfigurací RAM fungoval obdobně pomalu. Odmítat upgrade na něco z tohoto desetiletí na základě toho, že deska od Gigabyte má úžasnou zvukovou část, je tedy také podivné i na tebe. K věci: Při takovém objemu dat jsi měl dávno uvažovat o NASu a mám dojem, že u Synology se dá nastavit oprávnění tak, aby po nahrání dat byly jen pro čtení. Pochopitelně + aspoň záloha na jiné médium.
Prosím, jak všichni tady, co mi radíte obnovit data ze zálohy onu radu myslíte?
MOJE DATA MAJÍ KOMPLETNĚ VELIKOST TŘÍ 3TB DISKŮ - TO ZNAMENÁ, ŽE MÁM NĚKDE ZÁLOHOVAT VŠECH 9TB JEŠTĚ NĚKDE JINDE? To si nedovedu představit...
Navíc na jednom z disků byla právě ona záloha všech dat, tento disk byl však právě k PC také připojen, takže i zálohovaná data byla samozřejmě rovněž dešifrována !!!! O jaké záloze nebo radě „obnovit data ze zálohy“ tedy vlastně mluvíme?
Jak tedy myslíte „ze zálohy“? Myslíte z nějakého disku, kam jsem všechna data zkopíroval a zazálohoval? Ano, tento disk mám, všechna data tam mám zálohována, ale jak říkám, tento disk byl právě během napadení rovněž připojen k počítači, neboť jsem tam poslední celý den zálohoval. Mluvíme tedy o této záloze, kterou mám, ale rovněž napadenou?
Tak to se s daty rozluč.
Tak si to nepředstavuj. A udělej datům pápá.
Jo a ještě si oprav CapsLock.
To je jakože vaše rada? Udělej datům pápá?
jak jsem psal, na internetu v mnoha videích někteří normálně pomocí složitého nastavení v registrech apod... (nebudu se na základě mého předchozího posledního příspěvku opakovat), dokázali data dešifrovat zpět.
Určitě když šly zašifrovat, lze je i dešifrovat. A navíc ta videa na internetu (rady, jak to udělat), jim to skutečně šlo, případně tam dělaly nějaké kroky, které zabraly. Takže jsem myslel, že vy mi poradíte a ne rady typu, udělej datům pápá.
Cituji z internetu:
To je samozřejmě nějaký jiný typ Ransomwaru, ale šifrování všech se zatím dá nějak rozšifrovat, stejně jaké ten můj .vvew
A lze je nějak určitě rozšifrovat, způsoby jsou složité a na internetu si je můžete kdyžtak vyhledat, když mi nevěříte. Tímto se na Vás obracím s pomocí :(
Ne, to nebyla rada, to byla realita.
Pro některé lidi je jednodušší řešit obnovu a rozšifrování dat, než je obnovit ze zálohy. Nechápu to, ale je to tak. A taky existuje dost lidí, kteří začali zálohovat teprve až tehdy, když o svá důležitá data přišli.
Taky se už za nás, kmetů, říkalo, že existují jen dva druhy uživatelů, ti, kteří zálohují a ti, kteří o data ještě nepřišli..
Da se to rozsifrovat, kdyz znas sifrovaci klic. To sifrovani je tak dokonale, ze nedokazes sifrovaci klic uhodnout. Respektive na vykonem PC by to trvalo mozna i sto let, nez by ten sifrovaci klic nasel.
Nesdílím tvoje představy, že to určitě musí jít rozšifrovat podle nějakých návodů i bez znalosti klíčů.
Tak píšeš, že máš cca 9 TB dat a všechna byla zálohovaná na dalším disku, to tedy máš v PC trvale na data 3 kusy 3TB a další jeden asi 10TB jako externí nebo interní většinou odpojený?
Asi se s daty rozluč, případně můžeš kontaktovat nějakou firmu na záchranu dat, ale levné to nebude. Výhoda je, že většinou alespoň diagnostiku udělají zdarma a pak data obnoví po dohodě o ceně.
Jestli za data ale považuješ nějaké filmy a hry, tak ty se dají sehnat znova a levněji. Pochybuji, že máš 9 TB svých soukromých fotek nebo videí a dokumentů z Wordu.
Ty jses vtipny clovek.
Velikost 9TB je vcelku normalni zalezitost a i mnohem vetsi objemy dat se daji zalohovat. 9TB je uplne v pohode, nakonec to pises sam, jsou to pouhe 3x3TB disky teda 3x2.500Kc a co se tyka zalohy, tak 6 disku je celkem 15.000 Kc, teda jedno mesicni plat cloveka s minimalni mzdou. Sranda!
Jestli byl zalozni disk zrovna pripojen a zalohoval jsi na nej, je to neprijemne. Resit se to da tak, ze budes mit zalohy dve a jedna bude vzdy offline. Chapu, ze to zvysuje narocnost na zalohovani, ale chrani to presne proti takoveto situaci. Jinak je lepsi mit vic mensich disku a pri zalohovani pripojen jen jeden, protoze v pripade tohohle problemu riskujes mene dat, pokud se nerozhodnes mit tu bezpecnostni zalohu navic.
Kazdopadne podle toho, co jsem o tom cetl, je to pravdepodobne dobre zasifrovane a bez znalosti toho privatniho klice to nerozsifrujes, teda muzes ta data odepsat, zformatovat to a zacit znovu na cistem stole.
Pokud nemáš zálohu dat, tak to máš holt blbý, no.
Mám asi 6TB ne-až-tak-kritických dat, každá sada na jiném počítači, na každém tom počítači RAID5, každý soubor s kontrolním součtem a nikdy nejsou naráz zapnuté všechny tři. Naopak většinu času jsou vypnuté.
Samozřejmě, že tyto počítače slouží k zálohování, nikoli ke stahování, zkoušení nějakých programů, nebo k běžné práci.
A samozřejmě na nich není nic, co by se jen tak samo - bez explicitního příkazu - updatovalo (tím myslím hlavně OS, protože jinak tam není (kromě dat) takřka nic).
Co se týče důležitých firemních dat (kterých je teda míň), tak některá jsou na 8 strojích v různých lokalitách (z toho na 4 jsou ve více kopiích), ta opravdu důležitá pak jsou na více než stovce lokalit - samozřejmě s kontrolními součty, také HW je různý (a nejen x86), takže tolik nehrozí nějaký problém s vadnou sérií.
Že je restriktivní firewall na každém z těch počítačů je samozřejmost, stejně jako to, že tam neběží řádné explicitně neschválené programy.
Což už je záloha celkem spolehlivá. (A jasně, prostě někdo to bere fakt vážně a jiný nemá zálohu a o data prostě přijde.)
to mluví za vše.
šifrovací ransomware je běžnou realitou posledních let a microsoft pro jeho rozšíření udělal spoustu dobrého:
- normální je mít povolené zobrazení přípon souborů, bohužel m$ má výchozí nastavení opačně a spoluzavinil tím zavirování stovek miliónů pc.
- ransomware se skvěle rozšířil přes makra v m$office nejdřív kvůli chybějícímu zabezpečení vb, později kvůli nekompatibilitě ochrany se staršími verzemi souborů
- zašifrování tolika tb dat nějakou dobu trvá, a přesto sis ty ani tvůj "antivir" ničeho nevšiml
jestli za zálohu považuješ usb disk, to si asi děláš srandu. u něj neexistuje ochrana přístupovými právy, čili všechny soubory které ty vidíš, je virus schopný zničit.
to jde použít jen v případě bezpečně se chovajícího uživatele, který neinstaluje co nemá ani neotvírá žádné cizí přílohy.
zase jde ten disk fajn přenášet a zkusit na nezamořeném pc soubory odšifrovat.
to samé se stane, když sice použiješ nasku, ale úroveň obsluhy a zabezpečení tvého pc je na nule a zálohy si běžně přimapuješ ze svého zavirovaného pc přes sdílení (smb).
bezpečnou metodou by bylo použít zálohovací / synchronizační utilitu od výrobce nasky.
nebo mít na nasce různé oddíly pro kritické soubory a pro běžný odpad, kterého není při ztrátě škoda.
a když máš v domácnosti lidi s horší úrovní pc gramotnosti, nenechávat jim nikdy přístup na nasku k důležitým souborům, ale zálohu provést z čistého pc sám. bohužel pokud tou pohromou pro bezpečnost jsi ty, je ti záloha k ničemu, jak právě vidíš.
tak tím bych si vůbec nebyl jist. nutná ruční kontrola:
- pro kontrolu spouštěcích míst ms autoruns -> záložky: logon (po spuštění), services (služby), scheduled tasks (naplánované úlohy).
- pro kontrolu procesů v paměti process explorer.
volitelně:
- zobrazení aplikací komunikujících s netem ms tcpview.
- proti adware a spyware jednoduchý adwcleaner.
a samozřejmě spustit bootovací antivirové pc serióznějšího výrobce (avira, drweb, eset, kaspersky) a z něj proskenovat tvůj systém:
https://www.lifewire.com/free-bootable-antivirus-tools-2625785
teprve potom můžeš na tom pc zkoušet něco dešifrovat - a ne že vytuhneš na délce cesty vnořených adresářů, to je směšné.
500-1000usd, zřejmě od tvůrce viru: https://gridinsoft.com/ransomware/djvu/vvew
tos asi použil: https://www.bugsfighter.com/remove-vvew-ransomware-and-decrypt-vvew-files/
trial verze by stála za vyzkoušení: https://www.zonealarm.com/anti-ransomware
sbírka různých decryptorů, potřebuješ vědět co řádilo u tebe: https://www.nomoreransom.org/en/decryption-tools.html
Podívej se na to, co ti psal čitateľ, 30.07.2022 09:24
Vezmi nějaký zašifrovaný soubor, dej ho do nějakého dočasně vytvořeného adresáře s krátkým náznem a uvidíš.
A co že máš 9T dat? Taky tady mám stovky CD, DVD, HDD s daty. Ale to jsou jenom zálohy.
Kolikpak z těch 9T používáš?
Tak to potom ani nepoužívaš internet? Ale veď ten AV si musel stiahnuť. Niekto tu už spomínal práva OS. Mal by si mať nastavené najprísnejšie práva, čiže nech sa ti zobrazuje neustále okno s žiadosťou ak sa majú vykonať zásadné zmeny v OS alebo nejaké spustenia. Nie si vedomý ohľadom SW výbavy tvojho systému, nevieš správne identifikovať čo je bezpečné, čo je pochybné... To si myslíš že ten AV je bezpečný? Samotná podstata tohto typu SW je zlá. To isté automatizátory, čističe, boostre a ine pioviny. Mimochodom ani samotný OS nie je bezpečný. MS je dlhé roky pochybná firma, ruku do ohna by som za ich produkt nedal. Ich kód je uzatvorený, nikto netuší čo tam je, vlastne ani samotný pracovníci nevedia pretože je to tak rozsiahly a rozosratý systém...
Všetky fyzické disky treba 100% sformátovať a odinicializovať ideálne cez CMD pri novej inštalácii OS. Kde máš istotu že si ho odstránil? Je nemožné to potvrdiť. Nikdy si nebudeš mohol byť istý. Jediná istota je 100% zmazanie všetkých dát a nahodiť to z neskompromitovaného systému. V nabúranom OS by som ani len bootovaciu flešku nerobil. Taktiež by som tam nezapájal ďalšie disky. Ten systém je nebezpečný.
Záloha je záloha. Nemáš s ňou aktívne a dlhodobo pracovať. Ak máš extrémne cenné dáta tak si naštuduj pravidlá zálohovania. Ak si pracoval s ext.HDD tak je to rozširujúca kapacita a nie záloha. Ja mám zálohu len čisto na zálohu a úplne najcennejšie dáta ktoré nežerú až toľko kapacity mám ešte na zopár ďalších lokáciách.
Ak sú tie dáta cenné tak to je pre teba taký problém kúpiť zálohovacie ext.HDD? Zase až tak obrovské kapacity to nie sú. Neviem čo všetko si skúšal na dešifrovanie ale ak raz nemáš kľúč tak smola. Inak tie dáta sú šifrované nie dešifrované. Ja som už o dáta prišiel, je to síce ťažké prijať ale ak sú preč už nič nespravíš. Zmier sa s tým a hlavne sa pouč do budúcna.
Tak myslim, ze se neozyva, teda to pochopil a rozdychava to ted, ze holt proste o data prisel. Netreba psat sem dalsi podobne komenty.
Nicmene teda narazil jsem tu i na par "zajimavosti" napriklad:
Proc?
Boot jde z jedineho disku - bootovaciho oddilu, jestlize tenhle disk zformatujes, nahrajes na nej novy cisty OS, tak mas vyreseno. Neni zadny duvod k obave, ze by se ten vir nejak zahadne spustil z jineho datoveho disku. Teda za predpokladu, ze neni uzivatel blbec a nespusti si ho sam. Pokud mam ale datovy disk plny fotografii a videa, tak nevidim zadny duvod, proc si pridelavat praci a formatovat ho.
Já už přidám jen tzv. dobré rady pro to, jak zálohovat.
1. zálohy nejsou trvale připojeny k PC nebo síti.
2. Pokud jsou např. na trvale připojeném síťovém úložišti, je vhodné zajistit:
....a. použití nestandardního účtu a hesla (které je nutno zadat vždy znova při přihlášení)
....b. použití jiných protokolů než "klasického" SMB, např. NFS apod.
....c. použití snapshotů (pokud je dané síťové zařízení podporuje - tj. vše, co umí ZFS, takže už to zvládají třeba i Synology/QNAP, ale jistota je TrueNAS)
....d. použití zálohovacího SW, který má middleware (tj. do úložiště vidí jen tento SW) - např. ideální je nasadit přímo na "pracovní" NAS některé zálohovací nástroje a zálohovat na druhý zálohovací NAS, nebo alespoň zálohovací disk připojený k NASu.
Už přechod na NFS je pro většinu ransomware hajzlíků konečná - pokud se to spáruje se snapshoty, je jistota téměř 100%.
Hladal si pocitacoveho guru?
Ano tu som.
Odviroval som a desifroval som uz desiatky diskov v minulosti, takze mam bohate skusenosti.
Ak chces posli vsetky zasifrovane disky a ja sa ti na to pozriem.
Ale dopredu ti hovorim, ze cena za desifrovanie bude +-1000 eur podla narocnosti a % uspesnosti.
Takze kludne napisa a dohodneme sa.
P.S. Este stale sa ti zda, ze zakladne zalohovanie na NAS je pre teba zbytocne a nerealne;o)?
Mudrost dna:
Uzivatelia PC sa delia na tych, co zalohuju a na tych, co este neprisli o ziadne data.
Je možné získat nějaké menší poškozené soubory?
Raději od všech těchto původních přípon - PDF, JPG, DOC, DOCX, XLS, XLSX, EXE).
Zkusil bych to analyzovat... třeba pak přijdu s pomocí.
Tazatel už nereaguje, asi ze zoufalství vzal provaz a šel se zastřelit do rybníka.
Jestli si chceš hrát a analyzovat tak dešifruj encrypted.txt z rsa-aes-example.zip co mám v příspěvku níže.
Jak jsem k zašifrovanému souboru přišel je popsané v příspěvku, včetně použitého veřejného RSA klíče pro zašifrování AES hesla.
Připomínám ty vzorky...
Možná nejsem jediný očekávající reakci.
Neotravuj, teď na tebe nemá čas!
Jen tak pro zajímavost.
Princip šifrování souborů pomocí openssl z pohledu šifrovacího malwaru.
A) PŘÍPRAVA
(provede útočník u sebe)
1) Vygeneruje se privátní RSA klíč (private.pem)
(ten si nechá útočník)
2) Vygeneruje se veřejný RSA klíč (public.pem)
(ten se použije při útoku)
(RSA klíče můžou být pro různé útoky stejné)
B) ÚTOK
(na napadeném pc)
1) Vygeneruje se jedinečné heslo na AES šifrování dat (pw.txt)
(jeden útok (např. jeden hardware) = jedno AES heslo)
2) Heslo se zašifruje pomocí veřejného RSA klíče
3) Zašifrování souboru pomopcí AES a hesla
4) Spojení zašifrovaného hesla a zašifrovaného souboru
5) Hromadné šifrování souborů
Provádí se pořád dokola B3 a B4
6) Base64 zašifrovaného hesla
(to se vloží třeba v informacích jak kontaktovat útočníka)
7) Odstranění nezašifrovaného hesla (pw.txt, systémové logy, atd.)
C) Dešifrování
1) Získání AES hesla
Pokud napadený pošle zašifrované heslo v base64 podobě (B6) tak pokračovat bodem C2, pokud pošle náhodný zašifrovaný soubor (B4, encrypted.txt) tak pokračovat bodem C3
2) Base64 dekódování zašifrovaného hesla
3) Dešifrování zašifrovaného hesla
(pw-en.txt získán bodem C2 nebo jako prvních 512 B zaslaného zašifrovaného souboru encrypted.txt)
4) Dešifrování souboru
(plaintext-en.txt jsou 513+ bajty zašifrovaného souboru)
5) Hromadné dešifrovnání souborů
Provádí se dokola bod C4.
...
Poznámka:
openssl je globálně používaný open source nástroj nedetekovaný antiviry
...
Použité cmd, výstupy bez nezašifrovaného hesla použitého v příkladu a bez privátního RSA klíče použitého v příkladu.
Kdo chce, může se pokusit rozšifrovat zašifrovaný soubor (plaintext-en.txt nebo encrypted.txt, ten druhý je to samé, akorát se zašifrovaným heslem)
Pánové ted mě napadlo, že moje zbírka fotek, je kompletně všechna nastavena na pouze čtení, tak se ptám, kdybi (ne Facecosi nemám) mě také někdo napadl, bude to fungovat?
Co tím konkrétně myslíš? Že jsi nastavil R atribut? To je ochrana tak maximálně dobrá proti náhodnému přepsání, ale určitě ne proti cílenému útoku.
No jestli myslíš něco ve smyslu:
attrib -R soubor.txt
...což zruší souboru soubor.txt atribut "Jen pro čtení"...
... tak já bych teda na to moc nespoléhal
... jestli to myslíš jako obranu proti šifrovacímu malwaru
Když to vezmu teoreticky, tak pokud vir bude spuštěn pod admin účtem, může atributy souboru změnit, ne?
myslíš jako ochranu proti kryptovirům?
To záleží. Pokud je read-only jen na úrovni příznaku filesystému, tak ne. Pokud je to nastaveno právy, tak ano, za předpokladu, že nemáš práva na změnu práv a malware se nebude schopen nikdy a nijak spustit v kontextu správce, který má práva plná. Ale pak je tu ještě známý případ děr v NASech apod. (např. známý D-Link s dírou jako vrata) kde se kryptovir dokázal nacpat přímo do firmware NASu a veškeré zabezpečení na uživatelské úrovni obejít.
Urcite, pokud mas typ uloziste souboru, ktere nelze prepisovat, da se pouze jedinkrat zapsat, tak je to dobra ochrana. Nas to v praci zachranilo, kdyz nam jinak vsechno zasifrovali.
ochrana read-only nefungovala ani na stare viry pod dosem.
kdyz nechces mit poskozene zalohy, musis zajistit cisty stav pc = vsimat si co dela.
nebo si dej nejaky c:\honeypot.jpg a pri kazdem startu kontroluj jeho velikost. kdyz se zmeni -> vyskakovaci cervene okno ze "ransomware".
nebo nejaky cihajici profi antiransomware.
usb disk nijak nezabezpecis. naopak, nedavno tu byl truhlik s nejakym lockfolder - tak ten si ty data zneskodnil sam, nepotreboval ani vir.
Díky všem, už je mě to jasné, je to nanic. to jsem chtěl slyšet.
Na kinderviry to stačit bude, profíka to nezastaví.