Komputer został zablokowany, pliki z rozszerzeniem block

[Goska]

Witam, mam problem na komputerze brata. Wczoraj pojawił sie komunikat, ze komputer został zablokowany. Szybko usunełam problem, normalnie mogę uruchomić jego komputer, jednak wszystkie dokumenty, zdjęcia zmieniły rozszerzenia na block, a w folderach gdzie są te pliki pojawił się dodatkowo plik txt warning z jakimś tam informacjami odnośnie płatności za odblokowanie komputera tudzież plików. Przeszperałam internet, nawet zagraniczne strony, rozwiązanie niby jest, są to programy typu KasperskyRannoh Detector, Matsnu1decrypt, które po wskazaniu na oryginalny plik i ten zaszyfrowany odblokowują wszystkie zablokowane pliki, kłopot w tym, że oryginał i zablokowany plik muszą mięć taką samą wagę, a u brata wszystkie poblokowane pliki są o 1KB większe. Dodam, że kopii zapasowej braciszek nie ma. Jest na to jakieś rozwiązanie? Z góry dziękuję. Pozdrawiam Gosia.

OTL.Txt

Extras.Txt

[picasso]

W logach brak oznak infekcji. Są tylko drobne szczątki adware i innego typu rzeczy do korekty. Nie zajmuję się tym na razie, bo jest większy problem:

 

 

jednak wszystkie dokumenty, zdjęcia zmieniły rozszerzenia na block, a w folderach gdzie są te pliki pojawił się dodatkowo plik txt warning z jakimś tam informacjami odnośnie płatności za odblokowanie komputera tudzież plików. Przeszperałam internet, nawet zagraniczne strony, rozwiązanie niby jest, są to programy typu KasperskyRannoh Detector, Matsnu1decrypt, które po wskazaniu na oryginalny plik i ten zaszyfrowany odblokowują wszystkie zablokowane pliki, kłopot w tym, że oryginał i zablokowany plik muszą mięć taką samą wagę, a u brata wszystkie poblokowane pliki są o 1KB większe. Dodam, że kopii zapasowej braciszek nie ma.

 

Takich infekcji szyfrujących dane jest wiele i użyte tu narzędzia pewnie nie pasują. Wskazujesz wariant Rannoh, ale to się nie zgadza. Rannoh tworzy na podstawie oryginałów plik o modelu nazwy locked-orginalna nazwa pliku.4 losowe znaki tak jak tu widać: KLIK. A wg tego co mówisz u Ciebie jest inna konwencja nazewnicza: orginalna nazwa pliku.block. Nie wiadomo czy w ogóle istnieje deszyfrator do tych plików, bo tu ktoś szuka takiego narzędzia właśnie do plików z rozszerzeniem *.block: KLIK. W linku jest podane, że niektóre przypadki udało się rozwiązać zgadywaniem w narzędziu Dr.Web TE94decrypt, tylko że szkopuł w parametrach (należy wiedzieć jakich użyć do tego konkretnego szyfrowania), co z mojej strony graniczy z cudem wróżbiarza.

 

Co było na komunikacie "Policji" - jaka dokładnie treść? Co usuwałaś, jakie pliki infekcji? Przeklej też tu nazwę + treść tego dodatkowego pliku TXT. I na którym dysku leżą te zaszyfrowane pliki, systemowym C czy D?

 

 

 

.

[Goska]

Zaszyfrowane pliki są tylko na dysku D, nazwa pliku, który się pojawił w każdym z folderów gdzie są poblokowane pliki "warning.txt" Jego treść:

our identification number: 1138

Your IP address: 89.228.51.139

WARNING! INFORMATION MESSAGE

YOUR COMPUTER IS BLOCKED.

If you see this text its means that you try to deactivate our programm. If you want unblock your files please contact us via email payandbeunblocked@yahoo.com.

All your documents, text files and databases are securely encrypted with AES 256.

You can unlock PC and files by paying a fine of 200 USD (USA and Canada) / 300 USD (via Western Union to other Countries)

 

You can select different payment methods:

1. With Moneypak prepaid code in amount of 300 USD.

2. With MoneyGram express prepaid code in amount of 200 USD.

3. With Western Union Transfer in amount of 300 USD. *

 

* if you want to pay with Western union you may do request payment information by email payandbeunblocked@yahoo.com

STEP 1: If files are important to you and you are ready to pay then buy prepaid code for the amount of $200 at the nearest store.

STEP 2: Choose payment method then enter your code and your valid email address in the fields below.

Then click PAY and you will be prompted to enter the unlock code. OR Send an e-mail at PAYANDBEUNBLOCKED@YAHOO.COM. Indicate your ID in the message title and provide prepaid code.

STEP 3: Check your e-mail. In 24 hours we will send your Unlock code once payment is verified. Then enter your unlock code that you received by email from us and click UNLOCK. Your computer will roll back to the ordinary state.

WARNING!!!: You have 72 hours for pay. As soon as 72 hours elapse, the possibility to pay the fine expires, and your files will be securely erased with U.S. DoD 5220.22-M(ECE) wipe algorithm.

Q: How can I make sure that you can really decipher my files?

A: You can send one ciphered file on email PAYANDBEUNBLOCKED@YAHOO.COM (Indicate your ID and IP address in the message title), in the response message you receive the deciphered file.

Q: What if I don’t have possibility to purchase prepaid code?

A: You can send money in amount of 300 USD by WesternUnion as alternative option.

Q: Where can I purchase a MoneyPak?

A: MoneyPak can be purchased at thousands of stores nationwide, including major retailers such as Wal-Mart, Walgreens, CVS/pharmacy, Rite Aid, Kmart, Kroger and Meijer.

Q: Where can I purchase a MoneyGram?

A: MoneyGram can be purchased at thousands of stores nationwide, including major retailers such as Cumberland farms., CVS/pharmacy, Speedway.

Q: How do I buy a MoneyPak at the store?

A: Pick up a MoneyPak from the Prepaid Product Section or Green Dot display and take it to the register. The cashier will collect your cash and load it onto the MoneyPak.

 

Poblokowane pliki mają nazwę np:" zdjęcie.jpg.block" Co było w komunikacie policji? Hmmm wszystko po angielsku, z informacją, że zablokowany, ze 3 dni, ze 200 albo 300 euro i formy zapłaty, co usunełam? Wlazłam od razu w tryb awaryjny, najpierw w msconfig odhaczylam dziwne coś, znalazłam ścieżkę do tego i usunełam 3 pliki, które były gdzieś w katalogu na C. Potem combofix, ccleaner, spybot i pousuwałam wszelki ciasteczka, pliki tymaczasowe itp.

[marcinania1981]

Witam!mam ten sam problem jak wyżej.Postępowałem identycznie jak wyżej.Najpierw skutecznie wyłaczyłem proces o nazwie PbrCZ,umiejscowiony był w "Dane aplikacji" Usunąłem plik .exe oraz dodatkowo plik textowy o podobnej treści jak wyżej oraz usunąłem zdjęcie które tam było (to zdjęcie wyświetlało się na całym monitorze wcześniej)

Chwilę puźniej zauważyłem ze wszystkie pliki ze zdjęciami są zablokowane i zawierają nazwę zdjęcie.jpg.BLOCK.W każdym folderze ze zdjęciami istnieje plik tekstowy WARNING.txt.

Co można dalej robić?NIe chciałbym utracić zdjęc

 

W wyszukiwaczu plików po wpisaniu Warning znalazło mi blisko 1000 plików Głownie textowych

Najwięcej jest na systemowym C ale też na D i E

[bobson]

Witam. Dobrze wiedzieć że nie tylko ja mam ten problem.

Próbowałem już nardzędzi DR.Web TE94decrypt i TE102decrypt z różnymi parametrami bez sukcesu.Co prawda jeden z parametrów zdją rozszerzenie .block ale plików nie udało sie otworzyć.

Mam nadzieję że jest jakiś sposób na odblokowanie tego...

[picasso]

Do wszystkich, niestety ja nie widzę rozwiązania. Znalazłam taki oto wątek: KLIK. W ostatnim poście jest komentarz podobno od reprezentanta Emsisoft, który zidentyfikował tę próbkę:

 

" Anyways, I found the malware that most likely hit him. Unfortunately the malware uses random keys that are stored on the server only. So no chance to write a decrypter unfortunately"

 

W tłumaczeniu: malware używa losowych kluczy szyfrujących gromadzonych na serwerze i nie ma szans na stworzenie narzędzia deszyfrującego...

 

W związku z tym jedyny ratunek to wyszukanie poprzednich wersji plików:

 

1. Jeśli u kogoś zaszyfrowane pliki są na systemowym C i jest to system Vista lub Windows 7, można spróbować użyć Przywracanie systemu do daty sprzed infekcji. Przywracanie systemu na Vista i Windows 7 to kompleksowy proces cieniowania woluminu, więc ostatecznie można liczyć, że poprzednia wersja plików zostanie przywrócona. Nie dotyczy XP, Przywracanie systemu działa inną techniką.

 

2. Do wypróbowania narzędzia do odzyskiwania skasowanych danych takie jak PhotoRec. Być może wyszuka poprzednią postać plików... Tu macie podobne instrukcje dla innej infekcji (Gpcode), której plików też nie można odszyfrować i Kaspersky podaje jak szukać oryginalnych wersji skasowanych przez trojana: KLIK (do wykonania treść aż do instrukcji z StopGpcode = to się tu nie aplikuje).

 

 

.

[bobson]

1. Zrobiłem to od razu , niestety bez efektu

 

2. Spróbowałem PhotoRec przywrócic pliki na dwóch partycjach ale w przywróconych nie zauważyłem zadnych plików które były zablokowane.

Pozostaje tylko zrobic kopie zakodowanych plików i czekac może kiedyś uda się to rozszyfrować.

 

Dziękuje za pomoc i pozdrawiam

[okbr]

bobson, mi się udało zdjąć "block" OfficeFixem, ale plik po otwarciu w excelu był ... pusty.

Boję się zostawić te pliki [z dodatkowym rozszerzeniem BLOC - może jeszcze coś w nich siedzi]

 

Mam zamiar przejść z darmowego Avasta na G-Data lub Kasperky'ego.

Co mi radziecie?

[picasso]

Pozostaje tylko zrobic kopie zakodowanych plików i czekac może kiedyś uda się to rozszyfrować.

 

Wg opisu (losowe klucze na serwerze malware) jest to technicznie awykonalne.

 

mi się udało zdjąć "block" OfficeFixem, ale plik po otwarciu w excelu był ... pusty.

 

"Zdjęcie *.block" to nawet ręcznie można wykonać zmieniając po prostu nazwę pliku. To nic nie da. To nie odszyfruje pliku.

 

 

 

.

[Pacjencja]

Do wszystkich, niestety ja nie widzę rozwiązania. Znalazłam taki oto wątek: KLIK. W ostatnim poście jest komentarz podobno od reprezentanta Emsisoft, który zidentyfikował tę próbkę: ....

 

Wygląda na to, że jak zawsze i w tym wypadku - niestety, masz rację picasso :/

Znajoma ma ten sam rodzaj infekcji, przy czym nie usuwała jej, a poleciała z formatem. Pisałem do Virus Monitoring Service Doctor Web, załączyłem im próbkę

pliku zaszyfrowanego i tego sprzed infekcji. W odpowiedzi otrzymałem, że deszyfracja jest niemożliwa.

[Tomaszyx]

Pomocy!! Dzisiaj rano nie wiadomo skąd to samo pojawiło sie na moim komputerze, wszystkie pliki zaszyfrowane, niech ktoś coś wymyśli bo to bardzo ważne dokumenty ;/ Jaki to może być wirus? Czy to jakas odmiana GPCode? Czy coś nowego?

[picasso]

Tomaszyx, czy przeczytałeś co wyżej napisane? Wszystko na ten temat zostało już powiedziane i nikt tu już nic nie wymyśli. Pliki *.block są nie do odszyfrowania. Jest to niemożliwe, a potwierdzili to technicy z Dr. Web (patrz do postu Pacjencja). Co najwyżej można szukać poprzednich wersji plików za pomocą PhotoRec, jak podałam (instrukcja dla innej infekcji, ale to nie ma znaczenia, operacja taka sama).

 

 

 

.

[kostykiewicz]

Widzę że problem się nasila i będzie nasilać coraz bardziej, a poszkodowani będą najbardziej ci którzy nie zabezpieczają swojego komputera, nie tworza kopii zapasowych plików i maja bardzo ważne dane na dysku.

 

Moje pytanie brzmi do szanownej picasso oraz innych użytkowników forum.

W jaki sposób dostaje się do cholerstwo na dysku? przez co? oraz jak sie przed tym zabezpieczyć najlepiej aby nie zarazić się tym.

Proszę o jakieś wskazówki cenne.

 

Pozdrawiam

[gregorbs]

Też załapałem to cholerstwo ale wczoraj. Wszystkie zdjęcia z kilku lat do tyłu mam zablokowane + dokumenty.

Ciekawe czy kiedykolwiek będzie można odszyfrować te dane. Czytałem na innych forach że ludzie już 2 m-ce temu mieli to samo i na razie cisza nikt nic nie potrafi wymyślić.

A swoją drogą jakbym dorwał tego gościa który to wymyślił to bym mu jaja smalcem nasmarował i puścił nago ze związanymi gnatami w stado psów. Wtedy by się może burak jeden uczciwości nauczył.

[Tomaszyx]

Szkoda :/ ogolnie pierwszy raz spotkalem sie z wirusem na którego nie ma lekarstwa ( może mam małe doświadczenie ), a który w takim stopniu niszczy nasze dane i jestem mocno zdziwiony, że nikt nic nie może na to poradzić. Nie mam pojęcia jak wirus dostał sie na mój komputer posiadam legalne, zaktualizowane oprogramowanie antywirusowe NOD, nic nie pobieralem, nie zezwalałem zadnemu pogramowowi na jakąkolwiek ingerencję więc nie mam pojęcia. Mysle, ze znalezli by sie eksperci którzy by potrafili coś zaradzić na ten problem, albo albo jacys dobrzy hakerzy może rozszyfrowali by to kodowanie ale problem jest poprostu jeszcze za mało rozpowszechniony, mogę sie mylić ale mam nadzieje ze ktoś w koncu to opanuje.

Pozdrawiam.

[picasso]

Tomaszyx

 

ogolnie pierwszy raz spotkalem sie z wirusem na którego nie ma lekarstwa ( może mam małe doświadczenie ), a który w takim stopniu niszczy nasze dane i jestem mocno zdziwiony, że nikt nic nie może na to poradzić. (...) Mysle, ze znalezli by sie eksperci którzy by potrafili coś zaradzić na ten problem, albo albo jacys dobrzy hakerzy może rozszyfrowali by to kodowanie ale problem jest poprostu jeszcze za mało rozpowszechniony

 

Z tego co widzę, problem już liczy sobie kilka miesięcy, teraz po prostu dystrybucja w polskim klimacie, co tworzy wrażenie, że infekcja jest "nowa". Skoro przez tak długi okres czasu jest głucho o deszyfratorze, to tylko kolejny dowód, że technicznie nie jest to wykonalne. Tu w temacie było cytowane już stanowisko ekspertów Emsisoft i Dr. Web. Skoro to dla Ciebie za mało, nadal masz wątpliwości jak widzę (wzmianka o "ekspertach" i "hackerach"), wyślij próbki plików zaszyfrowanych do innych laboratoriów antywirusowych. Niech jasno napiszą Ci co sądzą o tych próbkach.

 

To nie pierwsza infekcja o tak destrukcyjnym charakterze i nie jedyna infekcja której plików nie można odszyfrować. Dla porównania: 4 lata temu wykryta infekcja GPCode w wariancie usprawnionym (KLIK).

 

 

Nie mam pojęcia jak wirus dostał sie na mój komputer posiadam legalne, zaktualizowane oprogramowanie antywirusowe NOD, nic nie pobieralem, nie zezwalałem zadnemu pogramowowi na jakąkolwiek ingerencję więc nie mam pojęcia.

 

Mogłeś odwiedzić jakąś stronę, która była zainfekowana. Prawidłowe strony też mogą narażać na niebezpieczeństwo.

 

 

kostykiewicz

 

W jaki sposób dostaje się do cholerstwo na dysku? przez co? oraz jak sie przed tym zabezpieczyć najlepiej aby nie zarazić się tym.

 

Nie wiem jakie jest konkretnie źródło tej infekcji, pewnie to co w pozostałych przypadkach infekcji "policyjnych" etc, czyli exploity na stronach umożliwiające wykonanie złośliwego skryptu (typu: plik PDF ze zintegrowanym kodem JavaScript, automatycznie startujący aplet Java etc).

Jedyne co mogę radzić to tradycyjne kroki ogólne: zaktualizowane całe oprogramowanie (nie tylko antywirus, któremu zresztą nie należy za bardzo dowierzać, ale Windows i wszystkie programy w tym klasyki wtyczkujące Java czy Adobe), stosowanie wirtualizacji / piaskownic przy przeglądaniu sieci Web, i regularna kopia zapasowa cennych danych na kompletnie izolowanym nośniku.

 

 

 

.

[kostykiewicz]

Juz od dłuższego czasu wykonuje kopie zapasowe i naprawde radze to robic również innym uzytkownikom, pozniej tylko mozna spotkac na forach informacje typu zdjecia z 10 lat poszly sie je...

Nie smieje sie z tego, bo sam mam wazne dane i jesli dostalbym taka infekcje nie byloby to mile i jeszcze taka kwota 600-900 zł dosc duza, ale jesli ktos ma naprawde wazne dane to i tak zaplaci taka kwote.

Widze ze infekcja (u polakow) byla nawet posiadajac program eset ( nie mowie ze jest boski ) ale po prostu jeden z czołówki.

Sam na dzien dzisiejszy uzywam eseta i malwarebytes + usb disc security ktory przydaje sie szczegolnie gdy podlaczam pendrive od znajomych.

 

Na dzien dzsiejszy tak jak picasso wspomniala dotyka to coraz wiecej polakow przynajmniej widac to na polskich forach internetowych jak pisza posty z prosba o pomoc.

[xdepawel]

Taaak.. Mnie również to dopadło. Nie wiem czy się tego pozbyłem ale straty w systemie widać na oko. Nie ma połowy programów, nie mogę się wylogować etc. Dodam, że posiadam Win XP SP3. Wszystkie zdjęcia, pliki poszły na śmietnik.. No cóż, idioci to robią, ale zawsze się znajdą i trzeba się z tym pogodzić. Moje pytanie jest takie.. czy jeżeli polecę z formatem wszystkich dysków (na każdym są pliki .block) to usunę to coś? Bo nie wiem w sumie co teraz mam robić.

[Hajasz]

Czy to ustrojstwo atakuje tylko dysk systemowy czy wszystkie dyski zainstalowane w komputerze ?

Blokuje tylko zdjęcia i dokumenty czy również filmy i muzykę ?

[kostykiewicz]

@xdepawel

W jaki sposob to dostales?

Miales aktualny program antywirusowy? jesli tak to jaki

- aktualna przegladarke?

- aktyalną jave?

- aktyalnego flash playera

- aktualny system??? aktualizacje itp osatnie

- na jakie strony wchodziles?

- z jakiej przegladarki korzsystasz?

[djmaci]

Witam,

Mi przytrafiło sie to samo, szukałem po obcojezycznych stronach i trafiłem na http://www.bleepingc...opic469842.html

Jest tam opisany sposób aby użuc do tego te94decrypt.exe z http://www.mmnt.net/...ub/drweb/tools/

Po uruchomieniu program pousówał rozszerzenia wiekszosci dokumentów ale wciąż nie można ich odczytac.

Program ten nalezy zapisac na dysku c:

Następnie w poleceniu uruchom wpiasc c:\te94decrypt.exe k 188

i uruchomic.

Na stronie zamiast 188 podane jest 186. Nie wiem od czego to zależy ale jak wpisałem 188 to przynajmniej pousówało rozszerzenia .block.

od czego zalezy ta cyfra?

Proszę o pomoc w odtworzeniu tych dokumentów, bo wsrod nich jest moja praca inżynierska i wszystkie materiały do niej. Ja juz jestem załamany, w ostatecznosci bede zmuszony aby zapłacic tym oszusto!!!

[picasso]

djmaci

Te instrukcje nie pasują. Tam jest inny wariant, czyli pliki o rozszerzeniu *.police a nie *.block. Usunięcie rozszerzenia (co wykonalne i ręcznie bez pomocy jakiegokolwiek programu) nie zmienia faktu, że pliki są nadal zaszyfrowane i zepsute.

Użyłeś narzędzie Dr. Web, więc przypomnę co zostało tu powiedziane:

 

Pisałem do Virus Monitoring Service Doctor Web, załączyłem im próbkę pliku zaszyfrowanego i tego sprzed infekcji. W odpowiedzi otrzymałem, że deszyfracja jest niemożliwa.

 

 

xdepawel

 

Moje pytanie jest takie.. czy jeżeli polecę z formatem wszystkich dysków (na każdym są pliki .block) to usunę to coś? Bo nie wiem w sumie co teraz mam robić.

 

Format oczywiście usunie wszystkie ślady...



.

[djmaci]

kurcze ja juz jestem załamany, moja praca inżynierska, wszystkie materiały :-(

[picasso]

djmaci, czy próbowałeś tego:

 

W związku z tym jedyny ratunek to wyszukanie poprzednich wersji plików:

(...)
Do wypróbowania narzędzia do odzyskiwania skasowanych danych takie jak PhotoRec. Być może wyszuka poprzednią postać plików... Tu macie podobne instrukcje dla innej infekcji (Gpcode), której plików też nie można odszyfrować i Kaspersky podaje jak szukać oryginalnych wersji skasowanych przez trojana: KLIK (do wykonania treść aż do instrukcji z StopGpcode = to się tu nie aplikuje).

 

Więcej niestety nie można zrobić...



.

[Anonim8]

Zainteresujcie się tymi tematami. Mam na mysli programy do odzyskiwania danych.

 

https://www.fixitpc.pl/topic/14555-odzyskiwanie-waznych-danych/

 

https://www.fixitpc.pl/topic/14566-dysk-zewnetrzny-mi-sie-zepsul/page__fromsearch__1