Novy kryptovir ANON
Vcera bolo zasifrovane NASko jednej mojej zakaznicky a vyzera to na novu variantu, o ktorej nikto nic netusi, antiviry ju nevidia a Google tiez nie.
Virus v pc som nenasiel ani po rucnom prechadzani, pricom to vyzera, ze tam stale je napriek beziacemu antiviru, pretoze mi zasifroval obnovene data do cca 1h.
Po odstaveni pc to vyzera, ze data uz nema kto sifrovat.
Budem musiet na nom previest cistu instalaciu, co som kvoli virusu robil naposledy snad pred 20 rokmi.
Na viruse ma este zaujalo, ze vypalnik pyta len 0.007 bc, co je cca 650 eur teraz...som zvyknuty na sumy od 5-10k.
Hosi zalohujte, zalohujte, zalohujte...keby firma (vdaka mne
) nema zalohu je v prdeli...respektive by musela platit vypalnikovi.
This IS ANON RTS LOCKER!!!!
Your computers and servers are encrypted, and backups are deleted.
We use strong encryption algorithms, so no one has yet been able to decrypt their files without our participation.
Remember: The faster you content us and pay, the discount you will get is bigger.
The only way to decrypt your files is to purchase a universal decoder from us, which will restore all the encrypted data and your network.
YOUR PERSONAL ID : 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
Follow our instructions below, and you will recover all your data:
1) Pay 0.007 BTC to Our address.
Address 1 : bc1q74stt84cqhs4c0tmj4rj3rwfa6ef7dc90gg33a
Address 2 : bc1q7ufxwf8zde63f7zgr9hnjjutq3uez2fjp0gyvl
Address 3 : bc1qr5rdc4eewlkct5durxk8nkqm02w0qr6wqtpkg4
2) Send us message with transaction id and your personal id.
TOX ID : 74E8C99142A3DC785F71CE4B88BA42E4DA725E40A162F1FAC0BE16DD9213895A276C98E3DEC9
Email 1 : anon@gartnersdwan.top
Email 2 : anon2025@keemail.me
3) Launch decryptor.exe, which our supportor will send you through email.
What guarantees?
------------------
We value our reputation. If we will not do our work and liabilities, nobody will pay us. This is not in our interests.
All our decryption software is tested by time and will decrypt all your data.
------------------
!!! DO NOT TRY TO RECOVER ANY FILES YOURSELF. WE WILL NOT BE ABLE TO RESTORE THEM!!!
Anon/waldo/djvu/qewe/pcqq kryptovírus je v prvom rade rootkit,štartuje a usadzuje sa obvyke na 0.- 2.reálnom cylindri hdd a 2. virtuálnom cylindri ssd,odtial spraví velmi rýchlo reinfekciu aj po zmazaní a reinštalácii win,systém štartuje a bežný antivírus skenuje zo 4.reálneho cylindra z hdd a virtuálneho z ssd,na likvidáciu treba nejaký antirootkit program ako napr. Sofos HitMan (treba si aktivovať free personal licenciu-sofos ju ponúka pre osobné použitie,inak ide program bez aktivácie nejakej licencie len v demo mode a nič nerobí,len ozaj demonštruje činnosť),len na variantu qewe existuje funkčný dekryptovací program od Emisoft,pre ostatné varianty nič funkčné neexistuje.....
Dnes se používá LBA, tedy dělení na sektory. CHS (Cylindr-Hlava-Sektor) se používalo kdysi dávno.
Typický ransomware se zaměřuje na soubory, ne na boot sektory. Výjimkou byl např. Petya.
Tak to je snad logické, proč likvidovat treba Boot sektor.
Zasáhem do boot sektor (MBR, EFI) znamená, že systém nebo PC vůbec nenaběhne → obětni beránek nemá jak a proč zaplatit ...
Většina ransomwaru se vyhýbá destrukci systému, která by znemožnila komunikaci a platbu.
Já o žádném likvidování boot sektoru nepsal. Nechápu tvůj nelogický příspěvek.
Psal jsem ze mas pravdu, ze se nezameruje na boot sektory.
Kdybys napsal jen toto, tak bych nereagoval, jenže tys v tom příspěvku měl přednášku o likvidování boot sektorů.
Takze oprava...pc nakazene asi nebude, pretoze po cca dalsich 16h po odpojeni podozriveho pc doslo k opatovnemu zasifrovaniu dat na NASe, kde som umyselne nechal otvoreny webovy port a sledoval co tadial tecie.
Zvonku bolo niekolkokrat vyvolane spojenie a bud na dialku alebo priamo z NAS aktivovany sifrovaci skript.
Momentalne som port zavrel a budem skumat, zavrel som moznost Zyxelu komunikovat smerom von a budem cakat ci je skript autonomny a pokusi sa zasifrovat data znovu.
Ak budem mat cas pozriem sa aj na Zyxel, ci ho tam nenajdem niekde ulozeny.
Blbe je, ze je to sice linux, ale dost upraveny, cize nema napriklad standardne logy, ci ine veci, co dost stazuje patranie.
Model Zyxelu? Verze firmware?