Dešifrování souborů .vvew po napadení počítače virem/malwarem
Dobrý den.
Naneštěstí mi dnes někdo hacnkul PC, respektive zkrátka ani nevím jak, neboť jsem žádné programy neinstaloval ani nestahoval ani nic podobného, mi dneska nějaký de*il, kterého to očividně hodně baví, zašifroval virem/malarem většin souborů, a to hlavně JPG, případně i .exe soubory a zkrátka jakékoliv soubory dále typu .pdf, .doc apod, kdy z původních souborů .jpg vzniklo .jpg.vvew, z .pdf vzniklo .pdf.vvew apod.
Byl to docela humusácký a velmi odolný virus, vůbec se mi nedařilo jej z PC odstranit, a to ani pomocí těch nejúčinnějších metod. Nakonec jsem pomocí bodu obnovy a odstranění škodlivých spouštěcích .exe souborů a aplikací virus odstranil. Virus mi způsobovat samovolné spouštění mnoha dalších naprogramovaných malwarů, procesor vytěžoval na 100 %, dokonce nešlo použít jakékoliv účinné softwary pro jejich zneškodnění.
Nakonec se mi viry/malare podařilo je z PC odstranit.
Ovšem, bohužel, i po bodu obnovení zůstaly dokumenty a soubory zašifrovány a co jsem našel na internetu, tak poměrně šikovně.
Zkoušel jsem dle videií na youtube, která jsou dle mě stejně neúčinná jako rady a řešení, vše dešifrovat. Neúspěšně. Nastavení v registrech dle videí nezabralo (mnohdy stejně ve videu měl dotyčný zcela jiné soubory a registry, než já, takže se postup stejně neshodoval).
Dle stránky https://virus-removal-guide.net/cs/73473-vvew-ransomware/, jsem si stáhnul i případný Emsisoft Decryptor for STOP Djvu ale nic se neděje, respektive žádný úspěch, napsalo to ERROR.
Navíc jsem ještě dal na soubory zašifrované .vvew kliknul, aby se otevírala tato přípona např. vždy ve Microsoft Office 2010 Picture Manager, takže se teď všechny soubory zašifrované s .vvew jeví jako obrázkové (bez ohledu na původní příponu), takže ikony se změnily na ikony Picture Manager, ale samozřejmě ani .jpg.vvew nelze v picture manager otevřít, stále jsou prostě zašifrované.
Pomůže mi, prosím, někdo, jak úspěšně dešifrovat ony soubory, případně jakou cestu použít (klidně i přes případné nastavení registrů, jako tomu je na mnoha videích na youtube - ale jak jsem psal, mě se to dle návodu nepodařilo, navíc ne úplně všemu jsem tam rozuměl.
Přikládám i ukázku, jak vypadají soubory po zašifrování ([i].jpg -> .jpg.vvew; .pdf -> .pdf.vvew[/i] atd...)
Děkuji Vám moc.
Je možné získat nějaké menší poškozené soubory?
Raději od všech těchto původních přípon - PDF, JPG, DOC, DOCX, XLS, XLSX, EXE).
Zkusil bych to analyzovat... třeba pak přijdu s pomocí.
Připomínám ty vzorky...
Možná nejsem jediný očekávající reakci.
Neotravuj, teď na tebe nemá čas!
Jen tak pro zajímavost.
Princip šifrování souborů pomocí openssl z pohledu šifrovacího malwaru.
A) PŘÍPRAVA
(provede útočník u sebe)
1) Vygeneruje se privátní RSA klíč (private.pem)
(ten si nechá útočník)
2) Vygeneruje se veřejný RSA klíč (public.pem)
(ten se použije při útoku)
(RSA klíče můžou být pro různé útoky stejné)
B) ÚTOK
(na napadeném pc)
1) Vygeneruje se jedinečné heslo na AES šifrování dat (pw.txt)
(jeden útok (např. jeden hardware) = jedno AES heslo)
2) Heslo se zašifruje pomocí veřejného RSA klíče
3) Zašifrování souboru pomopcí AES a hesla
4) Spojení zašifrovaného hesla a zašifrovaného souboru
5) Hromadné šifrování souborů
Provádí se pořád dokola B3 a B4
6) Base64 zašifrovaného hesla
(to se vloží třeba v informacích jak kontaktovat útočníka)
7) Odstranění nezašifrovaného hesla (pw.txt, systémové logy, atd.)
C) Dešifrování
1) Získání AES hesla
Pokud napadený pošle zašifrované heslo v base64 podobě (B6) tak pokračovat bodem C2, pokud pošle náhodný zašifrovaný soubor (B4, encrypted.txt) tak pokračovat bodem C3
2) Base64 dekódování zašifrovaného hesla
3) Dešifrování zašifrovaného hesla
(pw-en.txt získán bodem C2 nebo jako prvních 512 B zaslaného zašifrovaného souboru encrypted.txt)
4) Dešifrování souboru
(plaintext-en.txt jsou 513+ bajty zašifrovaného souboru)
5) Hromadné dešifrovnání souborů
Provádí se dokola bod C4.
...
Poznámka:
openssl je globálně používaný open source nástroj nedetekovaný antiviry
...
Použité cmd, výstupy bez nezašifrovaného hesla použitého v příkladu a bez privátního RSA klíče použitého v příkladu.
Kdo chce, může se pokusit rozšifrovat zašifrovaný soubor (plaintext-en.txt nebo encrypted.txt, ten druhý je to samé, akorát se zašifrovaným heslem)
Pánové ted mě napadlo, že moje zbírka fotek, je kompletně všechna nastavena na pouze čtení, tak se ptám, kdybi (ne Facecosi nemám) mě také někdo napadl, bude to fungovat?
myslíš jako ochranu proti kryptovirům?
To záleží. Pokud je read-only jen na úrovni příznaku filesystému, tak ne. Pokud je to nastaveno právy, tak ano, za předpokladu, že nemáš práva na změnu práv a malware se nebude schopen nikdy a nijak spustit v kontextu správce, který má práva plná. Ale pak je tu ještě známý případ děr v NASech apod. (např. známý D-Link s dírou jako vrata) kde se kryptovir dokázal nacpat přímo do firmware NASu a veškeré zabezpečení na uživatelské úrovni obejít.
Urcite, pokud mas typ uloziste souboru, ktere nelze prepisovat, da se pouze jedinkrat zapsat, tak je to dobra ochrana. Nas to v praci zachranilo, kdyz nam jinak vsechno zasifrovali.
ochrana read-only nefungovala ani na stare viry pod dosem.
kdyz nechces mit poskozene zalohy, musis zajistit cisty stav pc = vsimat si co dela.
nebo si dej nejaky c:\honeypot.jpg a pri kazdem startu kontroluj jeho velikost. kdyz se zmeni -> vyskakovaci cervene okno ze "ransomware".
nebo nejaky cihajici profi antiransomware.
usb disk nijak nezabezpecis. naopak, nedavno tu byl truhlik s nejakym lockfolder - tak ten si ty data zneskodnil sam, nepotreboval ani vir.
Díky všem, už je mě to jasné, je to nanic. to jsem chtěl slyšet.
Na kinderviry to stačit bude, profíka to nezastaví.