Prince

Na rosyjskojęzycznym forum kaspersky, użytkownik Thyrex (prawdopodobny autor narzędzia "DeBlock") w jednej ze swojej wypowiedzi wyjaśnił, iż wirus na zakończenie swojego "dzieła" zabiera się za usunięcie pliku Initia1log.txt.block (tego z indywidualnym kluczem szyfrującym) nadpisując go aż trzykrotnie - skutkiem czego jest niemożliwość odzyskania pliku żadnym programem do odzyskiwania danych. Ja zastanawiam się czy czasem nie mogłoby być tak że, kto "złapał" trojana "na uczynku" i nie pozowolił mu dokończyć (również przypadkiem) ten był w stanie odnaleźć u siebie przesławny 48 bajtowy plik: Initia1log.txt.block (a co za tym w parze, również plik ok.txt.block). A reszta... Nieustannie śledzę wszystkie pozostałe źródła traktujące o przypadku zaszyfrowania plików *.block ale na horyzoncie smutna cisza. I to by było niestety na dzień 4.01.13 na tyle w temacie. pozdrawiam Prince

W przypadku gdy pliku jest BRAK, na dzień dzisiejszy nie odnajdziesz narzędzia które je odblokuje.

https://www.fixitpc.pl/topic/14756-komputer-zostal-zablokowany-pliki-z-rozszerzeniem-block/page__view__findpost__p__102128 - "przepuść" tę hiszpańską instrukcję przez google translate na PL https://www.fixitpc.pl/topic/14756-komputer-zostal-zablokowany-pliki-z-rozszerzeniem-block/page__view__findpost__p__102807 - informacja o drugim narzędziu pamiętaj, podstawą jakichkolwiek działań tymi narzędziami jest posiadanie przez Ciebie pliku Initia1Log.txt.block

Everything Search Engine - doskonała wyszukiwarka plików na dysku twardym

Temat jest intensywnie analizowany w wątku użytkownika "Goska" -> http://www.fixitpc.p...erzeniem-block/ Weelsof Ransomware/ukash (w zasadzie spotkałem się kilkukrotnie z różnym nazewnictwem tego trojana), który dotychczas straszył policyjną planszą wyświetlaną na całym ekranie rozwija się i mutuje nieprzerwanie od maja 2012 (picasso natrafiła nawet na wzmianki z marca br.) na dzień dzisiejszy szyfruje pliki (min. graficzne i dokumenty, dopisuje rozszerzenie *.Block). Chciałbym Cię zapewnić, że temat nie stoi w miejscu i trwa międzynarodowa dyskusja na różnych forach (min. kaspersky) jak się odnaleźć w tej bardzo groźnej sytuacji. Oczywiście nie płacimy szantażyście żadnych pieniędzy za rzekome odblokowanie plików, oto przykład co spotkało osobę która zapłaciła: (po angielsku) pozdrawiam Prince

Dziękuję, pliki już otrzymałem, prośba jest nieaktualna. Bardzo gorąco zachęcam do lektury: http://technowinki.onet.pl/komputery/porywacze-komputerow,1,5376390,artykul.html

Oczywiście może się okazać, że jest to prowokacja, ale można przyjrzeć się szantażyście w akcji na tym francuskim forum. W języku angielskim wypowiada się tam użytkownik "payandbeunblocked", zapis pochodzi z 21 grudnia, godz. 9:20. Na tym przykładzie doskonale widoczny jest schemat działania cyberprzestępcy(ów). Doradzam sporą powściągliwość w dawanie wiary autentycznego istnienia tego szantażysty w tych postach. Nie mniej na ten czas żadnego sygnału nie powinnno się wykluczać. http://www.aidoweb.com/forum/fichiers-bloques-apres-avoir-ete-infecte-virus-37942/p-2

te94decrypt odnalazł i zdublował mi 11 tys. plików. Spójrz na datę modyfikacji swoich plików *.block (u mnie był to przedział od 19:09 do 20:07 11.12.2012) użyj narzędzia Everything Search Engine, w linii wyszukiwarki wpisz "*.*block", wówczas zobaczysz ile masz zaszyfrowanych plików, dodatkowo posegreguj pliki wg. daty modyfikacji, a poznasz swój "czas" ataku owego ransomware. Najszybszą metodą usunięcia jest zapamiętanie godziny i minuty, modyfikacji pierwszego i ostatniego pliku *.Block na Twoim dysku twardym. Pamiętaj że trojan zaszyfrował następujące rozszerzenia plików: Wpisuj więc w wyszukiwarkę np. *.*txt posegreguj wg. daty modyfikacji, "zmieść" część wyników wyszukiwania w przedziale w jakim widziałeś wcześniej modyfikowane *.Block Oto wyszukiwarka: http://www61.zippyshare.com/v/77228714/file.html !UWAGA: Zalecam bardzo rozważne działanie, jeżeli będziesz uważał i nie będziesz się śpieszył wszystkie rzekomo rozszyfrowane pliki po te94decrypt, wyłapiesz i usuniesz. Co nie zmienia oczywiście faktu, że nadal wszystko co pozostanie, będzie zaszyfrowane (AES 256) powodzenia w porządkach

Czasami pośpiech i zmęczenie zbierają gorzkie plony... picasso dziękuję i pozdrawiam

Dziękuję za odpowiedź, no więc pozamiatałem. picasso czy jesteś w posiadaniu przykładowego pliku o który prosiłem w powyższym poście ?

ps. Jak cofnąć wyłączenie (np. przypadkowe) tworzenia kopii zapasowych w win vista? Prince

Bardzo dziękuję za ten celny i istotny info suplement, oczywiście picasso masz ważną rację Nie umniejsza to jednak istotnego faktu, iż część z grona poszkodowanych tym trojanem, posiadających Vista Home, dzięki tej informacji ma duże szansę odetchnąć z częściową ulgą, "chociaż C:\" Z informacji opartych na źródłach forum bleepingcomputer.com Oraz korespondencja od dr Web za cytatem tego samego forum, (z wolnego ale do zrozumienia tłumaczenia by google translate) pozdro załoga ps. i na koniec podzielę się osobistymi refleksjami; skoro po zakończonym ataku (szyfrowaniu określonych rozszerzeń plików na całym komputerze za pomocą szyfru Advanced Encryption Standard AES-256) sam trojan w najlepszy z możliwych sposobów sprząta po sobie plik Initia1Log.txt.block z atakowanego dysku, to posiadają go tylko Ci szczęśliwcy, którzy świadomie lub nieświadomie, potrafili za pomocą chociażby metody okrutnego wyłączenia od zasilania/internetu komputera/laptopa przerwać progres ataku i przy okazji zatrzymać na dysku w/w plik-klucz. Zaszyfrowany klucz jest indywidualny dla każdego użytkownika. pps. Na klawiaturze wybierz kombinację klawiszy "Logo Windows" + "R"; W okno "Uruchom" wpisz: %appdata% tutaj zobaczymy ostatni zmodyfikowany i przy okazji jeden z dwóch niezaszyfrowanych plików .jpg na całym dysku, będzie on nosił nazwę "suspectphoto.jpg" - w przypadku laptopa na którym mam do czynienia z atakiem, wyposażonego we wbudowaną kamerę, również zdjęcie osoby wpatrzonej z kwaśną miną w ekran monitora czytającej/oglądającej niżej załączony screen (niemożliwy w jednym odruchu do tradycyjnego wyłączenia) jest to drugi i ostatni prawidłowy plik .jpg ("bg.jpg") bez rozszerzenia *.block, niezaszyfrowany plik z powodów oczywistych, przecież na jakieś grafice należało poinformować ofiarę, gdzie i jak przelewać pieniądze w zamian za unblock...

Dla wszystkich tych co posiadają Win Vista, zapraszam do lektury i...odzyskiwania plików - co prawda narzędzie jedynie dla dysku systemowego (C:\) ale to już ogromny sukces. Potwierdzam skuteczność, testowałem na plikach .jpg i .doc http://www.pcamator.pl/inne/software/144-shadow-explorer - opis (PL) oraz odsyłacz do download

Chciałbym wszystkich zainteresowanych przestrzec przed tym pochopnym działaniem, owszem zdejmuje z pliku końcówkę *.BLOCK ale plik (np. .jpg lub .doc) nadal pozostaje bezużyteczny i co NAJWAŻNIEJSZE zostaje (widziany jako prawidłowy plik) skopiowany obok oryginalnego pliku, nadal zaszyfrowanego. Tym sposobem mamy podwójny śmietnik na dysku. Jakieś sugestie odnośnie cofnięcia działania dekryptora ?

Poczekam z odpowiedzią aż skończę jeździć photorecem po dysku, to będzie bardzo prosta sprawa, upewnić się czy na pewno odzyskałem np. zdjęcie. Photorec potrafi odzyskać plik z oryginalną nazwą jeśli był zapisany w takiej formie: ALA_MA_WEELSOF.doc Jak Photorec skończy swoją pracę wówczas wejdę do folderu z odzyskiem i wyszukiwarką porównam czy w tym folderze znajdę plik zapisany z "_" pasujący do zawartości folderu ".BLOCK". Niestety nie samym komputerem człowiek żyje, czasu nie mam zbyt dużo na weekend. Odezwę się jak powyższa próba znajdzie swoje potwierdzenie. pozdrawiam załoga