Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Dešifrování souborů .vvew po napadení počítače virem/malwarem

Dobrý den.
Naneštěstí mi dnes někdo hacnkul PC, respektive zkrátka ani nevím jak, neboť jsem žádné programy neinstaloval ani nestahoval ani nic podobného, mi dneska nějaký de*il, kterého to očividně hodně baví, zašifroval virem/malarem většin souborů, a to hlavně JPG, případně i .exe soubory a zkrátka jakékoliv soubory dále typu .pdf, .doc apod, kdy z původních souborů .jpg vzniklo .jpg.vvew, z .pdf vzniklo .pdf.vvew apod.
Byl to docela humusácký a velmi odolný virus, vůbec se mi nedařilo jej z PC odstranit, a to ani pomocí těch nejúčinnějších metod. Nakonec jsem pomocí bodu obnovy a odstranění škodlivých spouštěcích .exe souborů a aplikací virus odstranil. Virus mi způsobovat samovolné spouštění mnoha dalších naprogramovaných malwarů, procesor vytěžoval na 100 %, dokonce nešlo použít jakékoliv účinné softwary pro jejich zneškodnění.
Nakonec se mi viry/malare podařilo je z PC odstranit.

Ovšem, bohužel, i po bodu obnovení zůstaly dokumenty a soubory zašifrovány a co jsem našel na internetu, tak poměrně šikovně.
Zkoušel jsem dle videií na youtube, která jsou dle mě stejně neúčinná jako rady a řešení, vše dešifrovat. Neúspěšně. Nastavení v registrech dle videí nezabralo (mnohdy stejně ve videu měl dotyčný zcela jiné soubory a registry, než já, takže se postup stejně neshodoval).
Dle stránky https://virus-removal-guide.net/cs/73473-vvew-ransomware/, jsem si stáhnul i případný Emsisoft Decryptor for STOP Djvu ale nic se neděje, respektive žádný úspěch, napsalo to ERROR.

Navíc jsem ještě dal na soubory zašifrované .vvew kliknul, aby se otevírala tato přípona např. vždy ve Microsoft Office 2010 Picture Manager, takže se teď všechny soubory zašifrované s .vvew jeví jako obrázkové (bez ohledu na původní příponu), takže ikony se změnily na ikony Picture Manager, ale samozřejmě ani .jpg.vvew nelze v picture manager otevřít, stále jsou prostě zašifrované.

Pomůže mi, prosím, někdo, jak úspěšně dešifrovat ony soubory, případně jakou cestu použít (klidně i přes případné nastavení registrů, jako tomu je na mnoha videích na youtube - ale jak jsem psal, mě se to dle návodu nepodařilo, navíc ne úplně všemu jsem tam rozuměl.

Přikládám i ukázku, jak vypadají soubory po zašifrování ([i].jpg -> .jpg.vvew; .pdf -> .pdf.vvew[/i] atd...)

Děkuji Vám moc.

Předmět Autor Datum
Jediná spolehlivá cesta je obnovení že zálohy.
Wikan 30.07.2022 06:08
Wikan
Tady píše, že není možné bez znalosti privátního klíče dešifrovat tento virus. Ten privátní klíč bys…
RedMaX 30.07.2022 07:22
RedMaX
Podľa toho obrázku o neúspešnom dešifrovaní neprišlo ani k pokusu o dešifrovanie. Píše ti to, že ces…
pozorovateľ 30.07.2022 09:24
pozorovateľ
Ach jo, ne, nikdo se na tebe nezaměřil, ty jsi malware nainstaloval sám a radostně. Nic bych nedal z…
ms 30.07.2022 10:58
ms
Ne, nic jsem neinstaloval, nestahoval a navíc mám antivirus (ano, samozřejmě, ten zákeřnější malware…
David Dizzer 30.07.2022 12:51
David Dizzer
Ten tvůj poslední odstavec je jedna velká výmluva. I kdyby tvoje data měly velikost deseti 3TB disk…
host 30.07.2022 12:58
host
Souhlasím, ale zkrátka už se stalo... Ale určitě lze data nějak rozšifrovat zpět. Na internetu jsem…
David Dizzer 30.07.2022 13:10
David Dizzer
Ano, už se stalo. Ale určitě lze data nějak rozšifrovat zpět. Když jej šlo zašifrovat, musí jít i o…
host 30.07.2022 13:17
host
Záleží jakým způsobem jsou data šifrovaná. Pokud metodou AES (data) a RSA (jedinečné vygenerované he…
kacikac 30.07.2022 13:25
kacikac
To, že data nejsou čitelná ještě nemusí znamenat, že jsou zašifrovaná - klidně taky mohou být prostě…
gilhad 30.07.2022 14:18
gilhad
S registry to nijak nesouvisí ... a s nastavením PC taky ne. Napravit to můžeš tak, že opatříš klíč…
dsa 30.07.2022 14:26
dsa
1. Ne, nepomůže, pokud to nebyl lempl, tak už ti nepomůže NIC. 3. Obnova dat ze zálohy kupodivu znam…
ms 31.07.2022 09:52
ms
Prosím, jak všichni tady, co mi radíte obnovit data ze zálohy onu radu myslíte? MOJE DATA MAJÍ KOMP…
David Dizzer 30.07.2022 12:54
David Dizzer
Tak to se s daty rozluč.
Wikan 30.07.2022 12:56
Wikan
MOJE DATA MAJÍ KOMPLETNĚ VELIKOST TŘÍ 3TB DISKŮ - TO ZNAMENÁ, ŽE MÁM NĚKDE ZÁLOHOVAT VŠECH 9TB JEŠTĚ…
host 30.07.2022 13:00
host
To je jakože vaše rada? Udělej datům pápá? jak jsem psal, na internetu v mnoha videích někteří norm…
David Dizzer 30.07.2022 13:12
David Dizzer
Ne, to nebyla rada, to byla realita. Pro některé lidi je jednodušší řešit obnovu a rozšifrování dat…
host 30.07.2022 13:20
host
Taky se už za nás, kmetů, říkalo, že existují jen dva druhy uživatelů, ti, kteří zálohují a ti, kteř…
ApoCalypse 01.08.2022 09:37
ApoCalypse
šifrování AES-256 v kombinaci s šifrováním RSA-2048 Da se to rozsifrovat, kdyz znas sifrovaci klic.…
RedMaX 30.07.2022 13:21
RedMaX
Nesdílím tvoje představy, že to určitě musí jít rozšifrovat podle nějakých návodů i bez znalosti klí…
Karel04 30.07.2022 15:12
Karel04
Ty jses vtipny clovek. :-) Velikost 9TB je vcelku normalni zalezitost a i mnohem vetsi objemy dat s…
RedMaX 30.07.2022 13:18
RedMaX
Pokud nemáš zálohu dat, tak to máš holt blbý, no. Mám asi 6TB ne-až-tak-kritických dat, každá sada…
gilhad 30.07.2022 13:43
gilhad
Navíc na jednom disku byla právě ona záloha všech dat, tento disk byl právě ale k PC také připojen…
lední brtník 30.07.2022 14:31
lední brtník
Podívej se na to, co ti psal čitateľ, 30.07.2022 09:24 Vezmi nějaký zašifrovaný soubor, dej ho do ně…
Abox 30.07.2022 13:22
Abox
Ne, nic jsem neinstaloval, nestahoval a navíc mám antivirus Tak to potom ani nepoužívaš internet? A…
RMX 31.07.2022 10:53
RMX
Tak myslim, ze se neozyva, teda to pochopil a rozdychava to ted, ze holt proste o data prisel. Netre…
RedMaX 31.07.2022 12:06
RedMaX
Já už přidám jen tzv. dobré rady pro to, jak zálohovat. 1. zálohy nejsou trvale připojeny k PC nebo…
touchwood 31.07.2022 11:32
touchwood
Hladal si pocitacoveho guru? Ano tu som. Odviroval som a desifroval som uz desiatky diskov v minulos…
fleg 31.07.2022 11:46
fleg
Je možné získat nějaké menší poškozené soubory? Raději od všech těchto původních přípon - PDF, JPG,…
ST 31.07.2022 20:19
ST
Tazatel už nereaguje, asi ze zoufalství vzal provaz a šel se zastřelit do rybníka.:-D
Karel04 01.08.2022 00:11
Karel04
Jestli si chceš hrát a analyzovat tak dešifruj encrypted.txt z rsa-aes-example.zip co mám v příspěvk…
kacikac 03.08.2022 14:28
kacikac
Připomínám ty vzorky... Možná nejsem jediný očekávající reakci.
ST 05.08.2022 12:20
ST
Neotravuj, teď na tebe nemá čas! :-p poslední
host 05.08.2022 12:26
host
Jen tak pro zajímavost. Princip šifrování souborů pomocí openssl z pohledu šifrovacího malwaru. A)…
kacikac 03.08.2022 14:21
kacikac
Pánové ted mě napadlo, že moje zbírka fotek, je kompletně všechna nastavena na pouze čtení, tak se p…
jezekhifi 03.08.2022 14:46
jezekhifi
Co tím konkrétně myslíš? Že jsi nastavil R atribut? To je ochrana tak maximálně dobrá proti náhodném…
Wikan 03.08.2022 15:01
Wikan
No jestli myslíš něco ve smyslu: attrib -R soubor.txt ...což zruší souboru soubor.txt atribut "Jen p…
kacikac 03.08.2022 15:02
kacikac
Když to vezmu teoreticky, tak pokud vir bude spuštěn pod admin účtem, může atributy souboru změnit,…
host 03.08.2022 15:03
host
myslíš jako ochranu proti kryptovirům? To záleží. Pokud je read-only jen na úrovni příznaku filesyst…
touchwood 03.08.2022 15:06
touchwood
Urcite, pokud mas typ uloziste souboru, ktere nelze prepisovat, da se pouze jedinkrat zapsat, tak je…
RedMaX 03.08.2022 15:11
RedMaX
ochrana read-only nefungovala ani na stare viry pod dosem. kdyz nechces mit poskozene zalohy, musis…
brum brum 03.08.2022 15:16
brum brum
Díky všem, už je mě to jasné, je to nanic. to jsem chtěl slyšet.
jezekhifi 03.08.2022 15:18
jezekhifi
Na kinderviry to stačit bude, profíka to nezastaví.
touchwood 03.08.2022 15:49
touchwood

Tady píše, že není možné bez znalosti privátního klíče dešifrovat tento virus. Ten privátní klíč bys musel mít, musel by ti ho nejspíš dát ten, kdo se ti naboural do PC.

Taky myslím, že jediná účinná obnova je ze zálohy a to co jsi neměl zálohováno, nejspíš neobnovíš.

Zamysli se nad tím, jak se ti to tam dostalo, ať se ti to nestane znovu.

Podľa toho obrázku o neúspešnom dešifrovaní neprišlo ani k pokusu o dešifrovanie. Píše ti to, že cesta k súboru nesmie byť dlhšia ako 248, resp. 260 znakov. Takže treba zistiť prečo je taká dlhá.
Na skúšku si priamo na C-čku vytvor nejaký adresár, skopíruj don zopár zašifrovaných súborov a vyskúšaj ich dešifrovať tam.

Ach jo, ne, nikdo se na tebe nezaměřil, ty jsi malware nainstaloval sám a radostně. Nic bych nedal za to, že to tam furt máš a nic bych nedal za to, že máš ještě Windows 7 a pracuješ uživatelsky s maximálními právy k systému. Takže shrnu to, co ti již poradili:
1. Přeinstalovat operační systém a potom aplikační software. Původní systém lze považovat za kompromitovaný a tím nebezpečný.
2. Řádně systém nastavit, včetně účtů.
3. Obnovit data ze zálohy.

Ne, nic jsem neinstaloval, nestahoval a navíc mám antivirus (ano, samozřejmě, ten zákeřnější malware a viry neodhalí)! Ale nepřesvědčujte mě o něčem, co vím, že bylo jinak. Nic špatného jsem nenainstaloval, nestahoval a NEBO SI TOHO NEJSEM VĚDOM - tedy mohlo to být v rámci e-mailové přílohy, v rámci facebooku a podobně, neboť primárně mi někdo napadl Facebook a odtud se nejspíše dostal nějak do mého počítače!
A co myslíte tím i cituji: „Pracuješ uživatelsky s maximálními právy k systému“? Že vlastním nelegální software? To rozhodně ne, mám legální software, aktivovaný, zaplacený na mém druhém počítači zásadně vše jen zaplaceno, na prvním mi momentálně nefunguje systém, pokud narážíte na to (v rámci nedávno řešeného problému).

1. Přeinstalování systému mi absolutně nepomůže v dešifrování a obnovení dat (navíc virus a malware jsem už dávno odstranil z počítače)
2. ...
3. Obnovit data ze zálohy? Myšleno jak? Já měl disk se zálohou k PC právě připojen, neboť jsem s ním pracoval a ona data jsem na něj během dvou dnů přesouval!

A ze zálohy myslíte jakože jak? MOJE DATA MAJÍ KOMPLETNĚ VELIKOST TŘÍ 3TB DISKŮ - TO ZNAMENÁ, ŽE MÁM NĚKDE ZÁLOHOVAT VŠECH 9TB JEŠTĚ NĚKDE JINDE? Poměrně nereálné. Navíc na jednom disku byla právě ona záloha všech dat, tento disk byl právě ale k PC také připojen, takže i zálohovaná data byla samozřejmě rovněž dešifrována!!!! O jaké záloze nebo radě „obnovit data ze zálohy“ tedy vlastně mluvíme?

Děkuji moc!

Ten tvůj poslední odstavec je jedna velká výmluva.

I kdyby tvoje data měly velikost deseti 3TB disků, otázka zůstává stále stejná - jsou ta data důležitá? Pokud ano, musíš zajistit jejich zálohu (jakýmkoliv způsobem). Pokud ne, tak pak nebreč.
Že jsi měl připojený zrovna zálohovací disk, smůla. Ale záloha nemá být jen na jednom místě - disku. To snad víš, ne?

Umíš si představit, že bys dělal ajťáka v nějaké firmě, ransomware by vám zašifroval data a ty bys vysvětloval šéfovi: "Víte, my nemáme zálohu, protože těch dat máme hodně". :-D

Souhlasím, ale zkrátka už se stalo...

Ale určitě lze data nějak rozšifrovat zpět. Na internetu jsem četl, že to lze podniknout nějakými kroky, které budou možná složitější a na delší dobu (tzn. přenastavení registrů, různých nastavení v PC, kterým již nerozumím), a data lze obnovit dle mě určitě a klidně si za to nějakému POČÍTAČOVÉMU GURU, který těmto nastavením registrů apod. rozumí!

Určitě nemohou být data jen tak zničena, bude se jednat jen o nějaký složitější algoritmus šifrování. Když jej šlo zašifrovat, musí jít i odšifrovat. Co jsem se díval na internetu na rady a videa, jak to lidé dešifrovali, tak jim to šlo. Pomocí přenastavení v registrech a různými nastaveními, případně pomocí softwarů, ale do toho se pouštět nehodlám, neboť jsem zkoušel a některé kroky mi neseděly dle rady na internetu, takže by to nemělo význam, ač bych to rád dokázal.

Jak říkám, určitě data nejsou zničena, jsou jen šikovně zašifrována a na internetu se to ve videu podařilo jiným napravit. Na to jsou ale mé znalosti o registrech apod. poměrně krátké a raději se do toho pouštět nebudu a pokud je obnovit lze, což lze, I KDYŽ SLOŽITĚJI, tak to přenechám někomu jinému, případně Vám a prosím tímto o radu.

Děkuji moc

Ano, už se stalo.

Ale určitě lze data nějak rozšifrovat zpět.
Když jej šlo zašifrovat, musí jít i odšifrovat.

Nevím, kde bereš tu jistotu. Na rozšifrování může být potřeba "klíč" - bez něho se k datům nedostaneš.

Nezkoumal jsem detailně, jaký máš konkrétně ransomware. Pokud tvrdíš, že jsou na internetu postupy a návody pro tento tvůj druh, tak to udělej podle nich (píšeš že to nejde) nebo kontaktuj autora, aby ti pomohl nebo to rovnou udělal za tebe (asi ne zadarmo).

Záleží jakým způsobem jsou data šifrovaná.
Pokud metodou AES (data) a RSA (jedinečné vygenerované heslo pro AES šifrování zašifrované veřejným RSA klíčem) tak data z pohledu roku 2022 prostě bez privátního RSA klíče nedešifruješ a ten má jen tvůrce malwaru.
Přičemž toto šifrování jde provést i jednoduchým cmd skriptem a třeba openssl, vše nedetekované, návody jsou na to veřejně dostupné na netu.
Z nějakého záhadného důvodu dělají někdy tvůrci malwaru šifrování bez vygenerovaného jedinečného hesla zašifrovaného pomocí RSA a pak to jde dešifrovat.
Jestli to tvé jde dešifrovat netuším a pátrat po tom nebudu.

Ještě poznámka, pokud ti na datech záleží, tak rozhodně nepoužívej nepodporovaný Windows 7 a pokud neumíš řešit zálohování kvalitně tak se na někoho obrať ať ti vyřeší zálohování pořádně.

Jestli si myslíš, že budeš používat Windows 7, zálohování řešit špatně a pokud se ti něco stane tak problém za tebe někdo vyřeší na poradně tak to jsi docela naivní :-)

To, že data nejsou čitelná ještě nemusí znamenat, že jsou zašifrovaná - klidně taky mohou být prostě přepsána stejným počtem (pseudo)náhodných dat a nenávratně ztracena. (A ano, takovéhle viry taky existují, přepsání pseudonáhodnými hodnotami může být várazně rychlejší, než zašifrování a ujištění autora viru, že to za nějaký poplatek zase rozšifruje může - a často bývá - prostý scam, ať už to je zašifrované, nebo zničené).

Druhá věc je, že jsou celkem běžné šifry, kde by to bez klíče rozšifrovávaly všechny počítače na Zemi po dobu srovnatelnou se stářím vesmíru. A že ty šifry jdou celkem snadno upravit tak, aby šlo o dobu nesrovnatelnou se stářím vesmíru. Nemluvě o tom, že jsou šifry, které bez klíče rozšifrování prostě neumožní - teda pokud nebudeme náhodně vytvářet data dané délky, dokud náhodou nevytvoříme původní soubor - což ovšem bez původního souboru nelze ověřit.

Třetí věc je, že Internet - stejně jako papír - snese všechno. Taky jsem na internetu viděl, jak padouch unesl programátora, slíbil mu bambilión peněz, pokud uspěje a kulku do hlavy pokud ne - a ten programátor se v daném limitu (asi 10 minut, nebo kolik) s pistolí u hlavy přez modem a anonymní telefonní linku proboural do nejtajnější databáze a vytáhnul z ní přesně ta data, co padouch potřeboval. (Pro srovnání - nalezení té sady dat by běžné obsluze se všemi klíči a právy a přímo u toho počítače zabralo několik dní a ještě by výsledky nebyly tak krásně animované.)

Tolik k tomu "na internetu jsem viděl" (nebo říkal kámoš kámoše, že v hospodě slyšel, že a tak podobně). Některé věci z internetu fungujou, některé jen někdy a pro specifické případy a některé holt ne. Ostatně už jen ta formulace sama (pomocí přenastavení v registrech a různými nastaveními dešifrovali zašifrovaný soubor) je více než podezřelá - možná by to mohlo fungovat pro nějaký hodně specifický případ, jako že si dotyčný rozhasil asociace, co čím se má otevírat, nebo jaký je defaultní jazyk, ale opravdové dešifrování takhle nefunguje.

1. Ne, nepomůže, pokud to nebyl lempl, tak už ti nepomůže NIC.
3. Obnova dat ze zálohy kupodivu znamená opravdu "obnovu dat ze zálohy" Domníval jsem se, že ta jednoduchá věta je významově naprosto jasná. To, že jsi jedinou zálohu nechal malwarem poškodit znamená, že už žádnou zálohu nemáš a tedy data už NELZE obnovit, protože NENÍ z čeho.

A co myslíte tím i cituji: „Pracuješ uživatelsky s maximálními právy k systému“?

Nedávno ses kasal že jsi: denní uživatel PC a celkem tomu i rozumíš a nejsi schopen zodpovědět jednoduchý dotaz, zda jsi náhodou neudělal z víceuživatelského os jednouživatelský. A ne, počítač můžeš používat i v noci, ale uživatel s aspoň znalostmi na úrovni zprofanovaného ECDL za ty roky opravdu nejsi. Od věci: Pikantní mi připadá výmluva proč neinstalovat W10 místo W7 na ten tvůj elektrošrot. Pravděpodobně by i na té starobě s obskurní konfigurací RAM fungoval obdobně pomalu. Odmítat upgrade na něco z tohoto desetiletí na základě toho, že deska od Gigabyte má úžasnou zvukovou část, je tedy také podivné i na tebe. K věci: Při takovém objemu dat jsi měl dávno uvažovat o NASu a mám dojem, že u Synology se dá nastavit oprávnění tak, aby po nahrání dat byly jen pro čtení. Pochopitelně + aspoň záloha na jiné médium.

Prosím, jak všichni tady, co mi radíte obnovit data ze zálohy onu radu myslíte?

MOJE DATA MAJÍ KOMPLETNĚ VELIKOST TŘÍ 3TB DISKŮ - TO ZNAMENÁ, ŽE MÁM NĚKDE ZÁLOHOVAT VŠECH 9TB JEŠTĚ NĚKDE JINDE? To si nedovedu představit...

Navíc na jednom z disků byla právě ona záloha všech dat, tento disk byl však právě k PC také připojen, takže i zálohovaná data byla samozřejmě rovněž dešifrována !!!! O jaké záloze nebo radě „obnovit data ze zálohy“ tedy vlastně mluvíme?

Jak tedy myslíte „ze zálohy“? Myslíte z nějakého disku, kam jsem všechna data zkopíroval a zazálohoval? Ano, tento disk mám, všechna data tam mám zálohována, ale jak říkám, tento disk byl právě během napadení rovněž připojen k počítači, neboť jsem tam poslední celý den zálohoval. Mluvíme tedy o této záloze, kterou mám, ale rovněž napadenou?

To je jakože vaše rada? Udělej datům pápá?

jak jsem psal, na internetu v mnoha videích někteří normálně pomocí složitého nastavení v registrech apod... (nebudu se na základě mého předchozího posledního příspěvku opakovat), dokázali data dešifrovat zpět.
Určitě když šly zašifrovat, lze je i dešifrovat. A navíc ta videa na internetu (rady, jak to udělat), jim to skutečně šlo, případně tam dělaly nějaké kroky, které zabraly. Takže jsem myslel, že vy mi poradíte a ne rady typu, udělej datům pápá.

Cituji z internetu:

Tento ransomware šifruje uživatelské soubory pomocí šifrování AES-256 v kombinaci s šifrováním RSA-2048

To je samozřejmě nějaký jiný typ Ransomwaru, ale šifrování všech se zatím dá nějak rozšifrovat, stejně jaké ten můj .vvew

A lze je nějak určitě rozšifrovat, způsoby jsou složité a na internetu si je můžete kdyžtak vyhledat, když mi nevěříte. Tímto se na Vás obracím s pomocí :(

Ne, to nebyla rada, to byla realita.

Pro některé lidi je jednodušší řešit obnovu a rozšifrování dat, než je obnovit ze zálohy. Nechápu to, ale je to tak. A taky existuje dost lidí, kteří začali zálohovat teprve až tehdy, když o svá důležitá data přišli.

šifrování AES-256 v kombinaci s šifrováním RSA-2048

Da se to rozsifrovat, kdyz znas sifrovaci klic. To sifrovani je tak dokonale, ze nedokazes sifrovaci klic uhodnout. Respektive na vykonem PC by to trvalo mozna i sto let, nez by ten sifrovaci klic nasel.

Nesdílím tvoje představy, že to určitě musí jít rozšifrovat podle nějakých návodů i bez znalosti klíčů.

MOJE DATA MAJÍ KOMPLETNĚ VELIKOST TŘÍ 3TB DISKŮ - TO ZNAMENÁ, ŽE MÁM NĚKDE ZÁLOHOVAT VŠECH 9TB JEŠTĚ NĚKDE JINDE? To si nedovedu představit...
Navíc na jednom z disků byla právě ona záloha všech dat, tento disk byl však právě k PC také připojen,

Tak píšeš, že máš cca 9 TB dat a všechna byla zálohovaná na dalším disku, to tedy máš v PC trvale na data 3 kusy 3TB a další jeden asi 10TB jako externí nebo interní většinou odpojený?
Asi se s daty rozluč, případně můžeš kontaktovat nějakou firmu na záchranu dat, ale levné to nebude. Výhoda je, že většinou alespoň diagnostiku udělají zdarma a pak data obnoví po dohodě o ceně.
Jestli za data ale považuješ nějaké filmy a hry, tak ty se dají sehnat znova a levněji. Pochybuji, že máš 9 TB svých soukromých fotek nebo videí a dokumentů z Wordu.

Ty jses vtipny clovek. :-)

Velikost 9TB je vcelku normalni zalezitost a i mnohem vetsi objemy dat se daji zalohovat. 9TB je uplne v pohode, nakonec to pises sam, jsou to pouhe 3x3TB disky teda 3x2.500Kc a co se tyka zalohy, tak 6 disku je celkem 15.000 Kc, teda jedno mesicni plat cloveka s minimalni mzdou. Sranda!

Jestli byl zalozni disk zrovna pripojen a zalohoval jsi na nej, je to neprijemne. Resit se to da tak, ze budes mit zalohy dve a jedna bude vzdy offline. Chapu, ze to zvysuje narocnost na zalohovani, ale chrani to presne proti takoveto situaci. Jinak je lepsi mit vic mensich disku a pri zalohovani pripojen jen jeden, protoze v pripade tohohle problemu riskujes mene dat, pokud se nerozhodnes mit tu bezpecnostni zalohu navic.

Kazdopadne podle toho, co jsem o tom cetl, je to pravdepodobne dobre zasifrovane a bez znalosti toho privatniho klice to nerozsifrujes, teda muzes ta data odepsat, zformatovat to a zacit znovu na cistem stole.

Pokud nemáš zálohu dat, tak to máš holt blbý, no.

Mám asi 6TB ne-až-tak-kritických dat, každá sada na jiném počítači, na každém tom počítači RAID5, každý soubor s kontrolním součtem a nikdy nejsou naráz zapnuté všechny tři. Naopak většinu času jsou vypnuté.
Samozřejmě, že tyto počítače slouží k zálohování, nikoli ke stahování, zkoušení nějakých programů, nebo k běžné práci.
A samozřejmě na nich není nic, co by se jen tak samo - bez explicitního příkazu - updatovalo (tím myslím hlavně OS, protože jinak tam není (kromě dat) takřka nic).

Co se týče důležitých firemních dat (kterých je teda míň), tak některá jsou na 8 strojích v různých lokalitách (z toho na 4 jsou ve více kopiích), ta opravdu důležitá pak jsou na více než stovce lokalit - samozřejmě s kontrolními součty, také HW je různý (a nejen x86), takže tolik nehrozí nějaký problém s vadnou sérií.

Že je restriktivní firewall na každém z těch počítačů je samozřejmost, stejně jako to, že tam neběží řádné explicitně neschválené programy.

Což už je záloha celkem spolehlivá. (A jasně, prostě někdo to bere fakt vážně a jiný nemá zálohu a o data prostě přijde.)

Navíc na jednom disku byla právě ona záloha všech dat, tento disk byl právě ale k PC také připojen

to mluví za vše.
šifrovací ransomware je běžnou realitou posledních let a microsoft pro jeho rozšíření udělal spoustu dobrého:
- normální je mít povolené zobrazení přípon souborů, bohužel m$ má výchozí nastavení opačně a spoluzavinil tím zavirování stovek miliónů pc.
- ransomware se skvěle rozšířil přes makra v m$office nejdřív kvůli chybějícímu zabezpečení vb, později kvůli nekompatibilitě ochrany se staršími verzemi souborů
- zašifrování tolika tb dat nějakou dobu trvá, a přesto sis ty ani tvůj "antivir" ničeho nevšiml

jestli za zálohu považuješ usb disk, to si asi děláš srandu. u něj neexistuje ochrana přístupovými právy, čili všechny soubory které ty vidíš, je virus schopný zničit.
to jde použít jen v případě bezpečně se chovajícího uživatele, který neinstaluje co nemá ani neotvírá žádné cizí přílohy.
zase jde ten disk fajn přenášet a zkusit na nezamořeném pc soubory odšifrovat.

to samé se stane, když sice použiješ nasku, ale úroveň obsluhy a zabezpečení tvého pc je na nule a zálohy si běžně přimapuješ ze svého zavirovaného pc přes sdílení (smb).
bezpečnou metodou by bylo použít zálohovací / synchronizační utilitu od výrobce nasky.
nebo mít na nasce různé oddíly pro kritické soubory a pro běžný odpad, kterého není při ztrátě škoda.
a když máš v domácnosti lidi s horší úrovní pc gramotnosti, nenechávat jim nikdy přístup na nasku k důležitým souborům, ale zálohu provést z čistého pc sám. bohužel pokud tou pohromou pro bezpečnost jsi ty, je ti záloha k ničemu, jak právě vidíš.

Nakonec se mi viry/malare podařilo je z PC odstranit.

tak tím bych si vůbec nebyl jist. nutná ruční kontrola:
- pro kontrolu spouštěcích míst ms autoruns -> záložky: logon (po spuštění), services (služby), scheduled tasks (naplánované úlohy).
- pro kontrolu procesů v paměti process explorer.
volitelně:
- zobrazení aplikací komunikujících s netem ms tcpview.
- proti adware a spyware jednoduchý adwcleaner.

a samozřejmě spustit bootovací antivirové pc serióznějšího výrobce (avira, drweb, eset, kaspersky) a z něj proskenovat tvůj systém:
https://www.lifewire.com/free-bootable-antivirus-tools-2625785

teprve potom můžeš na tom pc zkoušet něco dešifrovat - a ne že vytuhneš na délce cesty vnořených adresářů, to je směšné.
500-1000usd, zřejmě od tvůrce viru: https://gridinsoft.com/ransomware/djvu/vvew
tos asi použil: https://www.bugsfighter.com/remove-vvew-ransomware-and-decrypt-vvew-files/
trial verze by stála za vyzkoušení: https://www.zonealarm.com/anti-ransomware
sbírka různých decryptorů, potřebuješ vědět co řádilo u tebe: https://www.nomoreransom.org/en/decryption-tools.html

Podívej se na to, co ti psal čitateľ, 30.07.2022 09:24
Vezmi nějaký zašifrovaný soubor, dej ho do nějakého dočasně vytvořeného adresáře s krátkým náznem a uvidíš.
A co že máš 9T dat? Taky tady mám stovky CD, DVD, HDD s daty. Ale to jsou jenom zálohy.
Kolikpak z těch 9T používáš?

Ne, nic jsem neinstaloval, nestahoval a navíc mám antivirus

Tak to potom ani nepoužívaš internet? Ale veď ten AV si musel stiahnuť. Niekto tu už spomínal práva OS. Mal by si mať nastavené najprísnejšie práva, čiže nech sa ti zobrazuje neustále okno s žiadosťou ak sa majú vykonať zásadné zmeny v OS alebo nejaké spustenia. Nie si vedomý ohľadom SW výbavy tvojho systému, nevieš správne identifikovať čo je bezpečné, čo je pochybné... To si myslíš že ten AV je bezpečný? Samotná podstata tohto typu SW je zlá. To isté automatizátory, čističe, boostre a ine pioviny. Mimochodom ani samotný OS nie je bezpečný. MS je dlhé roky pochybná firma, ruku do ohna by som za ich produkt nedal. Ich kód je uzatvorený, nikto netuší čo tam je, vlastne ani samotný pracovníci nevedia pretože je to tak rozsiahly a rozosratý systém...

Přeinstalování systému mi absolutně nepomůže v dešifrování a obnovení dat (navíc virus a malware jsem už dávno odstranil z počítače)

Všetky fyzické disky treba 100% sformátovať a odinicializovať ideálne cez CMD pri novej inštalácii OS. Kde máš istotu že si ho odstránil? Je nemožné to potvrdiť. Nikdy si nebudeš mohol byť istý. Jediná istota je 100% zmazanie všetkých dát a nahodiť to z neskompromitovaného systému. V nabúranom OS by som ani len bootovaciu flešku nerobil. Taktiež by som tam nezapájal ďalšie disky. Ten systém je nebezpečný.

3. Obnovit data ze zálohy? Myšleno jak? Já měl disk se zálohou k PC právě připojen, neboť jsem s ním pracoval a ona data jsem na něj během dvou dnů přesouval!

Záloha je záloha. Nemáš s ňou aktívne a dlhodobo pracovať. Ak máš extrémne cenné dáta tak si naštuduj pravidlá zálohovania. Ak si pracoval s ext.HDD tak je to rozširujúca kapacita a nie záloha. Ja mám zálohu len čisto na zálohu a úplne najcennejšie dáta ktoré nežerú až toľko kapacity mám ešte na zopár ďalších lokáciách.

A ze zálohy myslíte jakože jak? MOJE DATA MAJÍ KOMPLETNĚ VELIKOST TŘÍ 3TB DISKŮ - TO ZNAMENÁ, ŽE MÁM NĚKDE ZÁLOHOVAT VŠECH 9TB JEŠTĚ NĚKDE JINDE? Poměrně nereálné. Navíc na jednom disku byla právě ona záloha všech dat, tento disk byl právě ale k PC také připojen, takže i zálohovaná data byla samozřejmě rovněž dešifrována!!!! O jaké záloze nebo radě „obnovit data ze zálohy“ tedy vlastně mluvíme?

Ak sú tie dáta cenné tak to je pre teba taký problém kúpiť zálohovacie ext.HDD? Zase až tak obrovské kapacity to nie sú. Neviem čo všetko si skúšal na dešifrovanie ale ak raz nemáš kľúč tak smola. Inak tie dáta sú šifrované nie dešifrované. Ja som už o dáta prišiel, je to síce ťažké prijať ale ak sú preč už nič nespravíš. Zmier sa s tým a hlavne sa pouč do budúcna.

Tak myslim, ze se neozyva, teda to pochopil a rozdychava to ted, ze holt proste o data prisel. Netreba psat sem dalsi podobne komenty.

Nicmene teda narazil jsem tu i na par "zajimavosti" napriklad:

Všetky fyzické disky treba 100% sformátovať a odinicializovať

Proc?

Boot jde z jedineho disku - bootovaciho oddilu, jestlize tenhle disk zformatujes, nahrajes na nej novy cisty OS, tak mas vyreseno. Neni zadny duvod k obave, ze by se ten vir nejak zahadne spustil z jineho datoveho disku. Teda za predpokladu, ze neni uzivatel blbec a nespusti si ho sam. Pokud mam ale datovy disk plny fotografii a videa, tak nevidim zadny duvod, proc si pridelavat praci a formatovat ho.

Já už přidám jen tzv. dobré rady pro to, jak zálohovat.

1. zálohy nejsou trvale připojeny k PC nebo síti.
2. Pokud jsou např. na trvale připojeném síťovém úložišti, je vhodné zajistit:
....a. použití nestandardního účtu a hesla (které je nutno zadat vždy znova při přihlášení)
....b. použití jiných protokolů než "klasického" SMB, např. NFS apod.
....c. použití snapshotů (pokud je dané síťové zařízení podporuje - tj. vše, co umí ZFS, takže už to zvládají třeba i Synology/QNAP, ale jistota je TrueNAS)
....d. použití zálohovacího SW, který má middleware (tj. do úložiště vidí jen tento SW) - např. ideální je nasadit přímo na "pracovní" NAS některé zálohovací nástroje a zálohovat na druhý zálohovací NAS, nebo alespoň zálohovací disk připojený k NASu.

Už přechod na NFS je pro většinu ransomware hajzlíků konečná - pokud se to spáruje se snapshoty, je jistota téměř 100%.

Hladal si pocitacoveho guru?
Ano tu som.
Odviroval som a desifroval som uz desiatky diskov v minulosti, takze mam bohate skusenosti.
Ak chces posli vsetky zasifrovane disky a ja sa ti na to pozriem.
Ale dopredu ti hovorim, ze cena za desifrovanie bude +-1000 eur podla narocnosti a % uspesnosti.
Takze kludne napisa a dohodneme sa.

P.S. Este stale sa ti zda, ze zakladne zalohovanie na NAS je pre teba zbytocne a nerealne;o)?

Mudrost dna:
Uzivatelia PC sa delia na tych, co zalohuju a na tych, co este neprisli o ziadne data.

Jen tak pro zajímavost.
Princip šifrování souborů pomocí openssl z pohledu šifrovacího malwaru.

A) PŘÍPRAVA
(provede útočník u sebe)

1) Vygeneruje se privátní RSA klíč (private.pem)

openssl genrsa -out private.pem 4096

(ten si nechá útočník)

2) Vygeneruje se veřejný RSA klíč (public.pem)

openssl rsa -in private.pem -pubout -out public.pem

(ten se použije při útoku)

-----BEGIN PUBLIC KEY-----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-----END PUBLIC KEY-----

(RSA klíče můžou být pro různé útoky stejné)

B) ÚTOK
(na napadeném pc)

1) Vygeneruje se jedinečné heslo na AES šifrování dat (pw.txt)

openssl rand -out pw.txt -base64 32

(jeden útok (např. jeden hardware) = jedno AES heslo)

2) Heslo se zašifruje pomocí veřejného RSA klíče

openssl pkeyutl -encrypt -pubin -inkey public.pem -in pw.txt -out pw-en.txt

3) Zašifrování souboru pomopcí AES a hesla

openssl enc -aes256 -pbkdf2 -in plaintext.txt -out plaintext-en.txt -pass file:pw.txt

4) Spojení zašifrovaného hesla a zašifrovaného souboru

copy /B pw-en.txt + plaintext-en.txt encrypted.txt

5) Hromadné šifrování souborů
Provádí se pořád dokola B3 a B4

6) Base64 zašifrovaného hesla

openssl base64 -in pw-en.txt -out pw-en-base64-en.txt

(to se vloží třeba v informacích jak kontaktovat útočníka)
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7) Odstranění nezašifrovaného hesla (pw.txt, systémové logy, atd.)

C) Dešifrování

1) Získání AES hesla
Pokud napadený pošle zašifrované heslo v base64 podobě (B6) tak pokračovat bodem C2, pokud pošle náhodný zašifrovaný soubor (B4, encrypted.txt) tak pokračovat bodem C3

2) Base64 dekódování zašifrovaného hesla

openssl base64 -d -in pw-en-base64-en.txt -out pw-en.txt

3) Dešifrování zašifrovaného hesla

openssl pkeyutl -decrypt -inkey private.pem -in pw-en.txt -out pw.txt

(pw-en.txt získán bodem C2 nebo jako prvních 512 B zaslaného zašifrovaného souboru encrypted.txt)

4) Dešifrování souboru

openssl enc -aes256 -pbkdf2 -d -in plaintext-en.txt -out plaintext.txt -pass file:pw.txt

(plaintext-en.txt jsou 513+ bajty zašifrovaného souboru)

5) Hromadné dešifrovnání souborů
Provádí se dokola bod C4.

...
Poznámka:
openssl je globálně používaný open source nástroj nedetekovaný antiviry
...
Použité cmd, výstupy bez nezašifrovaného hesla použitého v příkladu a bez privátního RSA klíče použitého v příkladu.
Kdo chce, může se pokusit rozšifrovat zašifrovaný soubor (plaintext-en.txt nebo encrypted.txt, ten druhý je to samé, akorát se zašifrovaným heslem)

myslíš jako ochranu proti kryptovirům?
To záleží. Pokud je read-only jen na úrovni příznaku filesystému, tak ne. Pokud je to nastaveno právy, tak ano, za předpokladu, že nemáš práva na změnu práv a malware se nebude schopen nikdy a nijak spustit v kontextu správce, který má práva plná. Ale pak je tu ještě známý případ děr v NASech apod. (např. známý D-Link s dírou jako vrata) kde se kryptovir dokázal nacpat přímo do firmware NASu a veškeré zabezpečení na uživatelské úrovni obejít.

ochrana read-only nefungovala ani na stare viry pod dosem.

kdyz nechces mit poskozene zalohy, musis zajistit cisty stav pc = vsimat si co dela.
nebo si dej nejaky c:\honeypot.jpg a pri kazdem startu kontroluj jeho velikost. kdyz se zmeni -> vyskakovaci cervene okno ze "ransomware".
nebo nejaky cihajici profi antiransomware.

usb disk nijak nezabezpecis. naopak, nedavno tu byl truhlik s nejakym lockfolder - tak ten si ty data zneskodnil sam, nepotreboval ani vir.

Zpět do poradny Odpovědět na původní otázku Nahoru