Prince

Na rosyjskojęzycznym forum kaspersky, użytkownik Thyrex (prawdopodobny autor narzędzia "DeBlock") w jednej ze swojej wypowiedzi wyjaśnił, iż wirus na zakończenie swojego "dzieła" zabiera się za usunięcie pliku Initia1log.txt.block (tego z indywidualnym kluczem szyfrującym) nadpisując go aż trzykrotnie - skutkiem czego jest niemożliwość odzyskania pliku żadnym programem do odzyskiwania danych. Ja zastanawiam się czy czasem nie mogłoby być tak że, kto "złapał" trojana "na uczynku" i nie pozowolił mu dokończyć (również przypadkiem) ten był w stanie odnaleźć u siebie przesławny 48 bajtowy plik: Initia1log.txt.block (a co za tym w parze, również plik ok.txt.block). A reszta... Nieustannie śledzę wszystkie pozostałe źródła traktujące o przypadku zaszyfrowania plików *.block ale na horyzoncie smutna cisza. I to by było niestety na dzień 4.01.13 na tyle w temacie. pozdrawiam Prince

W przypadku gdy pliku jest BRAK, na dzień dzisiejszy nie odnajdziesz narzędzia które je odblokuje.

https://www.fixitpc.pl/topic/14756-komputer-zostal-zablokowany-pliki-z-rozszerzeniem-block/page__view__findpost__p__102128 - "przepuść" tę hiszpańską instrukcję przez google translate na PL https://www.fixitpc.pl/topic/14756-komputer-zostal-zablokowany-pliki-z-rozszerzeniem-block/page__view__findpost__p__102807 - informacja o drugim narzędziu pamiętaj, podstawą jakichkolwiek działań tymi narzędziami jest posiadanie przez Ciebie pliku Initia1Log.txt.block

Everything Search Engine - doskonała wyszukiwarka plików na dysku twardym

Temat jest intensywnie analizowany w wątku użytkownika "Goska" -> http://www.fixitpc.p...erzeniem-block/ Weelsof Ransomware/ukash (w zasadzie spotkałem się kilkukrotnie z różnym nazewnictwem tego trojana), który dotychczas straszył policyjną planszą wyświetlaną na całym ekranie rozwija się i mutuje nieprzerwanie od maja 2012 (picasso natrafiła nawet na wzmianki z marca br.) na dzień dzisiejszy szyfruje pliki (min. graficzne i dokumenty, dopisuje rozszerzenie *.Block). Chciałbym Cię zapewnić, że temat nie stoi w miejscu i trwa międzynarodowa dyskusja na różnych forach (min. kaspersky) jak się odnaleźć w tej bardzo groźnej sytuacji. Oczywiście nie płacimy szantażyście żadnych pieniędzy za rzekome odblokowanie plików, oto przykład co spotkało osobę która zapłaciła: (po angielsku) pozdrawiam Prince

Dziękuję, pliki już otrzymałem, prośba jest nieaktualna. Bardzo gorąco zachęcam do lektury: http://technowinki.onet.pl/komputery/porywacze-komputerow,1,5376390,artykul.html

Oczywiście może się okazać, że jest to prowokacja, ale można przyjrzeć się szantażyście w akcji na tym francuskim forum. W języku angielskim wypowiada się tam użytkownik "payandbeunblocked", zapis pochodzi z 21 grudnia, godz. 9:20. Na tym przykładzie doskonale widoczny jest schemat działania cyberprzestępcy(ów). Doradzam sporą powściągliwość w dawanie wiary autentycznego istnienia tego szantażysty w tych postach. Nie mniej na ten czas żadnego sygnału nie powinnno się wykluczać. http://www.aidoweb.com/forum/fichiers-bloques-apres-avoir-ete-infecte-virus-37942/p-2

te94decrypt odnalazł i zdublował mi 11 tys. plików. Spójrz na datę modyfikacji swoich plików *.block (u mnie był to przedział od 19:09 do 20:07 11.12.2012) użyj narzędzia Everything Search Engine, w linii wyszukiwarki wpisz "*.*block", wówczas zobaczysz ile masz zaszyfrowanych plików, dodatkowo posegreguj pliki wg. daty modyfikacji, a poznasz swój "czas" ataku owego ransomware. Najszybszą metodą usunięcia jest zapamiętanie godziny i minuty, modyfikacji pierwszego i ostatniego pliku *.Block na Twoim dysku twardym. Pamiętaj że trojan zaszyfrował następujące rozszerzenia plików: Wpisuj więc w wyszukiwarkę np. *.*txt posegreguj wg. daty modyfikacji, "zmieść" część wyników wyszukiwania w przedziale w jakim widziałeś wcześniej modyfikowane *.Block Oto wyszukiwarka: http://www61.zippyshare.com/v/77228714/file.html !UWAGA: Zalecam bardzo rozważne działanie, jeżeli będziesz uważał i nie będziesz się śpieszył wszystkie rzekomo rozszyfrowane pliki po te94decrypt, wyłapiesz i usuniesz. Co nie zmienia oczywiście faktu, że nadal wszystko co pozostanie, będzie zaszyfrowane (AES 256) powodzenia w porządkach

Czasami pośpiech i zmęczenie zbierają gorzkie plony... picasso dziękuję i pozdrawiam

Dziękuję za odpowiedź, no więc pozamiatałem. picasso czy jesteś w posiadaniu przykładowego pliku o który prosiłem w powyższym poście ?

ps. Jak cofnąć wyłączenie (np. przypadkowe) tworzenia kopii zapasowych w win vista? Prince

Bardzo dziękuję za ten celny i istotny info suplement, oczywiście picasso masz ważną rację Nie umniejsza to jednak istotnego faktu, iż część z grona poszkodowanych tym trojanem, posiadających Vista Home, dzięki tej informacji ma duże szansę odetchnąć z częściową ulgą, "chociaż C:\" Z informacji opartych na źródłach forum bleepingcomputer.com Oraz korespondencja od dr Web za cytatem tego samego forum, (z wolnego ale do zrozumienia tłumaczenia by google translate) pozdro załoga ps. i na koniec podzielę się osobistymi refleksjami; skoro po zakończonym ataku (szyfrowaniu określonych rozszerzeń plików na całym komputerze za pomocą szyfru Advanced Encryption Standard AES-256) sam trojan w najlepszy z możliwych sposobów sprząta po sobie plik Initia1Log.txt.block z atakowanego dysku, to posiadają go tylko Ci szczęśliwcy, którzy świadomie lub nieświadomie, potrafili za pomocą chociażby metody okrutnego wyłączenia od zasilania/internetu komputera/laptopa przerwać progres ataku i przy okazji zatrzymać na dysku w/w plik-klucz. Zaszyfrowany klucz jest indywidualny dla każdego użytkownika. pps. Na klawiaturze wybierz kombinację klawiszy "Logo Windows" + "R"; W okno "Uruchom" wpisz: %appdata% tutaj zobaczymy ostatni zmodyfikowany i przy okazji jeden z dwóch niezaszyfrowanych plików .jpg na całym dysku, będzie on nosił nazwę "suspectphoto.jpg" - w przypadku laptopa na którym mam do czynienia z atakiem, wyposażonego we wbudowaną kamerę, również zdjęcie osoby wpatrzonej z kwaśną miną w ekran monitora czytającej/oglądającej niżej załączony screen (niemożliwy w jednym odruchu do tradycyjnego wyłączenia) jest to drugi i ostatni prawidłowy plik .jpg ("bg.jpg") bez rozszerzenia *.block, niezaszyfrowany plik z powodów oczywistych, przecież na jakieś grafice należało poinformować ofiarę, gdzie i jak przelewać pieniądze w zamian za unblock...

Dla wszystkich tych co posiadają Win Vista, zapraszam do lektury i...odzyskiwania plików - co prawda narzędzie jedynie dla dysku systemowego (C:\) ale to już ogromny sukces. Potwierdzam skuteczność, testowałem na plikach .jpg i .doc http://www.pcamator.pl/inne/software/144-shadow-explorer - opis (PL) oraz odsyłacz do download

Chciałbym wszystkich zainteresowanych przestrzec przed tym pochopnym działaniem, owszem zdejmuje z pliku końcówkę *.BLOCK ale plik (np. .jpg lub .doc) nadal pozostaje bezużyteczny i co NAJWAŻNIEJSZE zostaje (widziany jako prawidłowy plik) skopiowany obok oryginalnego pliku, nadal zaszyfrowanego. Tym sposobem mamy podwójny śmietnik na dysku. Jakieś sugestie odnośnie cofnięcia działania dekryptora ?

Poczekam z odpowiedzią aż skończę jeździć photorecem po dysku, to będzie bardzo prosta sprawa, upewnić się czy na pewno odzyskałem np. zdjęcie. Photorec potrafi odzyskać plik z oryginalną nazwą jeśli był zapisany w takiej formie: ALA_MA_WEELSOF.doc Jak Photorec skończy swoją pracę wówczas wejdę do folderu z odzyskiem i wyszukiwarką porównam czy w tym folderze znajdę plik zapisany z "_" pasujący do zawartości folderu ".BLOCK". Niestety nie samym komputerem człowiek żyje, czasu nie mam zbyt dużo na weekend. Odezwę się jak powyższa próba znajdzie swoje potwierdzenie. pozdrawiam załoga

Witam Temat śledzę od 11 grudnia, w chwili gdy owy weelsof jako ransomware zaatakował laptopa nad którym ślęczę aż po dziś dzień. Opiszę jak było; po pierwsze komputer trafił do mnie już po zarażeniu, więc nie jestem w stanie stwierdzić "jak to było". Wersję zdarzeń jaką usłyszałem brzmiała "oglądałam stronę z przepisami kulinarnymi, sosami". Nic więcej nie wiem. Początek był taki, że w chwili jak uruchamiał i wgrywał się system (VISTA) po niedługiej chwili wszystko zasłaniała wielka plansza na której po angielsku zostałem poinformowany, o zaszyfrowaniu AES 256, o żądaniu okupu i instrukcji gdzie i ile wpłacić. Planszy tej nie mogłem w żaden sposób wyłączyć, ctrl+alt+del i manager zadań a tam proces z losowo wygenerowaną nazwą, blokował w tle pliki. Ktoś już pisał wcześniej że proces szyfrowania nie trwa krótko, patrząc na godziny modyfikacji plików w moim przypadku trwało to od 19.21 do 19,43 (22minuty ataku, niestety do końca). Udało mi się wykonać przywracanie systemu z 2 grudnia i rezultat był taki, że plansza się nie pojawiała ale pliki zostały już w stanie *.*BLOCK. Atak poszedł po całym 160GB dysku podzielonym na dwie partycje C i D (ciekawe jak ukryta partycja z windowsem, - PQ?) i teraz garść istotnych informacji, w/w malware zaszyfrował następujące typy plików: (tyle zidentyfikowałem na piechotę - wśród 8523 plików z końcówką .BLOCK) css, doc, docx, html, htm, jpg, pps, pptx, ppt, pdf, ppt, rtf, txt, xls W stanie nienaruszonym pozostały pliki multimedialne takie jak: mp3, avi, mpg Czego próbowałem: Bitdefender boot rescue (dziwnie się plątał, ale wgrałem go z płyty, zrobiłem update, potem skan i niczego nie wykrył) Kaspersky Rescue Disk 10 (ściągnąłem, wypaliłem na CD, załadowałem go na laptopa, uzyskałem połączenie z internetem, a więc update i full scan. Tutaj KAV migał na czerwono i powyłapywał lekkie drobnoustroje lecz problemu nie usunął, niestety.) Co dalej? 1. Zabezpieczyłem kopiując(nie przenosząc!) na przygotowany wcześniej pendrive owe 8,5 tys. plików .BLOCK (około 4,05GB) 2. Zgromadziłem kilka adresów internetowych, gdzie śledzę temat na bieżąco, oto kilka z nich: https://www.fixitpc.pl/topic/14756-komputer-zostal-zablokowany-pliki-z-rozszerzeniem-block/page__st__40 http://blog.avg.pl http://cert.pl/tools/genukash.php http://www.cert.pl/news/5707 3. Wysłałem próbkę zainfekowanego dokumentu .doc do f-secure [url="https://analysis.f-secure.com/portal/login.html"]https://analysis.f-s...rtal/login.html[/url] raport mojej próbki wklejam w poniższym screenie: http://i46.tinypic.com/2duglj8.jpg jak widać zablokowany plik nie jest sam w sobie zarazkiem, jest nieszkodliwy i tak samo na ten czas bezużyteczny. 4. Użyłem narzędzia testdisk 6.13 w którego pakiet wchodzi photorec_win.exe tutaj download -> http://www.cgsecurity.org/wiki/TestDisk_Download tutaj instrukcja -> http://www.cgsecurity.org/wiki/PhotoRec_Step_By_Step 5. Niczego nie ruszam na komputerze, żaden format, żadne nic. Teraz jest to ogień pod kontrolą, właśnie z komputera w takim stanie działam photorecem. Radzę wszystkim poszkodowanym postąpić podobnie, bez formatowania dysku i jakichkolwiek ruchów na plikach. UWAGA! Radzę WSZYSTKIM POSZKODOWANYM dobrze zapoznać się z powyższą instrukcją (Co dalej? pkt. 4, jest w języku Angielskim) bo przy prawidłowym i uważnym skonfigurowaniu tego narzędzia, można odnieść chociażby cząstkowy sukces, ja osobiście odzyskałem na chwilę obecną 416 dokumentów ms office, garść zdjęć. Warto pamiętać że większość plików odzyskanych, będzie nazwane np. f15387392.doc. Wcześniej też zawęziłem proces szukania do formatów pdf, doc, jpg. Zachęcam bo zawsze jest to jakakolwiek próba działania. Powodzenia załoga! ps. picasso przecież ja wciąż wyznaję Tobie platoniczną miłość!

A więc po kolei: 1. Przeskanowalem w/w plik na virustotal - nie znaleziono zagrożeń. 2. Zluzowałem miejsce na partycji E: do 1.5 GB 3. Odinstalowałem oprogramowanie IObit wskazanym BitRemoverem (jestem zaskoczony złodziejskimi praktykami o jakich napisałeś, gdyż Advanced System Care tak bursztynowo i lukrowanie się reklamował w pełnej wersji w Dwutygodniuku KS.) 4. Poprawiłem po wszystkim CCleanerem 5. Poszukałem na dokładkę Registry First Aid'em czy wszystki odpad po odinstalowaniu znikł z systemu 6. Tym samym programem zdefragmentowałem rejestr systemowy 7. Zresetowałem Wszystko ustało za wyjątkiem przeglądarki Opera 10.61 która (pomimo reinstalacji i zamiatania Cleanerami) niemiłosiernie mnie zasypuje w konsoli błędów, errorami i warringami nieprawidłowego wykonywania prawie wszystkiego na prawie każdej stronie, zwłaszcza tej ze skryptami java. Wydaje się więc to pozostałością po nierozjaśnionych procesach jakie zachodziły w moim systemie gdy ten chorował. Ale to wydaje się już jest inna historia zagadnienia problemu...() Dziękuję za uzyskaną pomoc - mam nadzieję, że bez przyszłościowego "EDIT" tego posta. pozdrawiam Prince

Witam Zwracam się z prośbą o pomoc w sprawie moich kłopotów z systemem operacyjnym windows (w tytule tematu) OBJAWY: (występujące naprzemiennie, sporadycznie, rzadziej lub częściej): 1. Zamula procesor, 2. Zamula RAM 3. Zamula internet 4. Komunikat (na przykładzie z utorrent, owocem czego było przerywanie pobierania) "Błąd:Zasoby systemowe nie wystaczają do ukończenia żądanej uslugi." 5. Program Malwarebytes' Anti-Malware (z gazety KS) (autostart z windowsem) - prawie zupełnie pożerał pamięć (został odinstalowany a problem z nim. Ale czy o to właśnie chodziło?) 6. Opera (ver. 10.61) po wcześniejszej bezproblemowej pracy pojawiło się mnóstwo kłopotów z ową przeglądarką: - zaczęła informować mnie o fakcie korzystania z wolnego łącza i sugeruje włączenie opcji "TURBO Opera" gdzie wcześniej taki monit się nigdy nie pojawiał - nie wyświetla prawidłowo stron np. nk.pl, imageshack.us tj. nie wszystkie elementy w przeglądarce ładują się do końca, lub wcale się nie wyświetlają (buttony javascript, literki w infochmurkach nachodzą na siebie) - Opera browser errors: -> Javascript function disabled -> Your browser is not supported. Spell Checker Disabled Przeglądarka była reinstalowana, wszystke opcje w sekcji javascript są odptaszkowane, konsola błędów wyświetla całe stosy wrong komunikatów i błędów 7. Zdarzył się trzykrotnie (rzadko i w kilkudniowych odstępach czasowych) nieoczekiwany restart systemu -> LOGI: OTL: OTL.Txt Extras.Txt GMER: Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku <- wgrywam więc z wklej.org: GMER_Raport Zwracam się prośbą o pomoc, liczę na to iż znajdzie się osoba, jaka zechce mnie wesprzeć z w/w sprawą z poważaniem Prince