CTB Locker - wirus szyfrujący pliki na dysku. żąda BitCoin.

CTB Locker - wirus szyfrujący pliki na dysku. żąda BitCoin.

Temat zakładam, gdyż w rodzinie miałem to "nieszczęście" że załącznik do poczty zawierał plik CAB z wirusem.
wewnątrz był plik scr który rozpoczął spustoszenie.

znalazłem również info na zagranicznych forach, że ta mutacja jest świeża i antywirusy sobie nie radzą ...

przeczytałem pare - naście tematów związanych z tym problemem i dalej jestem w kropce.

czy ktoś z Was, szanowni Koledzy, miał do czynienia z odkodowaniem plików po takiej infekcji ?

wklejam pare linków jakie znalazłem i miały pomóc...







jedna ze stron odsyła do decryptera, który również był polecany na stronach BBC - lecz niestety nie działa w przypadku tego świństwa.
:klnie:

nie wszystkie powyżej opisane rozwiązania zdążyłem wypróbować, wira udało mi się usunąć. lecz pozostaje kwestia plików.

moje pomysły się wyczerpały i pozostaje budowanie bazy danych wiedzy od początku .....

pare lat pracy poszło ... :sick , z kopii zapasowych na pewno coś odzyskamy, bo takie były robione, ale z kilkumiesięcznym poślizgiem...


rozwiązanie w toku...

kapi, niestety to jest wredny szajs.. a ostatnio słyszę o tym często.. albo płacisz (i nie masz pewności czy dane wrócą - w sumie wątpię) albo jakiś format i nowe życie

sytuacja "częściowo" opanowana.

jest taki program "ShadowExplorer" na płycie Hiren's Boot - ISO można pobrać z sieci..
wyszukuje on zarchiwizowane dane na dysku.

od początku:
jak stwierdziliśmy, co za syf się wdarł, poszukiwałem drogi jak odzyskać dane. bo po wirusie to przeważnie format do zrobienia zostaje.
na forach wyżej przytoczonych - za co jestem niesamowicie wdzięczny że ktoś to rozpracował - jest opis, jak pozbyć się syfa i że można odzyskać pliki z ukrytej kopii.

jest jakieś narzędzie w win7 które wykonuje te kopie. myślę, że jako punkt przywracania systemu, bo poprzez ww. program są widoczne pliki i można je wydobyć, a daty plików zgadzają się z datą tworzenia punktu przywracania.

najpierw wg wskazówek , zabawa z ograniczeniami, później rejestr, itd...

na koniec boot z płyty i poprzez Shadow-a odzyskałem pliki. straciliśmy tylko 2 tyg. pracy vs pare lat.

warto ustawić system na tworzenie kopii zapasowej, nawet jeśli nam miejsca brakuje na dysku, to .... warto.

ku przestrodze dla innych :


wiadomość jest z 29.01.2015 ! a pigułki jeszcze nie ma.

co ciekawe - jak pisałem wcześniej - w załączniku był plik CAB, a w środku scr. czytałem też, że może być ZIP, 7z, lub rar ...

próbowałem też uzyskać info w firmie która zajmuje się odzyskiwaniem danych, i oni potwierdzili że szanse odzyskania są bardzo małe.

najwidoczniej mieliśmy dużo szczęścia....

Niestety to jakis nowy syf jest
u mnie poszlo sie bujac 10 lat pracy (dane, bazy itp)
w moim przypadku syf przyszedł meilem nie otwarłem załącznika tylko sama wiadomość.
Zainstalowany był xp z jakiś darmowym antyvirem który nic nie wykrył.
Samego wirusa po fakcjie wykrył nod i zdołał sie z nim uporac. jednak wszystkie dane zostaly zaszyfrowane.
Do tego polecialy dane z wpietego pendraiwa oraz kpia która była na droopboxie :cry:

Zapomnialem jeszce o jednym przywracaniu systemu musze w poniedziałek w pracy rozeznac temat .
Pewna znana firma z Katowic nie podjela sie odzyskania / rozszyfrowania danych.

RABIN, to nie jest nowy syf.. tylko do tej pory nie był u nas aż tak rozpowszechniony. Na dropboxie możesz przywrócić stare wersje plików i powinno być ok.

kapi, kapi cieszę się, że Ci się udało - generalnie nie zawsze z ukrytej kopii da się coś wyciągnąć niestety... ale tak jak piszą po internecie jesteś szczęśliwcem.

Generalnie wystarczy otworzyć takiego maila i już posprzątane... czasem wirus blokuje z miejsca dane a czasem jak jest lepszy antywir to puszcza go dopiero po ponownym uruchomieniu i jest kaszana..

alxxx, jak to zrobic bo przegladnolem dropboxsa i nie widze tam takiej opcji


edit
juz opanowałem mozna z kosza przywrocic czyste pliki ufffff

W tym wypadku sprawdza się własna chmura (serwer) i częsta kopia zapasowa

RABIN, jest tam opcja "przywróć poprzednią wersję".