Dešifrování souborů .vvew po napadení počítače virem/malwarem
Dobrý den.
Naneštěstí mi dnes někdo hacnkul PC, respektive zkrátka ani nevím jak, neboť jsem žádné programy neinstaloval ani nestahoval ani nic podobného, mi dneska nějaký de*il, kterého to očividně hodně baví, zašifroval virem/malarem většin souborů, a to hlavně JPG, případně i .exe soubory a zkrátka jakékoliv soubory dále typu .pdf, .doc apod, kdy z původních souborů .jpg vzniklo .jpg.vvew, z .pdf vzniklo .pdf.vvew apod.
Byl to docela humusácký a velmi odolný virus, vůbec se mi nedařilo jej z PC odstranit, a to ani pomocí těch nejúčinnějších metod. Nakonec jsem pomocí bodu obnovy a odstranění škodlivých spouštěcích .exe souborů a aplikací virus odstranil. Virus mi způsobovat samovolné spouštění mnoha dalších naprogramovaných malwarů, procesor vytěžoval na 100 %, dokonce nešlo použít jakékoliv účinné softwary pro jejich zneškodnění.
Nakonec se mi viry/malare podařilo je z PC odstranit.
Ovšem, bohužel, i po bodu obnovení zůstaly dokumenty a soubory zašifrovány a co jsem našel na internetu, tak poměrně šikovně.
Zkoušel jsem dle videií na youtube, která jsou dle mě stejně neúčinná jako rady a řešení, vše dešifrovat. Neúspěšně. Nastavení v registrech dle videí nezabralo (mnohdy stejně ve videu měl dotyčný zcela jiné soubory a registry, než já, takže se postup stejně neshodoval).
Dle stránky https://virus-removal-guide.net/cs/73473-vvew-ransomware/, jsem si stáhnul i případný Emsisoft Decryptor for STOP Djvu ale nic se neděje, respektive žádný úspěch, napsalo to ERROR.
Navíc jsem ještě dal na soubory zašifrované .vvew kliknul, aby se otevírala tato přípona např. vždy ve Microsoft Office 2010 Picture Manager, takže se teď všechny soubory zašifrované s .vvew jeví jako obrázkové (bez ohledu na původní příponu), takže ikony se změnily na ikony Picture Manager, ale samozřejmě ani .jpg.vvew nelze v picture manager otevřít, stále jsou prostě zašifrované.
Pomůže mi, prosím, někdo, jak úspěšně dešifrovat ony soubory, případně jakou cestu použít (klidně i přes případné nastavení registrů, jako tomu je na mnoha videích na youtube - ale jak jsem psal, mě se to dle návodu nepodařilo, navíc ne úplně všemu jsem tam rozuměl.
Přikládám i ukázku, jak vypadají soubory po zašifrování ([i].jpg -> .jpg.vvew; .pdf -> .pdf.vvew[/i] atd...)
Děkuji Vám moc.
Prosím, jak všichni tady, co mi radíte obnovit data ze zálohy onu radu myslíte?
MOJE DATA MAJÍ KOMPLETNĚ VELIKOST TŘÍ 3TB DISKŮ - TO ZNAMENÁ, ŽE MÁM NĚKDE ZÁLOHOVAT VŠECH 9TB JEŠTĚ NĚKDE JINDE? To si nedovedu představit...
Navíc na jednom z disků byla právě ona záloha všech dat, tento disk byl však právě k PC také připojen, takže i zálohovaná data byla samozřejmě rovněž dešifrována !!!! O jaké záloze nebo radě „obnovit data ze zálohy“ tedy vlastně mluvíme?
Jak tedy myslíte „ze zálohy“? Myslíte z nějakého disku, kam jsem všechna data zkopíroval a zazálohoval? Ano, tento disk mám, všechna data tam mám zálohována, ale jak říkám, tento disk byl právě během napadení rovněž připojen k počítači, neboť jsem tam poslední celý den zálohoval. Mluvíme tedy o této záloze, kterou mám, ale rovněž napadenou?
Tak si to nepředstavuj. A udělej datům pápá.
Jo a ještě si oprav CapsLock.
To je jakože vaše rada? Udělej datům pápá?
jak jsem psal, na internetu v mnoha videích někteří normálně pomocí složitého nastavení v registrech apod... (nebudu se na základě mého předchozího posledního příspěvku opakovat), dokázali data dešifrovat zpět.
Určitě když šly zašifrovat, lze je i dešifrovat. A navíc ta videa na internetu (rady, jak to udělat), jim to skutečně šlo, případně tam dělaly nějaké kroky, které zabraly. Takže jsem myslel, že vy mi poradíte a ne rady typu, udělej datům pápá.
Cituji z internetu:
To je samozřejmě nějaký jiný typ Ransomwaru, ale šifrování všech se zatím dá nějak rozšifrovat, stejně jaké ten můj .vvew
A lze je nějak určitě rozšifrovat, způsoby jsou složité a na internetu si je můžete kdyžtak vyhledat, když mi nevěříte. Tímto se na Vás obracím s pomocí :(
Ne, to nebyla rada, to byla realita.
Pro některé lidi je jednodušší řešit obnovu a rozšifrování dat, než je obnovit ze zálohy. Nechápu to, ale je to tak. A taky existuje dost lidí, kteří začali zálohovat teprve až tehdy, když o svá důležitá data přišli.
Taky se už za nás, kmetů, říkalo, že existují jen dva druhy uživatelů, ti, kteří zálohují a ti, kteří o data ještě nepřišli..
Tak to potom ani nepoužívaš internet? Ale veď ten AV si musel stiahnuť. Niekto tu už spomínal práva OS. Mal by si mať nastavené najprísnejšie práva, čiže nech sa ti zobrazuje neustále okno s žiadosťou ak sa majú vykonať zásadné zmeny v OS alebo nejaké spustenia. Nie si vedomý ohľadom SW výbavy tvojho systému, nevieš správne identifikovať čo je bezpečné, čo je pochybné... To si myslíš že ten AV je bezpečný? Samotná podstata tohto typu SW je zlá. To isté automatizátory, čističe, boostre a ine pioviny. Mimochodom ani samotný OS nie je bezpečný. MS je dlhé roky pochybná firma, ruku do ohna by som za ich produkt nedal. Ich kód je uzatvorený, nikto netuší čo tam je, vlastne ani samotný pracovníci nevedia pretože je to tak rozsiahly a rozosratý systém...
Všetky fyzické disky treba 100% sformátovať a odinicializovať ideálne cez CMD pri novej inštalácii OS. Kde máš istotu že si ho odstránil? Je nemožné to potvrdiť. Nikdy si nebudeš mohol byť istý. Jediná istota je 100% zmazanie všetkých dát a nahodiť to z neskompromitovaného systému. V nabúranom OS by som ani len bootovaciu flešku nerobil. Taktiež by som tam nezapájal ďalšie disky. Ten systém je nebezpečný.
Záloha je záloha. Nemáš s ňou aktívne a dlhodobo pracovať. Ak máš extrémne cenné dáta tak si naštuduj pravidlá zálohovania. Ak si pracoval s ext.HDD tak je to rozširujúca kapacita a nie záloha. Ja mám zálohu len čisto na zálohu a úplne najcennejšie dáta ktoré nežerú až toľko kapacity mám ešte na zopár ďalších lokáciách.
Ak sú tie dáta cenné tak to je pre teba taký problém kúpiť zálohovacie ext.HDD? Zase až tak obrovské kapacity to nie sú. Neviem čo všetko si skúšal na dešifrovanie ale ak raz nemáš kľúč tak smola. Inak tie dáta sú šifrované nie dešifrované. Ja som už o dáta prišiel, je to síce ťažké prijať ale ak sú preč už nič nespravíš. Zmier sa s tým a hlavne sa pouč do budúcna.
Tak myslim, ze se neozyva, teda to pochopil a rozdychava to ted, ze holt proste o data prisel. Netreba psat sem dalsi podobne komenty.
Nicmene teda narazil jsem tu i na par "zajimavosti" napriklad:
Proc?
Boot jde z jedineho disku - bootovaciho oddilu, jestlize tenhle disk zformatujes, nahrajes na nej novy cisty OS, tak mas vyreseno. Neni zadny duvod k obave, ze by se ten vir nejak zahadne spustil z jineho datoveho disku. Teda za predpokladu, ze neni uzivatel blbec a nespusti si ho sam. Pokud mam ale datovy disk plny fotografii a videa, tak nevidim zadny duvod, proc si pridelavat praci a formatovat ho.
Hladal si pocitacoveho guru?
Ano tu som.
Odviroval som a desifroval som uz desiatky diskov v minulosti, takze mam bohate skusenosti.
Ak chces posli vsetky zasifrovane disky a ja sa ti na to pozriem.
Ale dopredu ti hovorim, ze cena za desifrovanie bude +-1000 eur podla narocnosti a % uspesnosti.
Takze kludne napisa a dohodneme sa.
P.S. Este stale sa ti zda, ze zakladne zalohovanie na NAS je pre teba zbytocne a nerealne;o)?
Mudrost dna:
Uzivatelia PC sa delia na tych, co zalohuju a na tych, co este neprisli o ziadne data.
Je možné získat nějaké menší poškozené soubory?
Raději od všech těchto původních přípon - PDF, JPG, DOC, DOCX, XLS, XLSX, EXE).
Zkusil bych to analyzovat... třeba pak přijdu s pomocí.
Tazatel už nereaguje, asi ze zoufalství vzal provaz a šel se zastřelit do rybníka.
Jestli si chceš hrát a analyzovat tak dešifruj encrypted.txt z rsa-aes-example.zip co mám v příspěvku níže.
Jak jsem k zašifrovanému souboru přišel je popsané v příspěvku, včetně použitého veřejného RSA klíče pro zašifrování AES hesla.
Připomínám ty vzorky...
Možná nejsem jediný očekávající reakci.
Neotravuj, teď na tebe nemá čas!
Jen tak pro zajímavost.
Princip šifrování souborů pomocí openssl z pohledu šifrovacího malwaru.
A) PŘÍPRAVA
(provede útočník u sebe)
1) Vygeneruje se privátní RSA klíč (private.pem)
(ten si nechá útočník)
2) Vygeneruje se veřejný RSA klíč (public.pem)
(ten se použije při útoku)
(RSA klíče můžou být pro různé útoky stejné)
B) ÚTOK
(na napadeném pc)
1) Vygeneruje se jedinečné heslo na AES šifrování dat (pw.txt)
(jeden útok (např. jeden hardware) = jedno AES heslo)
2) Heslo se zašifruje pomocí veřejného RSA klíče
3) Zašifrování souboru pomopcí AES a hesla
4) Spojení zašifrovaného hesla a zašifrovaného souboru
5) Hromadné šifrování souborů
Provádí se pořád dokola B3 a B4
6) Base64 zašifrovaného hesla
(to se vloží třeba v informacích jak kontaktovat útočníka)
7) Odstranění nezašifrovaného hesla (pw.txt, systémové logy, atd.)
C) Dešifrování
1) Získání AES hesla
Pokud napadený pošle zašifrované heslo v base64 podobě (B6) tak pokračovat bodem C2, pokud pošle náhodný zašifrovaný soubor (B4, encrypted.txt) tak pokračovat bodem C3
2) Base64 dekódování zašifrovaného hesla
3) Dešifrování zašifrovaného hesla
(pw-en.txt získán bodem C2 nebo jako prvních 512 B zaslaného zašifrovaného souboru encrypted.txt)
4) Dešifrování souboru
(plaintext-en.txt jsou 513+ bajty zašifrovaného souboru)
5) Hromadné dešifrovnání souborů
Provádí se dokola bod C4.
...
Poznámka:
openssl je globálně používaný open source nástroj nedetekovaný antiviry
...
Použité cmd, výstupy bez nezašifrovaného hesla použitého v příkladu a bez privátního RSA klíče použitého v příkladu.
Kdo chce, může se pokusit rozšifrovat zašifrovaný soubor (plaintext-en.txt nebo encrypted.txt, ten druhý je to samé, akorát se zašifrovaným heslem)
Pánové ted mě napadlo, že moje zbírka fotek, je kompletně všechna nastavena na pouze čtení, tak se ptám, kdybi (ne Facecosi nemám) mě také někdo napadl, bude to fungovat?
Co tím konkrétně myslíš? Že jsi nastavil R atribut? To je ochrana tak maximálně dobrá proti náhodnému přepsání, ale určitě ne proti cílenému útoku.
No jestli myslíš něco ve smyslu:
attrib -R soubor.txt
...což zruší souboru soubor.txt atribut "Jen pro čtení"...
... tak já bych teda na to moc nespoléhal
... jestli to myslíš jako obranu proti šifrovacímu malwaru
Když to vezmu teoreticky, tak pokud vir bude spuštěn pod admin účtem, může atributy souboru změnit, ne?
myslíš jako ochranu proti kryptovirům?
To záleží. Pokud je read-only jen na úrovni příznaku filesystému, tak ne. Pokud je to nastaveno právy, tak ano, za předpokladu, že nemáš práva na změnu práv a malware se nebude schopen nikdy a nijak spustit v kontextu správce, který má práva plná. Ale pak je tu ještě známý případ děr v NASech apod. (např. známý D-Link s dírou jako vrata) kde se kryptovir dokázal nacpat přímo do firmware NASu a veškeré zabezpečení na uživatelské úrovni obejít.
Urcite, pokud mas typ uloziste souboru, ktere nelze prepisovat, da se pouze jedinkrat zapsat, tak je to dobra ochrana. Nas to v praci zachranilo, kdyz nam jinak vsechno zasifrovali.
ochrana read-only nefungovala ani na stare viry pod dosem.
kdyz nechces mit poskozene zalohy, musis zajistit cisty stav pc = vsimat si co dela.
nebo si dej nejaky c:\honeypot.jpg a pri kazdem startu kontroluj jeho velikost. kdyz se zmeni -> vyskakovaci cervene okno ze "ransomware".
nebo nejaky cihajici profi antiransomware.
usb disk nijak nezabezpecis. naopak, nedavno tu byl truhlik s nejakym lockfolder - tak ten si ty data zneskodnil sam, nepotreboval ani vir.
Díky všem, už je mě to jasné, je to nanic. to jsem chtěl slyšet.
Na kinderviry to stačit bude, profíka to nezastaví.