CTB Locker :(

[D1viry]

Opet nam se nakotilo to sranje. Sada su prevazišli mail i prešli na web adds. Užas jedna.

[Sam Fischer]

Ja ću morat svoje babe u firmi otkopčat sa internetsa

[Shumar]

Neki dan je i kod mene u firmu uletio virus i poharao share diskove, sreća pa se nije proširio van njih.

[Bono]

Morate updatati flash ili instalirajte noscript, koliko vidim zadnjih par dana haraju flash exploiti preko web reklama.

Ko je pokupio uvijek moze provjeriti, mozda ima srece: https://noransom.kaspersky.com/

[Srdan]

Po onome što pišu u Avastu, u pravilu bi ga trebali skinuti osim ako niste jedan od prvih par.
Mi smo u zadnjih par mjeseci po firmama pometali Avast for business - ima free verzija. Corporate AV za servere i radne stanice, ima file scan, mail i web te se njime upravlja iz web konzole.... i sve to đabe
Malo je osjetljiv u startu pa ima dosta false positivea, ali za sada gdje je instaliran ništa nije prošlo.

[Veki-os]

Stigao mi na "popravak" laptop s nekim crypto virusom,guglam i koliko vidim zasad nema načina za vratiti kriptirane file-ove,samo za maknuti virus.

Jel zna netko jel izašlo nešto što dekriptira file-ove?

[Roberto]

Vidim encoder virus
I ja jedan takav danas rjesavao.

Nema pouzdanog dekodera. Backup i samo backup.

[Veki-os]

I kako si ga riješio SpyHunter?

Ima image backup sistema na D ali je i on kriptiran

[Veki-os]

Evo da javim da sam uspio dekriptirati file-ove
Prvo sam počistio virus sa SpyHunterom i Malwarebytesom,pa s još par programa počistio svu ostalu gamad sa kompa.
Uspio sam dekriptirati sa RakhniDecryptor-om http://support.kaspersky.com/viruses...akhnidecryptor



Ovih 7 što nije uspio riješiti su neki nevažni file-ovi,temp file-ovi od browsera i slično.

[Roberto]

Ja pocistio s MAM i super antispyware. Taj spy hunter mi je oduvijek smrdio na spyware

Odlicna vijest da ima decryptor barem za ovu encoder virus varijantu, budem isprobao, thanks

[blackened]

Pa ovo je dobra vijest, jel ovo prvi put uspjelo nekome dekriptirati datoteke u skoro godinu dana otkad sam otvorio temu?

[syss]

mislim da je

[Srdan]

jel taj encoder ovaj zadnji akutalni?

[Veki-os]

Ima i ovaj https://noransom.kaspersky.com/

[Roberto]

Heh, samo za ransomeware iz naslova teme jos uvijek nema lijeka...

[Forace]

Citiraj:

Autor Veki-os

Evo da javim da sam uspio dekriptirati file-ove
Prvo sam počistio virus sa SpyHunterom i Malwarebytesom,pa s još par programa počistio svu ostalu gamad sa kompa.
Uspio sam dekriptirati sa RakhniDecryptor-om http://support.kaspersky.com/viruses...akhnidecryptor



Ovih 7 što nije uspio riješiti su neki nevažni file-ovi,temp file-ovi od browsera i slično.

Koja je bila ekstenzija toga čuda, tj. Kriptiranih fajlova. Mjslim da imam posla sa freespeach.org, ali djelomičnu zarazu ili najnovoju verziju, uglavnom dio je kriptirao sa .fff ekstenzijom. Rakhni ga nece (čak ni sa *.*) ali kad mu stavim _crypto onda ga ide bruteforcat.

[Veki-os]

Sa "helpme@freespeechmail.org" su završavali svi kriptirani fajlovi.

Uspjelo je sa brute forsanjem,sa i7 iz siga za 1h a sa nekim starijim Intelom na lapu za 7h

[D1viry]

Citiraj:

Autor Veki-os

Sa "helpme@freespeechmail.org" su završavali svi kriptirani fajlovi.

Uspjelo je sa brute forsanjem,sa i7 iz siga za 1h a sa nekim starijim Intelom na lapu za 7h

Koliko datoteka i koje veličine? Malo mi je to čudno da je uspio brute force kad bi taj cryptolocker trebao imati 128bit AES enkripciju.

[Veki-os]

Evo log,izabrao sam mali file za dekriptiranje,mislim da je važno samo da nađe key/šifru jer je ista za sve fajlove pa nije važno koje su veličine.

Dekriptiranje na laptopu sa 5200 diskom je trajalao oko 1h,za oko 13k fajlova.
17h je na slici jer je našao key dok sam spavao a treba kliknuti Ok da krene dekriptirati.

[softwaremaniac]

Mogu potvrditi da ovo radi. Danas sam dekriptirao oko 900 fajlova koje je Trojan/Encoder zarazio. Ona mačka, je li, ali mail je završavao na lycos.

[Albertini]

dešifriranje proces
http://activationcodes-database.com/...reespeechmail/

[Srdan]

Citiraj:

Autor Veki-os

Sa "helpme@freespeechmail.org" su završavali svi kriptirani fajlovi.

Uspjelo je sa brute forsanjem,sa i7 iz siga za 1h a sa nekim starijim Intelom na lapu za 7h

I mojeg poznanika spasilo

[Roy]

Citiraj:

Autor softwaremaniac

Mogu potvrditi da ovo radi. Danas sam dekriptirao oko 900 fajlova koje je Trojan/Encoder zarazio. Ona mačka, je li, ali mail je završavao na lycos.

Kako si preimenovao fajlove da ih decrypter prepozna i dekriptira, imam neke jpgove (završava _fudx@lycos.com) koje kad preimenujem vidi ali kaže cannot recover password?

NP, riješeno.

[Forace]

Kako? Mislim ja sam .fff preimenovao u .id-neki-sa-neta@freespeechmail.com i sad ima već dan i kusur na timeru i ima još puno pred sobom...jedino me brine da li je taj id bitan ili nije? S obzirom da ovaj bruteforca ne bi trebao bit al opet ....

I drugo pitanje: jel se moze nać kljuc za jedan fajl pa onda iz loga pročitat id te ručno ostale startat od tuda?

[Veki-os]

Citiraj:

Autor Forace

Kako? Mislim ja sam .fff preimenovao u .id-neki-sa-neta@freespeechmail.com i sad ima već dan i kusur na timeru i ima još puno pred sobom...jedino me brine da li je taj id bitan ili nije? S obzirom da ovaj bruteforca ne bi trebao bit al opet ....

I drugo pitanje: jel se moze nać kljuc za jedan fajl pa onda iz loga pročitat id te ručno ostale startat od tuda?

Ne vidi se key u logu ali možeš probati ovo http://sensorstechforum.com/forums/m...msg489/#msg489

Meni je na kompu i na laptopu našao key na istom broju pokušaja pa bi trebalo raditi.

[Roy]

Citiraj:

Autor Forace

Kako?

Ne treba mijenjati ništa, otvori stazu do direktorija sa zaraženim fajlovima, u polje za naziv upiši *.* i kada pokaže sve fajlove oznaći prvi i pusti ga da radi. Dekriptirao jpgove ali ih irfan ne otvara ispravno, mada oni nisu ni bitni, sad radim na .dwg fajlovoma.

[Forace]

Ma probao sam mu to ali ne reagira na .fff fileove samo kaže da nisu podržani. a uz njih je ostavljen freespeech.org u datoteci i nekakav secret.key u svakom direktoriju. Promjenio sam ekstenziju pa pustio da radi možda šta napravi.

Inače zgodno štivo (sad naletio na fb.u):
https://blog.fortinet.com/post/keepi...ith-cryptowall

[Roy]

Citiraj:

Autor Forace

Ma probao sam mu to ali ne reagira na .fff fileove samo kaže da nisu podržani. a uz njih je ostavljen freespeech.org u datoteci i nekakav secret.key u svakom direktoriju. Promjenio sam ekstenziju pa pustio da radi možda šta napravi.

Inače zgodno štivo (sad naletio na fb.u):
https://blog.fortinet.com/post/keepi...ith-cryptowall

Možda imaš sreće, sa sensortech foruma:


Files affected by this particular malicious threat typically have the .exx, .xyz, .zzz, .aaa, .abcor appended to the end of the file. Users may think they've been targeted by Cryptowall, because some TeslaCrypt versions may pretend to be Cryptowall 3.0.
As we have already pointed out in the comments section of the Restore Files Encrypted via RSA Encryption http://sensorstechforum.com/restore-...ware-manually/, the Tesla decryptor tool can be tried. You can download it from here: http://talosintel.com/teslacrypt_tool/



Imaš troslovnu ekstenziju i .key file, možda će ti raditi. Ja baš i nemam sreće, nevažne jpgove našao kljuć za sat vremena a bitne rarove već vrti 12 sati bez uspjeha (I7 1366@4.09)

[Srdan]

Što key nije za sve fileove isti?

[Roy]

Citiraj:

Autor Srdan

Što key nije za sve fileove isti?

Po svemu sudeći rekao bih da kolega i ja imamo različite varijante lockera.