Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Dešifrování souborů .vvew po napadení počítače virem/malwarem

Dobrý den.
Naneštěstí mi dnes někdo hacnkul PC, respektive zkrátka ani nevím jak, neboť jsem žádné programy neinstaloval ani nestahoval ani nic podobného, mi dneska nějaký de*il, kterého to očividně hodně baví, zašifroval virem/malarem většin souborů, a to hlavně JPG, případně i .exe soubory a zkrátka jakékoliv soubory dále typu .pdf, .doc apod, kdy z původních souborů .jpg vzniklo .jpg.vvew, z .pdf vzniklo .pdf.vvew apod.
Byl to docela humusácký a velmi odolný virus, vůbec se mi nedařilo jej z PC odstranit, a to ani pomocí těch nejúčinnějších metod. Nakonec jsem pomocí bodu obnovy a odstranění škodlivých spouštěcích .exe souborů a aplikací virus odstranil. Virus mi způsobovat samovolné spouštění mnoha dalších naprogramovaných malwarů, procesor vytěžoval na 100 %, dokonce nešlo použít jakékoliv účinné softwary pro jejich zneškodnění.
Nakonec se mi viry/malare podařilo je z PC odstranit.

Ovšem, bohužel, i po bodu obnovení zůstaly dokumenty a soubory zašifrovány a co jsem našel na internetu, tak poměrně šikovně.
Zkoušel jsem dle videií na youtube, která jsou dle mě stejně neúčinná jako rady a řešení, vše dešifrovat. Neúspěšně. Nastavení v registrech dle videí nezabralo (mnohdy stejně ve videu měl dotyčný zcela jiné soubory a registry, než já, takže se postup stejně neshodoval).
Dle stránky https://virus-removal-guide.net/cs/73473-vvew-ransomware/, jsem si stáhnul i případný Emsisoft Decryptor for STOP Djvu ale nic se neděje, respektive žádný úspěch, napsalo to ERROR.

Navíc jsem ještě dal na soubory zašifrované .vvew kliknul, aby se otevírala tato přípona např. vždy ve Microsoft Office 2010 Picture Manager, takže se teď všechny soubory zašifrované s .vvew jeví jako obrázkové (bez ohledu na původní příponu), takže ikony se změnily na ikony Picture Manager, ale samozřejmě ani .jpg.vvew nelze v picture manager otevřít, stále jsou prostě zašifrované.

Pomůže mi, prosím, někdo, jak úspěšně dešifrovat ony soubory, případně jakou cestu použít (klidně i přes případné nastavení registrů, jako tomu je na mnoha videích na youtube - ale jak jsem psal, mě se to dle návodu nepodařilo, navíc ne úplně všemu jsem tam rozuměl.

Přikládám i ukázku, jak vypadají soubory po zašifrování ([i].jpg -> .jpg.vvew; .pdf -> .pdf.vvew[/i] atd...)

Děkuji Vám moc.

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny
Předmět Autor Datum
Prosím, jak všichni tady, co mi radíte obnovit data ze zálohy onu radu myslíte? MOJE DATA MAJÍ KOMP…
David Dizzer 30.07.2022 12:54
David Dizzer
MOJE DATA MAJÍ KOMPLETNĚ VELIKOST TŘÍ 3TB DISKŮ - TO ZNAMENÁ, ŽE MÁM NĚKDE ZÁLOHOVAT VŠECH 9TB JEŠTĚ…
host 30.07.2022 13:00
host
To je jakože vaše rada? Udělej datům pápá? jak jsem psal, na internetu v mnoha videích někteří norm…
David Dizzer 30.07.2022 13:12
David Dizzer
Ne, to nebyla rada, to byla realita. Pro některé lidi je jednodušší řešit obnovu a rozšifrování dat…
host 30.07.2022 13:20
host
Taky se už za nás, kmetů, říkalo, že existují jen dva druhy uživatelů, ti, kteří zálohují a ti, kteř… nový
ApoCalypse 01.08.2022 09:37
ApoCalypse
Je možné získat nějaké menší poškozené soubory? Raději od všech těchto původních přípon - PDF, JPG,…
ST 31.07.2022 20:19
ST
Tazatel už nereaguje, asi ze zoufalství vzal provaz a šel se zastřelit do rybníka.:-D nový
Karel04 01.08.2022 00:11
Karel04
Jestli si chceš hrát a analyzovat tak dešifruj encrypted.txt z rsa-aes-example.zip co mám v příspěvk… nový
kacikac 03.08.2022 14:28
kacikac
Připomínám ty vzorky... Možná nejsem jediný očekávající reakci. nový
ST 05.08.2022 12:20
ST
Neotravuj, teď na tebe nemá čas! :-p poslední
host 05.08.2022 12:26
host
Jen tak pro zajímavost. Princip šifrování souborů pomocí openssl z pohledu šifrovacího malwaru. A)… nový
kacikac 03.08.2022 14:21
kacikac
Pánové ted mě napadlo, že moje zbírka fotek, je kompletně všechna nastavena na pouze čtení, tak se p… nový
jezekhifi 03.08.2022 14:46
jezekhifi
Co tím konkrétně myslíš? Že jsi nastavil R atribut? To je ochrana tak maximálně dobrá proti náhodném… nový
Wikan 03.08.2022 15:01
Wikan
No jestli myslíš něco ve smyslu: attrib -R soubor.txt ...což zruší souboru soubor.txt atribut "Jen p… nový
kacikac 03.08.2022 15:02
kacikac
Když to vezmu teoreticky, tak pokud vir bude spuštěn pod admin účtem, může atributy souboru změnit,… nový
host 03.08.2022 15:03
host
myslíš jako ochranu proti kryptovirům? To záleží. Pokud je read-only jen na úrovni příznaku filesyst… nový
touchwood 03.08.2022 15:06
touchwood
Urcite, pokud mas typ uloziste souboru, ktere nelze prepisovat, da se pouze jedinkrat zapsat, tak je… nový
RedMaX 03.08.2022 15:11
RedMaX
ochrana read-only nefungovala ani na stare viry pod dosem. kdyz nechces mit poskozene zalohy, musis… nový
brum brum 03.08.2022 15:16
brum brum
Díky všem, už je mě to jasné, je to nanic. to jsem chtěl slyšet. nový
jezekhifi 03.08.2022 15:18
jezekhifi
Na kinderviry to stačit bude, profíka to nezastaví. nový
touchwood 03.08.2022 15:49
touchwood

Prosím, jak všichni tady, co mi radíte obnovit data ze zálohy onu radu myslíte?

MOJE DATA MAJÍ KOMPLETNĚ VELIKOST TŘÍ 3TB DISKŮ - TO ZNAMENÁ, ŽE MÁM NĚKDE ZÁLOHOVAT VŠECH 9TB JEŠTĚ NĚKDE JINDE? To si nedovedu představit...

Navíc na jednom z disků byla právě ona záloha všech dat, tento disk byl však právě k PC také připojen, takže i zálohovaná data byla samozřejmě rovněž dešifrována !!!! O jaké záloze nebo radě „obnovit data ze zálohy“ tedy vlastně mluvíme?

Jak tedy myslíte „ze zálohy“? Myslíte z nějakého disku, kam jsem všechna data zkopíroval a zazálohoval? Ano, tento disk mám, všechna data tam mám zálohována, ale jak říkám, tento disk byl právě během napadení rovněž připojen k počítači, neboť jsem tam poslední celý den zálohoval. Mluvíme tedy o této záloze, kterou mám, ale rovněž napadenou?

To je jakože vaše rada? Udělej datům pápá?

jak jsem psal, na internetu v mnoha videích někteří normálně pomocí složitého nastavení v registrech apod... (nebudu se na základě mého předchozího posledního příspěvku opakovat), dokázali data dešifrovat zpět.
Určitě když šly zašifrovat, lze je i dešifrovat. A navíc ta videa na internetu (rady, jak to udělat), jim to skutečně šlo, případně tam dělaly nějaké kroky, které zabraly. Takže jsem myslel, že vy mi poradíte a ne rady typu, udělej datům pápá.

Cituji z internetu:

Tento ransomware šifruje uživatelské soubory pomocí šifrování AES-256 v kombinaci s šifrováním RSA-2048

To je samozřejmě nějaký jiný typ Ransomwaru, ale šifrování všech se zatím dá nějak rozšifrovat, stejně jaké ten můj .vvew

A lze je nějak určitě rozšifrovat, způsoby jsou složité a na internetu si je můžete kdyžtak vyhledat, když mi nevěříte. Tímto se na Vás obracím s pomocí :(

Jen tak pro zajímavost.
Princip šifrování souborů pomocí openssl z pohledu šifrovacího malwaru.

A) PŘÍPRAVA
(provede útočník u sebe)

1) Vygeneruje se privátní RSA klíč (private.pem)

openssl genrsa -out private.pem 4096

(ten si nechá útočník)

2) Vygeneruje se veřejný RSA klíč (public.pem)

openssl rsa -in private.pem -pubout -out public.pem

(ten se použije při útoku)

-----BEGIN PUBLIC KEY-----
MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEApPxQTdzO855YevSpLyxt
TK1NdPTUFczwEZ29Mz4AwG74C99h/LKX5cm6Z0PktRC0h4h4PXZ54qPbmwonjwb8
6qLPa256tZqP+TFuL3bX8lURrpkcFy8hfJGsTXyeKVxarASp01+0Spx1qeSK+v+X
hxDWnOabHr+QaF2IygEmZ/BC52GhiwHJBQvaGRi3KrcZ9X9ZCM2ao/kQrJEu7ffO
wTFqeBwYBBUswaB1xd4UJ2QhVXyHE3PSYyPhV0hVmiP3RXNX2p3I8LkuPlZZj7yv
F/hiO2+l8afbaYM6cztTpeQCdk+rg19DxPUFQlk37srx9mCB8ODhTX1IuOBD2FCh
Jm4ns7FkpQnAneAEA0Rv+ajamIxZ8NDbjqEB2rRxWLYkaOthf5sWUym6MjhOWXfz
BeG6NfHERnRuqWlG5abeKwMZm/emFVEtMkDG4KWycjweAWJ7xbfwpF+WSRSJG0/R
dz82ZlKxwn5LxiwmByxHT36S3l4V5PuhPjRE5/n/UdWiYbN9uqsTMxIsQNZL5+Rr
cAGuJW9LM0SkGKF1UkK/kxkgZ8xwyx8nmMjjx1QegQQqXU2zf1ej93uZz5h9jnGS
+zvUAsoRdRmwsiGPFrEFSmvvyhES6mDxeCjlA6MWDwLY24CxN+9prjJ22eqOTOCT
7Hv/+vMa6ulgyMNdE86tzs0CAwEAAQ==
-----END PUBLIC KEY-----

(RSA klíče můžou být pro různé útoky stejné)

B) ÚTOK
(na napadeném pc)

1) Vygeneruje se jedinečné heslo na AES šifrování dat (pw.txt)

openssl rand -out pw.txt -base64 32

(jeden útok (např. jeden hardware) = jedno AES heslo)

2) Heslo se zašifruje pomocí veřejného RSA klíče

openssl pkeyutl -encrypt -pubin -inkey public.pem -in pw.txt -out pw-en.txt

3) Zašifrování souboru pomopcí AES a hesla

openssl enc -aes256 -pbkdf2 -in plaintext.txt -out plaintext-en.txt -pass file:pw.txt

4) Spojení zašifrovaného hesla a zašifrovaného souboru

copy /B pw-en.txt + plaintext-en.txt encrypted.txt

5) Hromadné šifrování souborů
Provádí se pořád dokola B3 a B4

6) Base64 zašifrovaného hesla

openssl base64 -in pw-en.txt -out pw-en-base64-en.txt

(to se vloží třeba v informacích jak kontaktovat útočníka)
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7) Odstranění nezašifrovaného hesla (pw.txt, systémové logy, atd.)

C) Dešifrování

1) Získání AES hesla
Pokud napadený pošle zašifrované heslo v base64 podobě (B6) tak pokračovat bodem C2, pokud pošle náhodný zašifrovaný soubor (B4, encrypted.txt) tak pokračovat bodem C3

2) Base64 dekódování zašifrovaného hesla

openssl base64 -d -in pw-en-base64-en.txt -out pw-en.txt

3) Dešifrování zašifrovaného hesla

openssl pkeyutl -decrypt -inkey private.pem -in pw-en.txt -out pw.txt

(pw-en.txt získán bodem C2 nebo jako prvních 512 B zaslaného zašifrovaného souboru encrypted.txt)

4) Dešifrování souboru

openssl enc -aes256 -pbkdf2 -d -in plaintext-en.txt -out plaintext.txt -pass file:pw.txt

(plaintext-en.txt jsou 513+ bajty zašifrovaného souboru)

5) Hromadné dešifrovnání souborů
Provádí se dokola bod C4.

...
Poznámka:
openssl je globálně používaný open source nástroj nedetekovaný antiviry
...
Použité cmd, výstupy bez nezašifrovaného hesla použitého v příkladu a bez privátního RSA klíče použitého v příkladu.
Kdo chce, může se pokusit rozšifrovat zašifrovaný soubor (plaintext-en.txt nebo encrypted.txt, ten druhý je to samé, akorát se zašifrovaným heslem)

myslíš jako ochranu proti kryptovirům?
To záleží. Pokud je read-only jen na úrovni příznaku filesystému, tak ne. Pokud je to nastaveno právy, tak ano, za předpokladu, že nemáš práva na změnu práv a malware se nebude schopen nikdy a nijak spustit v kontextu správce, který má práva plná. Ale pak je tu ještě známý případ děr v NASech apod. (např. známý D-Link s dírou jako vrata) kde se kryptovir dokázal nacpat přímo do firmware NASu a veškeré zabezpečení na uživatelské úrovni obejít.

ochrana read-only nefungovala ani na stare viry pod dosem.

kdyz nechces mit poskozene zalohy, musis zajistit cisty stav pc = vsimat si co dela.
nebo si dej nejaky c:\honeypot.jpg a pri kazdem startu kontroluj jeho velikost. kdyz se zmeni -> vyskakovaci cervene okno ze "ransomware".
nebo nejaky cihajici profi antiransomware.

usb disk nijak nezabezpecis. naopak, nedavno tu byl truhlik s nejakym lockfolder - tak ten si ty data zneskodnil sam, nepotreboval ani vir.

Zpět do poradny Odpovědět na původní otázku Nahoru