CTB Locker :(

[Srdan]

Mislim zbog ovoga što ti je našao key za jpge, a ne za rarove. Što ne bi key od jpga trebao biti isti i za rar ako na kompu imaš jedan virus?

[Roy]

Citiraj:

Autor Srdan

Mislim zbog ovoga što ti je našao key za jpge, a ne za rarove. Što ne bi key od jpga trebao biti isti i za rar ako na kompu imaš jedan virus?

Trebalo bi biti, sad sam pokušao sa detekcijom keya na jpgu i iako kaže da je našao ključ nijedan fajl ne dekriptira ispravno (rar, jpg, dwg, ništa)

[Forace]

Ja izvrtio raknija na jednom *.doc -u za nekih 44h na serveru, nula bodova.

Sad malo gledao sa HEX editorom orginal fajla i enkriptirani i izgleda da u ovoj mojoj verziji ubacuje određene dijelove jer su isti u različitim tipovima datoteka i to na par mjesta.

Probat ću rakniju dat jpeg na analizu ...

A ova fora što imam secret.key ne pomaže jer nije ispravne dužine za tu vrstu.

[cako]

Citiraj:

Autor Veki-os

Stigao mi na "popravak" laptop s nekim crypto virusom,guglam i koliko vidim zasad nema načina za vratiti kriptirane file-ove,samo za maknuti virus

Da li je netko uspio rijesiti ,ovaj crypto virus, na OS win7 64 bit??

Pokusao sa Avirom, Malwarebyte -om, Super AntiSpyware-om i nema efekta.

[acer]

Ne čitaš sve
http://www.techspot.com/downloads/62...decryptor.html

Ovo gore skini daj mu jedan zaraženi fajl, potrajat će neko vrijeme dok nadje ključ.
Ja sam uspio na jednom kompu, a i kolege ovdje na forumu takodjer.
Nakon što nadje ključ program ce automatski dekriptirati sve fajlove.

[Veki-os]

Mislim da on pita za rješavanje virusa.
Uspio sam ga maknuti sa SpyHunterom 4 ali moraš imati licencu ili "khm"

Ili probaj sa "Kaspersky Virus Removal Tool" ili "Kaspersky Rescue Disk + WindowsUnlocker" http://support.kaspersky.com/viruses...rusremovaltool

[Vuco]

Hvala dečki na odličnim postovima ovdje. Riješio kumu problem sa freespeechmail sranjem.

Trebalo je dobih 10h na Xeonu sa 8 jezgri da dekriptira.

Vjerojatno jer nisam imao ovaj fajl što kažu da ubrzava proces:

Citiraj:

IMPORTANT: Trojan-Ransom.Win32.Rakhni creates the exit.hhr.oshit file that contains an encrypted password to user's files. If this file remains on the computer, it will make decryption with the RakhniDecryptor utility faster. If the file has been removed, it can be recovered with file recovery utilities. After the file is recovered, put it into %APPDATA% and run the scan with the utility once again. The exit.hhr.oshit file has the following path:

Windows XP: C:\Documents and Settings\<username>\Application Data
Windows 7/8: C:\Users\<username>\AppData\Roaming

[softwaremaniac]

Nisam uopće preimenovao fajle. Samo sam mu dao firektorij s jednom fajlom i dalje je sve sam decryptor odradio.

[swlroby]

pozdrav
meni su zakljucani sa "files were protected by a strong encryption with RSA-2048 using CryptoWall 3.0."
kad pokrenem rakhnidecryptor nista se ne događa ima li koji slican program iste namjene...

[cako]

Evo da javim da sam uspio rijesit to crypto smece!
Ocistio sa spyhunterom 4 , decriptiranje je trajalo skoro puna dva dana (samo jedna datoteka) kad je nasao sifru onda je oko sat vremena trajalo decriptiranje ostalih datoteka! !
Na laptopu je bio celeron pa valjda je zbog toga islo sporo
Uglavnom, decki hvala na savjetima i pomoci !

[Slow]

Dajte molim vas samo javite i koji točno malware vas je pogodio, da ostali znaju da li decrypter radi i na drugim nekim varijantama

[Roy]

Korisna stranica glede varijanti lockera

[Mmatija]

Čim tu pišem, znači da sam ubo prstom u g.... :-(

Kriptirane datoteke na mrežnom disku i backup-u (koji je bio spojen, jer ga je trebalo odraditi). Niti jedan komp nije dobio po piksi, samo mrežni diskovi.
Ono što mi je čudno, je da je samo dio svega kriptiran... Kao da sam ga prekinuo u pola posla.

Moj gad je id-2881951649_av666@weekendwarrior.com
Na svaku datoteku doda taj nastavak.

Ako netko zna... Da li dekripciju treba pokrenuti na kompu na koje je i počelo to sr.nje ili mogu kopirati kriptirane datoteke na bolji stroj i na njemu testirati Kaspersky-eve decryptere?

[Roy]

Citiraj:

Autor Mmatija

Čim tu pišem, znači da sam ubo prstom u g.... :-(

Kriptirane datoteke na mrežnom disku i backup-u (koji je bio spojen, jer ga je trebalo odraditi). Niti jedan komp nije dobio po piksi, samo mrežni diskovi.
Ono što mi je čudno, je da je samo dio svega kriptiran... Kao da sam ga prekinuo u pola posla.

Moj gad je id-2881951649_av666@weekendwarrior.com
Na svaku datoteku doda taj nastavak.

Ako netko zna... Da li dekripciju treba pokrenuti na kompu na koje je i počelo to sr.nje ili mogu kopirati kriptirane datoteke na bolji stroj i na njemu testirati Kaspersky-eve decryptere?

Možeš na bolji stroj, ili lošiji koji možeš ostaviti neko vrijeme da to vrti.

[Veki-os]

Citiraj:

Autor Mmatija

Čim tu pišem, znači da sam ubo prstom u g.... :-(

Kriptirane datoteke na mrežnom disku i backup-u (koji je bio spojen, jer ga je trebalo odraditi). Niti jedan komp nije dobio po piksi, samo mrežni diskovi.
Ono što mi je čudno, je da je samo dio svega kriptiran... Kao da sam ga prekinuo u pola posla.

Moj gad je id-2881951649_av666@weekendwarrior.com
Na svaku datoteku doda taj nastavak.

Ako netko zna... Da li dekripciju treba pokrenuti na kompu na koje je i počelo to sr.nje ili mogu kopirati kriptirane datoteke na bolji stroj i na njemu testirati Kaspersky-eve decryptere?

Možeš probati na boljem stroju,trebaš kopirati samo jednu kriptiranu datoteku.
Ako je nađe probaj onda na slabijem stroju pokrenuti proces malo prije nalaska keya http://forum.pcekspert.com/showpost....&postcount=205

[Vuco]

To je bilo problematično u mom slučaju, jer je *.log u jednom trenutku kod mene prestao zapisivati do kuda je došao (nakon tipa 3h od ~11h koliko je trajalo traženje ključa).

Na kraju sam odnio sve fajlove na prenosnom disku na server mašinu i pustio da preko jednog fajla traži key, a onda da dekriptira sve ostale na removable disku.

2 stvari na koje sam tada naišao:
1. kažu da je važno staviti fajl veći od 30kB da se dekriptira - ne znam jel to aktualno, no ja sam stavio PDF od 7MB i našao je šifru. Sa manjim ili nekom drugom ekstenzijom nisam probao (netko je napisao na gornjem linku od Veki-Os-a da je PDF najbolji za dekriptiranje)
2. Kažu da je za brži pronalazak važno staviti neki fajl od onoga koji je kriptirao sve podatke na točno određeno mjesto i da to može ubrzati proces dekriptiranja. Da me ubijete sad ne mogu naći to di je pisalo..

[Srdan]

Citiraj:

Autor Mmatija

Kriptirane datoteke na mrežnom disku i backup-u (koji je bio spojen, jer ga je trebalo odraditi).

Kakav backup? Disk je bio bez slova?
Jesi probao vratiti iz shadow copy-a ako ga imaš, mi smo jedno tako.

[Mmatija]

Citiraj:

Autor Srdan

Kakav backup? Disk je bio bez slova?
Jesi probao vratiti iz shadow copy-a ako ga imaš, mi smo jedno tako.

Komp1 je bio zaražen (trojan).
On se spajao na "mrežni disk" koji je share-an, na Komp2.

Sa Komp2, backup se radio KLS Backup programom na NAS disk.
Backup je rađen u .zip formatu, jer ga je bilo lakše tako vraćati natrag.

Kriptirane stvari su na "mrežnom disku" i NAS uređaju (samo folder koji ima veze s "mrežnim diskom").


Komp na kojem sam našao trojana nema ništa kriptirano.
Komp na kojem je bio taj "mrežni disk" koji se share-a, nije imao nikakvih trojana, malwarea i slično.

[Srdan]

Pitam da znam dal su naši Windows Server Backupi sigurni, makar se na većini izmjenjuju 2 diska na tjednoj bazi. Njihovi backup diskovi nemaju slovo zbog čega se nadam da su nedostupni tom dreku - prije su bili.

[Mmatija]

Ako u trenutku kriptiranja taj komp ne može do tog diska, onda su sigurni.
Ako imaš pristup do njega (negdje neki path je upisan), vjerujem da bi mogao i to zaključati.
Nešto sam čitao da bi se mogao backup datoteka zaštititi ukoliko ima ekstenziju koju crypter ne hvata (da nije npr. naziv_backupa.tib , *.zip, *.iso, ili neka standardna ekstenzija)

[Vuco]

U mom slucaju nije *.BMP ekstenziju (slike) kriptirao ako se ne varam.
To su bili jedini fajlovi koji su se mogli otvoriti. Sad jel ih nije stigao sve kriptirati, to vise ne znam.

[Roy]

FYI folks, Kaspersky je napravio nove verzije programa za dekriptiranje, možda nekome pomogne. link

[ghost rider 76]

i ja sam jedan od tih koji je preko običnog emaila pobrao taj virus...preimenovao sve extenzije slika i notepada u vaedsnh.
sve slike,bez 125 gb privatnih slika sam ostao...
recite mi kako radite backup i gdje...
nisam imao uopće nikakav backup,jednostavno sam datoteke držao na kompu...

[D1viry]

Ja radim backup na nemapirani NAS disk. U firmi weeam odradi backup bez da backupirani sistemi imaju ikakvog utjecaja na njega. Nema direkt pristupa niti na jednog. Od doma samo acronis može pristupiti NAS-u i nema šanse da se zarazi ičime.
Kad bi mi CTB znao admin pass, imao bih gorih problema od kriptiranja .

[smirnoff]

pa od koga dobijete te sumnjive mailove??? od onih iz afrike koji bi vama prebacili 10 mil. $ nakom što vi njima uplaitie nešto??? ne kontam zašto otvarate mailove od nepoznatog pošiljatelja?

[Cuky]

Nije problem u mailu od nepoznatog posiljatelja. Zanima me sta klikate u tom mailu da ste pobrali to smece - link, neki .exe file??

[Sam Fischer]

Moja baba na poslu je kliknula na ponuda.pdf.exe

I bam, kriptirani čak i .dat file-ovi ERP software-a, sve.

Nažalost, backup, backup i samo backup

[Bubba]

Citiraj:

Autor Sam Fischer

Moja baba na poslu je kliknula na ponuda.pdf.exe

I bam, kriptirani čak i .dat file-ovi ERP software-a, sve.

Nažalost, backup, backup i samo backup

Jebes poslove gdje se SteficamaTM dozvoljavaju klikovi na internetske exe-ova. A fajrvol (ili inteligentan mail server ako je doslo mailom kao attachment) kosta dramaticno manje od svih pizdarija prouzrokovanih time.

[Chuxonja]

Citiraj:

Autor ghost rider 76

recite mi kako radite backup i gdje...
nisam imao uopće nikakav backup,jednostavno sam datoteke držao na kompu...

Na dodatni hard koji 99.9% vremena stoji u ormaru

[dzajko]

Citiraj:

Autor Chuxonja

Na dodatni hard koji 99.9% vremena stoji u ormaru

Ja se drzim DVD-a, ali pazim da ne bude RW