Miesiąc temu pisałem na mirko o wirusie który zaszyfrował mojej mamuśce dysk uniemożliwiając dostęp do plików graficznych i dokumentów. Pomyslałem wtedy "na pewno coś otworzyła - lewego maila, dziwną stronę albo cholera wie co". A dzisiaj jeb - to samo spotkało mnie.
Nie otwierałem żadnego maila, żadnej dziwnej strony a jak się okazało mam od paru godzin zaszyfrowane wszystkie dokumenty i zdjęcia. To co spotkało moją mamuśke spotkało i mnie - mimo, że mam schiza na punkcie zabezpieczeń i bezpieczeństwa.
Mam windowsa 7, wszystkie aktualizacje, antywirusa (nortona - oryginalnego!) z aktualkami z dzisiaj i jeb - nic to nie dało.
Na dysku potworzyło się tysiace plików o nazwie HELP_DECRYPT o rozszerzeniu html, png lub txt z informacją, że zaszyfrowano pliki i by odzyskać do nich dostęp trzeba zapłacić kilkaset dolarów. Nie da się otworzyć żadnego pliku graficznego czy dokumentu bo albo wywala błąd albo wyskakuja chińskie znaczki.
Ja na szczęście co 2-3 tygodnie robie backupy całego dysku, wiec straty będą minimalne i będę stratny co najwyżej o kilkanaście godzin pracy - a Wy? Co będzie jeśli i Wy złapiecie takie gówno? Szans na rozszyfrowanie praktycznie nie ma. By odzyskać pliki z mamuśkowego laptopa bawiłem się ostatnio programami do odzyskiwania danych. Udało mi się odzyskać może 30% plików.
Aktualnie siadam do eliminowania skutków wirusa. Aktualnie mogę powiedzieć że:
- utworzono mi na dysku C: ponad 12 tys plików o nazwie HELP_DECRYPT w każdym folderze na dysku C.
- Pliki graficzne i dokumenty prawdopodobnie zostają niezmienione do czasu ich otwarcia. Oglądałem własnie plik, jego data modyfikacji pokazywała czerwiec, a po otwarciu pliku data modyfikacji zmieniła się na aktualną datę.
- do autostartu i rejestru trafiły nowe pliki
- w logach antywirusa istnieje wpis który informuje, że zablokowano "cryptodefensa" - jak widać antywirus nie dał rady.
Aktualnie robię backupy najważniejszych plików na pendrive i dyski zewnętrzne. W komentarzu (jeśli kogoś to zainteresuje) napiszę co udało mi sie osiągnać za kilka godzin.
Myślę, że warto wykopać ten wpis, by ludzie mieli świadomość, że nawet osoby obeznane z tematem mogą paść ofiarą takiego dziadostwa. Mimo posiadania dużej wiedzy o zabezpieczeniu systemu, legalnego i aktualnego antywirusa mimo, że nie wchodziłem na żadną nową stronę jestem teraz ofiarą.
Moje rady: róbcie kopie najważniejszych plików i liczcie się z tym, że czasem nawet najlepszy antywirus gówno Wam da.
Komentarze (447)
najlepsze
https://www.virustotal.com/ :)
Eset rozpoznał Win32/Filecoder.CR w pliku system32/SearchProtocolHost.exe - plik jest na dysku od czasu instalki windowsa.
@chomik3: pamietaj, ze data utworzenia i modyfikacji pliku to sa cyferki na dysku. Mozna zmodyfikowac plik bez zmiany daty modyfikacji pliku - tak najczesciej robia wirusy.
A jak u ciebie z javą i flashem? też były zaktualizowane?
- tych co robią backupy
- tych co będą robić
- tych co robią, ale źle
( ͡° ͜ʖ ͡°)
https://www.youtube.com/watch?v=a-550YcY3uE
1. Dropbox. Automatyczna synchronizacja, historia plików. Czyli jeśli byś wgrał zaszyfrowany plik to możesz przywrócić starszą
Jest to kopia z wczoraj i jak raz ją Cobian zrobił tak sobie tam leży. Ale jeśli dzisiaj bym złapał wirusa i ten wirus zaszyfrowałby mi TEN
Z tego co piszesz wynika, że codziennie pchasz po internecie kupę gigabajtów. Jeśli masz silne łącze to nie ma problemu - w innym przypadku zastanowiłbym się nad strategią - to aż się prosi o kopie różnicowe.
Jeśli masz naprawdę mało zmian to można nawet pomyśleć o gicie (tylko w takim przypadku nie