Miesiąc temu pisałem na mirko o wirusie który zaszyfrował mojej mamuśce dysk uniemożliwiając dostęp do plików graficznych i dokumentów. Pomyslałem wtedy "na pewno coś otworzyła - lewego maila, dziwną stronę albo cholera wie co". A dzisiaj jeb - to samo spotkało mnie.
Nie otwierałem żadnego maila, żadnej dziwnej strony a jak się okazało mam od paru godzin zaszyfrowane wszystkie dokumenty i zdjęcia. To co spotkało moją mamuśke spotkało i mnie - mimo, że mam schiza na punkcie zabezpieczeń i bezpieczeństwa.
Mam windowsa 7, wszystkie aktualizacje, antywirusa (nortona - oryginalnego!) z aktualkami z dzisiaj i jeb - nic to nie dało.
Na dysku potworzyło się tysiace plików o nazwie HELP_DECRYPT o rozszerzeniu html, png lub txt z informacją, że zaszyfrowano pliki i by odzyskać do nich dostęp trzeba zapłacić kilkaset dolarów. Nie da się otworzyć żadnego pliku graficznego czy dokumentu bo albo wywala błąd albo wyskakuja chińskie znaczki.
Ja na szczęście co 2-3 tygodnie robie backupy całego dysku, wiec straty będą minimalne i będę stratny co najwyżej o kilkanaście godzin pracy - a Wy? Co będzie jeśli i Wy złapiecie takie gówno? Szans na rozszyfrowanie praktycznie nie ma. By odzyskać pliki z mamuśkowego laptopa bawiłem się ostatnio programami do odzyskiwania danych. Udało mi się odzyskać może 30% plików.
Aktualnie siadam do eliminowania skutków wirusa. Aktualnie mogę powiedzieć że:
- utworzono mi na dysku C: ponad 12 tys plików o nazwie HELP_DECRYPT w każdym folderze na dysku C.
- Pliki graficzne i dokumenty prawdopodobnie zostają niezmienione do czasu ich otwarcia. Oglądałem własnie plik, jego data modyfikacji pokazywała czerwiec, a po otwarciu pliku data modyfikacji zmieniła się na aktualną datę.
- do autostartu i rejestru trafiły nowe pliki
- w logach antywirusa istnieje wpis który informuje, że zablokowano "cryptodefensa" - jak widać antywirus nie dał rady.
Aktualnie robię backupy najważniejszych plików na pendrive i dyski zewnętrzne. W komentarzu (jeśli kogoś to zainteresuje) napiszę co udało mi sie osiągnać za kilka godzin.
Myślę, że warto wykopać ten wpis, by ludzie mieli świadomość, że nawet osoby obeznane z tematem mogą paść ofiarą takiego dziadostwa. Mimo posiadania dużej wiedzy o zabezpieczeniu systemu, legalnego i aktualnego antywirusa mimo, że nie wchodziłem na żadną nową stronę jestem teraz ofiarą.
Moje rady: róbcie kopie najważniejszych plików i liczcie się z tym, że czasem nawet najlepszy antywirus gówno Wam da.
Komentarze (447)
najlepsze
- przestępcy np. zakładają firmę i kupują reklamy
- banery we Flashu mają dodatkowy kod przekierowujący na stronę przestępców
- na tej stronie czeka tzw. exploit
– Adblock
– Flashblock
– wywalić Javę z przeglądarki
To wszystko marketingowe bzdury nie mające nic wspólnego z rzeczywistością.
http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
Większość antywirów nie widzi nawet infekcji - https://www.virustotal.com/pl/file/9e3c179bf7153fe018be7349e9a6d4432a0ace95886a6d5ad1669c1fe74cda4f/analysis/1447287379/
Tylko 5 antywirusów na 54 widzą zagrożenie.
@chomik3: oczywiste jest to, że większość AV nie widzi infekcji. Wystarczy przeczytać powód wynikający z opisu jednj z sygnatur: "TR/Crypt". Czyli oryginalny kod został zaciemniony, aby uniknąć wykrycia przez AV.
oraz
Ni #!$%@? w parze nie idzie!
BTW schizę nie schiza
@QBA__:
Wszystkie programy, które doinstalowuje po postawieniu linuksa są spoza repo np. vmplayer.
I o to chodzi bo ten wirus szyfruje dokumenty użytkownika.
@QBA__: (⌐ ͡■ ͜ʖ ͡■)