Stefan

Hej Skura! Będzie update tego odcinka? Sporo czasu minęło, pewnie zebrałeś wiele doświadczeń. Bardzo chętnie bym posłuchał, bo na pewno warto. PS podobno jest teraz jakiś nowy co się nazywa Ransomware

Lukszmar

Ja trochę spóźniony, ale polecam na przyszłość Esset Smart Security (obecnie wersja 8). Wykupienie licencji na rok około 100 zł kosztuje (za pierwszym razem drożej). Chroni przed wszystkim. Ku pokrzepieniu serc - trzymaj się! Będzie dobrze! Na przyszłość będziesz mądrzejszy :).

Stefan

Kiedyś widziałem wywiad z pewnym kierowcą rajdowym. Miał on wypadek na torze, dość poważny, zabrali go do szpital. Jednak gdy tylko oodzykał siły pierwsze co zrobił to do samochodu i na tor. Powiedział, że gdyby tego nie zrobił to już nigdy by nie potrafił dobrze jeździć, a strach by go prześladował na każdym kroku.

Zatem, Skura wracaj do działania. Postaw nowy dobrze zabezpieczony podwójny system, w tym jeden wirtualny. 4 dyski 1 TB. Przeproś się z chomikiem. Zdjęcia na płyty

Stefan

Czytałem o tym kiedyś. Podobno nic się nie dało zrobić poza zapłatą i czekaniu na klucz.
Powiadomione odpowiednie służby wszczeły dochodzenie i podobno przez ich działania sprawcy utracili klucze, zatem ludzie którzy wpłacili nie mogli odszyfrować danych. Wcześniej podobo rządali po 700$.

Podobno aby się uchronić przed przykrymi konsekwencjami różnych naszych działań w siecie warto łączyć się z siecią z równoległego OS postawionego na wirtualnej maszynie np. Virtual Boxie. Zatem możemy używć jednego kompa ale z zainstalowanym wirtualnym systemem.
Na forach czytałem, jak ludzie testowali ataki tego wirusa i czy antywirus je wykrywa. Okazało się, że rzeczywiście nie wykrywa ale atak wirusa na wirtualny system niczego groźnego nie robi naszemu głównemu systemowi.

Dobry sposób na backup to chomikuj.pl. Nieskonczona pojemność, no może słabe bezpieczenstwo ale za to za darmo. Szyfrujemy nasze pliki kilkoma programami do szyfrowania 7zip, etc. ładujemy do chomika, Jak ktoś złamie takiego chomika to nie będzie miał pożytku z takich danych.

Po takim wypadku należy natychmiast powrócić do dalszych produkcji, żeby się ogarnąć z tym wydarzeniem, bo inaczej się nie pozbierasz.

Tu mogą pomóc: https://hackerspace.pl/

ŻarłokTV

:D

Adam

No i w pizdu i zaszyfrował... No i chuj no i cześć...

stach

Mnie nie mówiłeś ani razu.

Chmurze? :D Ten wirus wejdzie ci nawet do chmury (jeśli masz dysk sieciowy w chmurze) np. do DropBoxa wchodzi.

"Jakby były ważne, to byś se robił backup" - no właśnie nie jestem znany z robienia backapów, tylko archiwów, czyli dysków odłączonych od kompa, które sobie spokojnie siedzą. Problem w tym, że kiedy wirus atakował to akurat dysk był podpięty. Jak mówiłem plików rozszerzeń .MTS .MP3 .WAVE nie szyfrował więc chociaż tyle. Ale NA PRZYKŁAD* zaszyfrował mi napisany rok temu scenariusz żTV "Cała prawda o leczeniu kanałowym/Kamyczki" , który był dopracowany i napisany rok temu po wielu wizytach u dentysty taki stand up, no i ni cholery nie mogę se przypomnieć tamtych żartów bo mózg wypiera złe wspomnienia. Tylko odcinek czekał na to aż znajdę chętnych do jego nakręcenia. No i teraz od wczoraj próbuję sobie to przypomnieć.
*więc musiałbym właśnie ci wypisywać CO TO BYŁY ZA RÓZNE RZECZY, to byś sam ocenił sobie jak to było ważne. No abstrahując od rzeczy typu prywatne fotki sprzed lat, wyjazdy etc.
Nowe życie?! Będę musiał zatrzymać te zaszyfrowane pliki mając nadzieję, że jakiś haker kiedyś rozpracuje tego wirusa, tak jak było z jedną z poprzednich wersji. Albo CryptoVaultem chyba i Bitcryptem czy jakoś tak, którego rozpracował Kaspersky z jakimś drugim, twórcy ponoć też zostali złapani do więzienia i wszyscy co się zgłosili do policji zostali rozkodowani. więc część ludzi stojących za tymi atakami (bo to nie tylko Cryptowall0 siedzi.

Kasia

ech, to wyjątkowo paskudna sytuacja. Spóbuj może znaleźć kontakt w internecie do tych ludzi:
Mateusz Jurczyk https://www.linkedin.com/in...
i Gynvael Coldwind
może Ci polecą kogoś, lub gdzie szukać wyjścia. O ile odpiszą..

stach

Właśnie,Niestety niektóre wersje wirusa KASUJĄ TZW SHADOW FILES czyli - poprzednie ver plików. Obawiam się, że miałem coś takiego, gdyż podczas ataku (kiedy jeszcze nie wiedziałem że to atak) wyskakiwała mi "typowa windowsowska ikonka">>czy przejść na konto administratora żeby wykonać coś tam?<< (po ang mniej więcej). BRAŁEM NIE - i wyskakiwała ponownie. Dopiero jak wirusa rozpoznałem to właśnie wiedziałem, że to chce mi skasować "shadow files" czy "quiet files" Więc wiedziałem, że nie mogę nacisnąć TAK. Jednak kiedy odłączyłem dysk 2TB bo wreszcie do mnie dotarło to co powinienem ODRUCHOWO zrobić [ale ze względu na szok, tak jakby ktoś w lesie, czy n aulicy zaatakował] zapomniałem o podstawowych odruchach. Ale wracając -> jak to odpiąłem, to wirus nie miał już co szyfrować i wtedy SAM JAKOŚ SE WSZEDŁ JAKO ADMIN I WYKASOWAŁ TE QUIET/SHADOW FILES NA DYSKU C. A w sumie na dysku C miałem kilka plikow TXT ze scenariuszami/pomysłami/szkicami. Więc owszem była szansa na coś takiego. Widocznie po pewnym czasie hakerzy zupdatewali ten malware i jajco.

A program ShadowExplorer po zainstalowaniu nie widzi nic. Poza tym BTW na dysku zewn. takie shadow copies chyba nie działają bo wtedy z dysku 2TB robiłby się 1TB :|

A co do skasowania wszystkich pliczków TXT i HTML, które wirus rozmnożył po wszystkich katalogach - jeszcze tego nie robiłem, ALE OBAWIAM SIĘ , że ten komentarz mógł napisać ktoś od twórców wirusa (to jedyny koment tego usera) - ponieważ ten Hiszpan co na blogu i na YT rozpracował ten PERSONAL KEY i za pomocą jakiejś firmy stworzył generator kluczy do wirusa, to on mówił w TYM video: https://www.youtube.com/wat... że wg niego w pierwszym pliku tym "HOW_TO_DECRYPT etc" jest zaszyfrowane hasło/personal key, gdyż to HASŁO/PERSONAL KEY do rozszyfrowania utraconych plików MUSI GDZIEŚ BYĆ ZAPISANE NA KOMPIE OFIARY.
Mam nadzieję, że tak jak temu Hiszpanowi uda się rozpracować wirusa (oby to nie był ten sam człowiek co twórca) to komus za jakiś czas uda się dojść do tej nowej wersji wirusa. BTW ja nie wiem czy miałem wersję 3.0 czy 4.0 - chyba coś pomiędzy. Bo w tym TXT nie podaje że to Cryptowall 3.0 - tylko podaje sam typ szyfrowania i link do wiki [jak w poście na samym dole] . Więc pewnie utrudnili to tak bym nie wiedział nawet jak szukać i ochrony PRZED CZYM. :(

Martin Lechowicz

No jak były ważne? Jakby były ważne, to byś se robił backup. Albo synchronizował między paroma urządzeniami. Albo trzymał w chmurze. A dysk backupowy by był odłączony (tak jak u mnie).

No od ilu lat ja ludziom mówiłem, żeby backupy robić?

No, jest okazja to rozpoczęcia nowego życia. Mało przyjemne, ale ma to swoje plusy.

Kasia

wiadomość z 2 października z tego forum http://security.stackexchan...

chodzi chyba mniej więcej o to: http://www.wintips.org/rest...
próbowałeś już tego?

"I might have found a way to recover your files. My laptop was infected with Crypto 3.0 last week. I removed it with SpyHunter, but I thought I lost all my files after reading all the stories on the net. I didn't have a recent back-up. And all my tries to recover the files as recommended "restore old version" and ShadowExplorer faileduntil now. I went on "Search program and files" and searched for all the files from Crypto "Help_decrypt". It will list you all the "Help_decrypt" files, which I deleted then. You have to run it thoroughly, so you really remove all the files from your computer. Afterwards I was able to recover all my files (as I can see so far) with the ShadowExplore. Easily.
I am not sure, whether this was a coincidence or a solution, but it did definitely helped me.
Good luck"

edit:
zresztą i na polskich stronach można znaleźć coś podobnego:
http://www.mediatester.pl/j...

stach

Podaje jeszcze bloga którego gość zalozył w sprawie poprzedniego Cryptowalla, którego rozpracował http://howdecrypt.blogspot....

pawelooss

Tylko taki sznurek jestem w stanie podrzucić:
https://niebezpiecznik.pl/p...

O, to ja kiedyś zainstalowałem JDownloader 2, czym zasyfiłem sobie cały system jakimś spywarem i wirusami. Od tej pory nie używam tego gówna, ani innych akceleratorów pobierania.

Przykra sprawa, też jestem maniakiem katalogowania i archiwizowania...

stach

http://i63.tinypic.com/dcua...

stach

Zhakowany chyba nawet jest TXT, albo schowek, nie da się zrobić copy/paste: Wiec print screeny daje:

http://i65.tinypic.com/n3ru...

http://i64.tinypic.com/aext...

Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.