Miesiąc temu pisałem na mirko o wirusie który zaszyfrował mojej mamuśce dysk uniemożliwiając dostęp do plików graficznych i dokumentów. Pomyslałem wtedy "na pewno coś otworzyła - lewego maila, dziwną stronę albo cholera wie co". A dzisiaj jeb - to samo spotkało mnie.
Nie otwierałem żadnego maila, żadnej dziwnej strony a jak się okazało mam od paru godzin zaszyfrowane wszystkie dokumenty i zdjęcia. To co spotkało moją mamuśke spotkało i mnie - mimo, że mam schiza na punkcie zabezpieczeń i bezpieczeństwa.
Mam windowsa 7, wszystkie aktualizacje, antywirusa (nortona - oryginalnego!) z aktualkami z dzisiaj i jeb - nic to nie dało.
Na dysku potworzyło się tysiace plików o nazwie HELP_DECRYPT o rozszerzeniu html, png lub txt z informacją, że zaszyfrowano pliki i by odzyskać do nich dostęp trzeba zapłacić kilkaset dolarów. Nie da się otworzyć żadnego pliku graficznego czy dokumentu bo albo wywala błąd albo wyskakuja chińskie znaczki.
Ja na szczęście co 2-3 tygodnie robie backupy całego dysku, wiec straty będą minimalne i będę stratny co najwyżej o kilkanaście godzin pracy - a Wy? Co będzie jeśli i Wy złapiecie takie gówno? Szans na rozszyfrowanie praktycznie nie ma. By odzyskać pliki z mamuśkowego laptopa bawiłem się ostatnio programami do odzyskiwania danych. Udało mi się odzyskać może 30% plików.
Aktualnie siadam do eliminowania skutków wirusa. Aktualnie mogę powiedzieć że:
- utworzono mi na dysku C: ponad 12 tys plików o nazwie HELP_DECRYPT w każdym folderze na dysku C.
- Pliki graficzne i dokumenty prawdopodobnie zostają niezmienione do czasu ich otwarcia. Oglądałem własnie plik, jego data modyfikacji pokazywała czerwiec, a po otwarciu pliku data modyfikacji zmieniła się na aktualną datę.
- do autostartu i rejestru trafiły nowe pliki
- w logach antywirusa istnieje wpis który informuje, że zablokowano "cryptodefensa" - jak widać antywirus nie dał rady.
Aktualnie robię backupy najważniejszych plików na pendrive i dyski zewnętrzne. W komentarzu (jeśli kogoś to zainteresuje) napiszę co udało mi sie osiągnać za kilka godzin.
Myślę, że warto wykopać ten wpis, by ludzie mieli świadomość, że nawet osoby obeznane z tematem mogą paść ofiarą takiego dziadostwa. Mimo posiadania dużej wiedzy o zabezpieczeniu systemu, legalnego i aktualnego antywirusa mimo, że nie wchodziłem na żadną nową stronę jestem teraz ofiarą.
Moje rady: róbcie kopie najważniejszych plików i liczcie się z tym, że czasem nawet najlepszy antywirus gówno Wam da.
Komentarze (447)
najlepsze
:( chomiczku Norton to gówno. Tylko ESET.
Komentarz usunięty przez moderatora
1. Autor malware wypuszcza swój produkt
2. Vendorzy AV rozpoznają malware i dodają go do swoich baz
3. Auto malware zmienia kod, zaciemnia (obfuskuje) itp > malware znów niewykrywalne
4. Vendorzy AV rozpoznaja malware i dodają go do swoich baz
5. Powtórz pkt 2
I tak w kółko, więc antywirus jest dobry dla ZNANYCH zagrożeń, ale żaden z nich nie
Twój komputer jest od dawna komputerem
na szczescie udalo sie to wywalić zwykłym powrotem do kopii zapasowej sprzed aktualizacji, chyba dlatego, ze nie dałem wirusowi
@Rebeliant: Gógiel na chwilę wpisał wypok na #czarnolisto, ze dwa miesiące temu, może wtedy? Syf szedł ze strony w znalezisku.
po aktualizacji od windowsa wróciło do normy wszystko
-zapłacic okup i mieć nadzieje ze dostanie się klucz do odszyfrowania.
-Format i pożegnanie wszystkich plików.
https://www.pcrisk.pl/narzedzia-usuwania/7495-cryptowall-virus
@koob: zdarzał się bug w sofcie odszyfrowującym, że się nie dało. Paradoksem jest to, że w interesie twórców cryptolockera jest, żeby odszyfrowanie działało sprawnie, bo jak pójdzie fama, że program nie odszyfrowuje, to nikt nie zapłaci, a tak ktoś się skusi.
A co do @chomik3 - trochę robisz #!$%@?ę z logiki, bo najpierw piszesz
potem