VirTool:Win32/Defender Tampering Restore
Nazdar,
Dnes nemám svoj deň, sťahoval som z warez stránky hru, a ked som na inštalačku klikol,
Tak mi začala hučať graficka karta. Pozeral som čo to spôsobuje a program zavrel.
Len že tým to nekončilo, začal sa mi sám od seba otvárať prehliadač a všetko sa mi spomalilo.
Teraz to došlo do takého štádia, že nemôžem do počítača vôbec nič stiahnuť. Žiadny antivirus alebo program pomocou ktorého
by som to skúšal odstrániť. Teraz naposledy som skúšal odinštalovať prehliadač chrom a aj dáta prehliadania, ale vôbec to nepomohlo.
Spätne sa mi Google chrom ani nedá stiahnuť a nainštalovať, preto píšem cez edge.
Mal by prosím niekto radu ako sa toho zbvaviť bez toho aby som musel robiť preinštaláciu celého os??
Vdaka
Jaké je ID v souboru C:\SystemID\PersonalID.txt?
Klíče končící na "t1" ==> byl použitý off-line klíč.
U novějších verzí toho svinstva je šance na záchranu souborů, pokud byly zašifrovány off-line klíčem.
Pro další analýzu je třeba někam nahrát škodlivý soubor. Nejlépe zazipované s heslem, aby si to někdo taky neužil.
Heslo zip souboru = BF97xq61xVzc@o*Z1Y&$
poznáš prosím ťa nejakú stránku kde by som to mohol urýchlene niekam poslať zazipované? lebo na ulož to to trvá dlho
https://www.uschovna.cz/
Ten odkaz čo som tu dal je jedna fotka z 1000ky čo majú rovnakú príponu a nejdú otvoriť. Obávať sa nemusíš že si tým niečo poškodíš. Ten súbor ktorím som si poškodil súbory už nemám
Právě ten škodlivý exe je potřebný. Šlo by tu hru stáhnout znovu a poskytnout mi jen ten infikovaný soubor?
už som to našiel
Your personal ID:
0545Jhyjd5Pk4ZlmA9WdUsSsJ7UUY4awFbzuwOHwxz6QMhHRI
Jak byla přesná cesta k tomu ID souboru?
Název a přípona souboru byly jaké?
Je třeba reagovat pečlivěji.
ATTENTION!
Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-lFoTUDc1Fx
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
support@bestyourmail.ch
Reserve e-mail address to contact us:
datarestorehelp@airmail.cc
Your personal ID:
0545Jhyjd5Pk4ZlmA9WdUsSsJ7UUY4awFbzuwOHwxz6QMhHRI
Vypadá to, že se jedná o on-line variantu. Je potřebný klíč, který je pravděpodobně uložený na serveru útočníka.
Momentálně nevidím možné řešení.
Platí to, co jsem psal včera. Klid v duši a dát tomu čas. Je dost pravděpodobné, že je otázkou času, kdy se podaří data zachránit. Takže určitě nezoufat. Vzít si to jako životní ponaučení a změnit své zlozvyky. Ustanovit si dobré a nové návyky. Konec kázání mouder.
Doporučuji se zaměřit na ujasnění si, co a kde bylo a jaká důležitá data byla poškozena (paradoxně to může dodat klidu v duši). Je dost možné, že ten prevít nestihl zašifrovat vše. Nenechat se zmást, protože ne vše s příponou *.qqjj může být poškozené (takže alespoň nahodile vybrané a zkopírované soubory změnit v příponách a zkusit je otevřít).
Pro příště... ve chvílích běhu škodlivé aktivity je nutné bezodkladné vypnutí datových úložišť, aby poškození bylo co nejmenšího rozsahu.
Ten poškozený soubor si s dovolením ponechám a v budoucnu se k tomu zkusím vrátit. Pokud se zadaří, napíšu sem.
Tazatel si může k vláknu nastavit e-mailové zasílání oznámení o nových příspěvcích.
Nechápu proč ten malware má to klíčování tak blbě řešené, rozdělené na offline a online...
Tipuju, že používá jednu hromadu párů klíčů RSA na offline šifrování a na dešifrování posílá privátní klíč, proto to jde dešifrovat.
A na online používá pro každý útok jedinečný RSA pár klíčů a na dešifrování taky posílá ten privátní klíč, ale to v tomto případě neva.
(bez ohledu na to jestli pak data šifruje pomocí AES)
Nechápu proč to neřeší tak jak jsem to popsal tu:
https://pc.poradna.net/questions/3150403-desifrovani-souboru-vvew-po-napadeni-pocitace-virem-malwarem#r3150998
tedy jeden RSA pár klíčů na všechno, šifrovat AES klíč a při dešifrování posílat jen dešifrovaný AES klíč a privátní RSA klíč nikomu neposílat. V tom případě online i offline dešifrování nejde nijak jinak vyřešit než pomocí privátního klíče, který má a který nedá útočník.
Ano, ano, ano... správné úvahy.
Používají RSA. Klíče jsou jedinečné.
Soukromý klíč napadeného má v držení útočník. Ten ho uvolní prostřednictvím decryptovadla po zaplacení výpalného.
Dyť je to postavené na hlavu
. Nechápu proč místo veřejného klíče neposílá dešifrovaný AES klíč 
Co se zeptat u ESETu? Třeba to mistři vysvětlí. Jsem jen řadový hasič...
Nevysvětlí. Prostě ten tvůrce malwaru to řeší hodně hloupě.
(na to online to sice nemá vliv, ale na to offline ano)