Vir Cryptlocker, makler199011@gmail.com a decryptfiles.com

Všechny úkony provádíte na vaše vlastní riziko a odpovědnost. Stránka obsahuje odkazy na webové stránky provozované třetími stranami, není v našich silách kontrolovat obsah.

Koncem srpna se rozšířila nová varianta šifrovacího viru Cryptlocker z rodiny Ransomware. Vir opět zašifruje data, ale tentokrát cílí i na velké soubory. Takže v ohrožení jsou například databázové soubory atd. Případná částečná obnova databázových souborů není možná, protože se šifruje celý soubor.

Jaký antivirový program jste měli nainstalovaný při napadení cryptolockrem?

View Results

Nahrávání ... Nahrávání ...

Další velkou změnou, oproti minulé verzi, je komunikace pomocí emailu. To budí zdání menší profesionality a větší obavy jestli po zaplacení bude obnova dat možná.

Soubory jsou zašifrovány do podoby <puvodni-nazev>.<puvodni-pripona>!__________MAKLER199011@GMAIL.COM___.crypt

Útočník požaduje odměnu 3000 dolarů a to platbou přes Western Union, nebo bitcoinech. V reálném případě, byl požadavek upřesněn na 15,4btc což v daný den odpovídalo zhruba 3500 dolarům. V dalším případě se postižený zhruba 14 dní snažil vyjednávat. Útočník byl neoblomný a pouze stroze komunikoval s reakcí maximálně jednou denně. Z útočníka nebylo možné vytáhnout cenu v bitcoinech, pouze uvedl adresu peněženky. Proto se postižený chopil iniciativy a poslal dle aktuálního kurzu 3000 dolarů převedené na bitcoiny na bitcoinovou peněženku útočníka.

Po zaplacení útočník okamžitě začal aktivně komunikovat a následně poslal odkaz na stažení programu Decryptor.exe. Antivirové programy jej detekují jako vir. Před stažením programu je nutné vypnout antivirový program. V programu decryptor.exe nalistujete zašifrovaný soubor. Tím se vygeneruje Encoded key, který zašlete útočníkovi. Ten Vám následně sdělí Decoded key. Který vložíte do programu a stisknete tlačítko Decode All. V obou případech došlo k bezproblémové obnově dat.

Na závěr malé upozornění. Díky tomu, že celková částka platby při směně na bitcoiny přesahuje cenu 1000 euro, vyžadují převodní firmy ověření totožnosti. Takže po zarezervování platby dojde email k výzvě o zaslání naskenovaného dokladu totožnosti. Pravděpodobně by šlo toto omezení obejít odesláním více plateb pod hranicí 1000 euro. Poplatek za převod na bitcoiny je zhruba 5% z měněné částky.

Aby jste si tímto zážitkem nemuseli projít zálohujte, ZÁLOHUJTE A ZASE ZÁLOHUJTE ideálně na offline uložiště.

decoder

U některých méně propracovaných virů lze data obnovit pokud máte k dispozici soubor, který provedl zašifrování dat. Proto daný soubor nikdy nemažte, ale bezpečně uschovejte.

Více informací:
http://www.servis-zlin.eu/clanky/jak-zalozit-bitconovou-penezenku-a-prevest-na-ni-penize/
http://www.servis-zlin.eu/clanky/cryptolocker-sifrovaci-vir-ktery-znepristupni-data-aneb-sledovani-zasilky-ceske-posty/
http://www.lupa.cz/clanky/bitcoin-regulace/

Netestované odkazy na tipy jak obnovit zašifrované soubory POUŽITÍ NA VLASTNÍ NEBEZPEČÍ
http://crypto.stackexchange.com/questions/27536/is-it-possible-to-get-an-rsa-encryption-key-by-comparing-the-unencrypted-and-enc
http://sensorstechforum.com/restore-files-encrypted-via-rsa-encryption-remove-cryptowall-and-other-ransomware-manually/
http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information
https://raymii.org/s/tutorials/Encrypt_and_decrypt_files_to_public_keys_via_the_OpenSSL_Command_Line.html
http://www.czeskis.com/random/openssl-encrypt-file.html
http://www.symantec.com/connect/forums/there-fixtool-recover-files-encrypted-ransomware
http://www.malwareremovalguides.info/decrypt-files-with-decrypt_mblblock-exe-decrypt-protect/
http://nabzsoftware.com/types-of-threats/cryptolocker

Netestované odkazy jak zabránit spuštění infikovaného exe souboru a prevence POUŽITÍ NA VLASTNÍ NEBEZPEČÍ
http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#prevent
https://www.foolishit.com/
http://www.eset.com/cz/o-nas/pro-novinare/tiskove-zpravy/article/doporuceni-k-ochrane-pred-malware/
http://www.optimalizovane-it.cz/ostatni-zabezpeceni/cryptolocker-jak-predejit-utoku-pomoci-technologii-v-operacnim-systemu.html

Odkazy na stránky o šifrování
https://www.algoritmy.net/article/4033/RSA
https://cs.wikipedia.org/wiki/RSA
https://mks.mff.cuni.cz/library/RSAjRk/RSAjRk.pdf
http://www.kryptografie.wz.cz/data/RSA.htm
http://reboot.cz/howto/hacking/jak-funguje-rsa/articles.html?id=281
https://edux.fit.cvut.cz/oppa/BI-BEZ/prednasky/bez8.pdf
http://www.osel.cz/1813-ifrovaci-algoritmus-rsa-prolomen.html

2 komentáře u „Vir Cryptlocker, makler199011@gmail.com a decryptfiles.com

  1. lesák

    Nový typ viru již jen zašifruje soubory a NEMENI priponu. Ze jste napadeni, se dozvite z nekolika tisíc odkazu které máte na disku i na ploše na stranky pro dešifrování. Doporučuji používat Acronis – je to přesná kopie disku – pracuje i jako zaloha dat . Nebo – dejte si na pracovni soubory a slozky atributy – ovsem MUSITE mit zaškrknuto, že chcete potvrzení o přepsání nebo přejmenování souboru. Mě takto vyskočilo několik stovek žádostí o potvrzení. Ale novy typ viru to jiz muze obejit. Obnovit data neni mozne – musite zaplatit.

    1. PC servis Zlín Ing. David Zvonek Autor příspěvku

      Ještě doplním, že je vhodné v pokročilém nastavení u Acronisu zadat obnovu souborů s původním datumem souboru ze zálohy. Jinak budou mít obnovené soubory nastavený datum a čas shodný se systémovým časem kdy se soubor obnovil.

Komentáře nejsou povoleny.