Novy kryptovir ANON
Vcera bolo zasifrovane NASko jednej mojej zakaznicky a vyzera to na novu variantu, o ktorej nikto nic netusi, antiviry ju nevidia a Google tiez nie.
Virus v pc som nenasiel ani po rucnom prechadzani, pricom to vyzera, ze tam stale je napriek beziacemu antiviru, pretoze mi zasifroval obnovene data do cca 1h.
Po odstaveni pc to vyzera, ze data uz nema kto sifrovat.
Budem musiet na nom previest cistu instalaciu, co som kvoli virusu robil naposledy snad pred 20 rokmi.
Na viruse ma este zaujalo, ze vypalnik pyta len 0.007 bc, co je cca 650 eur teraz...som zvyknuty na sumy od 5-10k.
Hosi zalohujte, zalohujte, zalohujte...keby firma (vdaka mne
) nema zalohu je v prdeli...respektive by musela platit vypalnikovi.
This IS ANON RTS LOCKER!!!!
Your computers and servers are encrypted, and backups are deleted.
We use strong encryption algorithms, so no one has yet been able to decrypt their files without our participation.
Remember: The faster you content us and pay, the discount you will get is bigger.
The only way to decrypt your files is to purchase a universal decoder from us, which will restore all the encrypted data and your network.
YOUR PERSONAL ID : 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
Follow our instructions below, and you will recover all your data:
1) Pay 0.007 BTC to Our address.
Address 1 : bc1q74stt84cqhs4c0tmj4rj3rwfa6ef7dc90gg33a
Address 2 : bc1q7ufxwf8zde63f7zgr9hnjjutq3uez2fjp0gyvl
Address 3 : bc1qr5rdc4eewlkct5durxk8nkqm02w0qr6wqtpkg4
2) Send us message with transaction id and your personal id.
TOX ID : 74E8C99142A3DC785F71CE4B88BA42E4DA725E40A162F1FAC0BE16DD9213895A276C98E3DEC9
Email 1 : anon@gartnersdwan.top
Email 2 : anon2025@keemail.me
3) Launch decryptor.exe, which our supportor will send you through email.
What guarantees?
------------------
We value our reputation. If we will not do our work and liabilities, nobody will pay us. This is not in our interests.
All our decryption software is tested by time and will decrypt all your data.
------------------
!!! DO NOT TRY TO RECOVER ANY FILES YOURSELF. WE WILL NOT BE ABLE TO RESTORE THEM!!!
To je spíš oznámení do Aktualit. Nebo máš nějaký problém/dotaz?
Bylo by zajímavý vypátrat, kde a jak se zákaznice nakazila? Jinak přeinstaluješ PC a zítra může být kryptovir zpátky.
podle popisu tipuju nejakou smb zranitelnost, ale vzhledem k tomu co nasky dnes resi, moznosti bude vic.
navíc parodie (antivir) zřejmě běží na pc, kdežto anon-vir zaútočil na zranitelnou službu na nasce, tu nakazil a teprve tam se z něj stal kyptovací/schovávací ransomware, to by mi dávalo smysl.
Podle druhého a třetího souvětí je malware na pc, ne na nasce.
za mě je postup nákazy jiný - downloader, kterého si antivir nevšimne, je samozřejmě na pc.
tam seskládá něco útočnějšího a napadne právě tu nasku (bez antiviru). ani to nemusí být poslední fáze, hotový ransomware se může dotáhnout a dotvořit až na té nasce.
to spíš pro ostatní jak to dnes funguje, s tebou nehodlám ztrácet čas.
V tom případě by se ty soubory na nasce šifrovaly i při odpojeném pc. Podle toho, co psal fleg: "Po odstaveni pc to vyzera, ze data uz nema kto sifrovat.", se šifrují pouze při připojeném pc, takže podle těchto informací soubory na nasce šifruje něco co je na pc.
To, co píšeš, logické podle mě není.
Anon/waldo/djvu/qewe/pcqq kryptovírus je v prvom rade rootkit,štartuje a usadzuje sa obvyke na 0.- 2.reálnom cylindri hdd a 2. virtuálnom cylindri ssd,odtial spraví velmi rýchlo reinfekciu aj po zmazaní a reinštalácii win,systém štartuje a bežný antivírus skenuje zo 4.reálneho cylindra z hdd a virtuálneho z ssd,na likvidáciu treba nejaký antirootkit program ako napr. Sofos HitMan (treba si aktivovať free personal licenciu-sofos ju ponúka pre osobné použitie,inak ide program bez aktivácie nejakej licencie len v demo mode a nič nerobí,len ozaj demonštruje činnosť),len na variantu qewe existuje funkčný dekryptovací program od Emisoft,pre ostatné varianty nič funkčné neexistuje.....
Dnes se používá LBA, tedy dělení na sektory. CHS (Cylindr-Hlava-Sektor) se používalo kdysi dávno.
Typický ransomware se zaměřuje na soubory, ne na boot sektory. Výjimkou byl např. Petya.
Tak to je snad logické, proč likvidovat treba Boot sektor.
Zasáhem do boot sektor (MBR, EFI) znamená, že systém nebo PC vůbec nenaběhne → obětni beránek nemá jak a proč zaplatit ...
Většina ransomwaru se vyhýbá destrukci systému, která by znemožnila komunikaci a platbu.
Já o žádném likvidování boot sektoru nepsal. Nechápu tvůj nelogický příspěvek.
Psal jsem ze mas pravdu, ze se nezameruje na boot sektory.
Kdybys napsal jen toto, tak bych nereagoval, jenže tys v tom příspěvku měl přednášku o likvidování boot sektorů.
Co napsal COP:
„This IS ANON RTS LOCKER!!!!“ je výhružná zpráva typická pro novou variantu ransomware útoku – konkrétně ANON RTS Locker, který šifruje soubory na počítači nebo serveru a často maže zálohy. Jde o agresivní formu kryptoviru, který se zatím šíří tiše a není dobře detekován běžnými antiviry.
🧨 Co je ANON RTS LOCKER?
• Typ: Ransomware (kryptovirus)
• Chování:
• Šifruje soubory na disku i síťových úložištích (NAS, servery)
• Maže zálohy, aby znemožnil obnovu bez zaplacení
• Zanechává výhružnou zprávu typu „This IS ANON RTS LOCKER!!!!“
• Požadavek: Výkupné (např. 0.007 BTC ≈ 650 €) za dešifrovací klíč
• Detekce: Mnoho antivirů ho zatím nevidí – šíří se tiše, často přes infikované přílohy nebo skripty
🧪 Jak poznat infekci
• Soubory mají změněné přípony (např. )
• Ztráta přístupu k datům, chybové hlášky při otevírání
• Zpráva typu „Your computers and servers are encrypted, and backups are deleted“
• Výkupné v BTC, často s časovým limitem
Použít specializovaný nástroj na odstranění ransomware – např. Combo Cleaner nebo Emsisoft
Takze oprava...pc nakazene asi nebude, pretoze po cca dalsich 16h po odpojeni podozriveho pc doslo k opatovnemu zasifrovaniu dat na NASe, kde som umyselne nechal otvoreny webovy port a sledoval co tadial tecie.
Zvonku bolo niekolkokrat vyvolane spojenie a bud na dialku alebo priamo z NAS aktivovany sifrovaci skript.
Momentalne som port zavrel a budem skumat, zavrel som moznost Zyxelu komunikovat smerom von a budem cakat ci je skript autonomny a pokusi sa zasifrovat data znovu.
Ak budem mat cas pozriem sa aj na Zyxel, ci ho tam nenajdem niekde ulozeny.
Blbe je, ze je to sice linux, ale dost upraveny, cize nema napriklad standardne logy, ci ine veci, co dost stazuje patranie.
Model Zyxelu? Verze firmware?