Prince

Nie mam niestety pliku Initia1Log.txt.block, prawdopodobnie został usunięty przez użytkownika komputera. W każdym bądź razie używałem kilku programów do odzyskiwania danych, plik nie został znaleziony.

Na rosyjskojęzycznym forum kaspersky, użytkownik Thyrex (prawdopodobny autor narzędzia "DeBlock") w jednej ze swojej wypowiedzi wyjaśnił, iż wirus na zakończenie swojego "dzieła" zabiera się za usunięcie pliku Initia1log.txt.block (tego z indywidualnym kluczem szyfrującym) nadpisując go aż trzykrotnie - skutkiem czego jest niemożliwość odzyskania pliku żadnym programem do odzyskiwania danych.

Ja zastanawiam się czy czasem nie mogłoby być tak że, kto "złapał" trojana "na uczynku" i nie pozowolił mu dokończyć (również przypadkiem) ten był w stanie odnaleźć u siebie przesławny 48 bajtowy plik: Initia1log.txt.block (a co za tym w parze, również plik ok.txt.block). A reszta...

Nieustannie śledzę wszystkie pozostałe źródła traktujące o przypadku zaszyfrowania plików *.block ale na horyzoncie smutna cisza. I to by było niestety na dzień 4.01.13 na tyle w temacie.

pozdrawiam

Prince

W przypadku gdy pliku jest BRAK, na dzień dzisiejszy nie odnajdziesz narzędzia które je odblokuje.

https://www.fixitpc.pl/topic/14756-komputer-zostal-zablokowany-pliki-z-rozszerzeniem-block/page__view__findpost__p__102128 - "przepuść" tę hiszpańską instrukcję przez google translate na PL

https://www.fixitpc.pl/topic/14756-komputer-zostal-zablokowany-pliki-z-rozszerzeniem-block/page__view__findpost__p__102807 - informacja o drugim narzędziu

pamiętaj, podstawą jakichkolwiek działań tymi narzędziami jest posiadanie przez Ciebie pliku Initia1Log.txt.block

Temat jest intensywnie analizowany w wątku użytkownika "Goska" -> http://www.fixitpc.p...erzeniem-block/

Weelsof Ransomware/ukash (w zasadzie spotkałem się kilkukrotnie z różnym nazewnictwem tego trojana), który dotychczas straszył policyjną planszą wyświetlaną na całym ekranie rozwija się i mutuje nieprzerwanie od maja 2012 (picasso natrafiła nawet na wzmianki z marca br.) na dzień dzisiejszy szyfruje pliki (min. graficzne i dokumenty, dopisuje rozszerzenie *.Block). Chciałbym Cię zapewnić, że temat nie stoi w miejscu i trwa międzynarodowa dyskusja na różnych forach (min. kaspersky) jak się odnaleźć w tej bardzo groźnej sytuacji. Oczywiście nie płacimy szantażyście żadnych pieniędzy za rzekome odblokowanie plików, oto przykład co spotkało osobę która zapłaciła: (po angielsku)

Posted 20 December 2012 - 10:27 AM

 

Okay, here is my experience with this virus (both the computer program and the person who made it). First I contacted the yahoo e-mail address (he uses the fake name Tarence Benefield), and the person wanted me to pay them using western union... I sent them the money, and the yahoo email address got blocked... now he uses the e-mail address removed (WARNING, DO NOT SEND HIM MONEY). So after I sent this guy my money, and his e-mail gets deleted by yahoo, I feel like and idiot... But then I was able to track down his new e-mail address and got in touch with him again. Now he wants me to send him another payment! This guy is a scammer and a low life (As if we didn't already know that); he doesn't care about you or your hard work. Please NO-ONE SEND HIM ANY MONEY! If we encourage this guy, then in the future we will only see more of these kind of viruses! I made a mistake, you should not make the same mistake!

These guys do not negotiate; they do not sympathise; all they care about is themselves, they would sell their mother to gangsters just for a few dollars.

Its seams that not too many people have fallen victim to this scam so far, which is good; but those that have fallen should NOT send any money no matter what!

Call your local police (FBI, RCMP, ect) fraud unit and report this; the more reports we make, the more likely they will start catching these guys! They already caught a few, only a few more to go!

 

James Man

pozdrawiam

Prince

Dziękuję, pliki już otrzymałem, prośba jest nieaktualna.

Bardzo gorąco zachęcam do lektury:

http://technowinki.onet.pl/komputery/porywacze-komputerow,1,5376390,artykul.html

Oczywiście może się okazać, że jest to prowokacja, ale można przyjrzeć się szantażyście w akcji na tym francuskim forum. W języku angielskim wypowiada się tam użytkownik "payandbeunblocked", zapis pochodzi z 21 grudnia, godz. 9:20. Na tym przykładzie doskonale widoczny jest schemat działania cyberprzestępcy(ów). Doradzam sporą powściągliwość w dawanie wiary autentycznego istnienia tego szantażysty w tych postach. Nie mniej na ten czas żadnego sygnału nie powinnno się wykluczać.

http://www.aidoweb.com/forum/fichiers-bloques-apres-avoir-ete-infecte-virus-37942/p-2

Prince, ile plików wyszukał Ci te94decrypt i jak sobie poradziłeś z duplikatami ?

Czy podczas oglądania filmów nie zauważyłeś przypadkiem nieprawidłowej synchronizacji dźwięku z obrazem ?

 

Po zastosowaniu tego narzędzia mam właśnie taki problem i tak się zastanawiam czym może być to spowodowane.

te94decrypt odnalazł i zdublował mi 11 tys. plików. Spójrz na datę modyfikacji swoich plików *.block (u mnie był to przedział od 19:09 do 20:07 11.12.2012) użyj narzędzia Everything Search Engine, w linii wyszukiwarki wpisz "*.*block", wówczas zobaczysz ile masz zaszyfrowanych plików, dodatkowo posegreguj pliki wg. daty modyfikacji, a poznasz swój "czas" ataku owego ransomware. Najszybszą metodą usunięcia jest zapamiętanie godziny i minuty, modyfikacji pierwszego i ostatniego pliku *.Block na Twoim dysku twardym. Pamiętaj że trojan zaszyfrował następujące rozszerzenia plików:

.txt, .xls, xlw, .docx, .doc, .cer, .key, .rtf, .xlsm, .xlsx, .xlc, .docm, .xlk, .htm, .chm, .text, .ppt, .djvu, .pdf, .lzo, .djv, .cdx, .cdt, .cdr, .bpg, .xfm, .dfm, .pas, .dpk, .dpr, .frm, .vbp, .php, .js, .wri, .css, .asm, .html, .jpg, .dbx, .dbt, .dbf, .odc, .mde, .mdb, .sql, .abw, .pab, .vsd, .xsf, .xsn, .pps, .lzh, .pgp, .arj, .gzip, .gz, .pst, .xl

Wpisuj więc w wyszukiwarkę np. *.*txt posegreguj wg. daty modyfikacji, "zmieść" część wyników wyszukiwania w przedziale w jakim widziałeś wcześniej modyfikowane *.Block

Oto wyszukiwarka:

http://www61.zippyshare.com/v/77228714/file.html

!UWAGA: Zalecam bardzo rozważne działanie, jeżeli będziesz uważał i nie będziesz się śpieszył wszystkie rzekomo rozszyfrowane pliki po te94decrypt, wyłapiesz i usuniesz. Co nie zmienia oczywiście faktu, że nadal wszystko co pozostanie, będzie zaszyfrowane (AES 256)

powodzenia w porządkach

Czasami pośpiech i zmęczenie zbierają gorzkie plony...

picasso dziękuję i pozdrawiam

Dziękuję za odpowiedź, no więc pozamiatałem. picasso czy jesteś w posiadaniu przykładowego pliku o który prosiłem w powyższym poście ?

ps.

Jak cofnąć wyłączenie (np. przypadkowe) tworzenia kopii zapasowych w win vista?

Prince

To jest część Przywracania systemu Vista / Windows 7, po prostu kopie cieniowe dostępne wybiórczo. Należy więc zaznaczyć:

- jeśli nie ma punktów Przywracania z odpowiedniego okresu, nie ma też Poprzednich wersji z tego czasu.

- jeśli Przywracanie systemu było wyłączone, nie ma też Poprzednich wersji.

Bardzo dziękuję za ten celny i istotny info suplement, oczywiście picasso masz ważną rację

Nie umniejsza to jednak istotnego faktu, iż część z grona poszkodowanych tym trojanem, posiadających Vista Home, dzięki tej informacji ma duże szansę odetchnąć z częściową ulgą, "chociaż C:\"

Mam pytanie - czy komus udalo sie odzyskac usniete pliki Initia1Log.txt.block i ok.txt.block ?

Z informacji opartych na źródłach forum bleepingcomputer.com

To jest bardzo mało prawdopodobne. Punkty przywracania wpływają tylko pliki programu, a nie dane użytkownika. Plik utworzony przez szkodliwy program jest uważany za dane użytkownika w systemie Windows.

 

Autoryzowany Przedstawiciel Emsisoft

Oraz korespondencja od dr Web za cytatem tego samego forum, (z wolnego ale do zrozumienia tłumaczenia by google translate)

"Malware napotkałeś jest klasyfikowany jako Trojan.Encoder.141. Szyfruje dane przy użyciu algorytmu AES i usuwa pliki bezpiecznie po zaszyfrowaniu.

Do szyfrowania i deszyfrowania () danych, klucz tajny jest wymagane. Malware otrzymuje unikalny klucz z serwera zdalnego i zapisuje je w pliku. Ale gdy szyfrowanie całkowicie zakończy, to bezpiecznie usuwa ten plik. Jak na razie możemy tylko odszyfrować swoje dane, czy plik jest nadal obecny w systemie. Jeśli tak nie jest, jedyną opcją jest zmusić władze wykorzystać do zdalnego serwera i ujawnić zapisane klucze szyfrowania. ...

 

Ok. Nazwa pliku z kluczem jest "Initia1Log.txt.block". To rozmiar powinien wynosić około 48 bajtów. W tym samym katalogu, co archiwum zazwyczaj można znaleźć pliku 'ok.txt.block ". Ta ostatnia jest bezużyteczna dla ciebie chociaż.

Tak, spróbuj znaleźć "Initia1Log.txt.block" plik i wysłać go tutaj.

Jeśli ten plik istnieje, ja pobrać klucz od niego, i wysłać instrukcje i link do narzędzia do odszyfrowania danych.

Jeśli ten plik nie istnieje, to nie będziemy w stanie odszyfrować swoje dane teraz. Jeśli ta sytuacja się zmienia, będę informować Cię"

pozdro załoga

ps. i na koniec podzielę się osobistymi refleksjami; skoro po zakończonym ataku (szyfrowaniu określonych rozszerzeń plików na całym komputerze za pomocą szyfru Advanced Encryption Standard AES-256) sam trojan w najlepszy z możliwych sposobów sprząta po sobie plik Initia1Log.txt.block z atakowanego dysku, to posiadają go tylko Ci szczęśliwcy, którzy świadomie lub nieświadomie, potrafili za pomocą chociażby metody okrutnego wyłączenia od zasilania/internetu komputera/laptopa przerwać progres ataku i przy okazji zatrzymać na dysku w/w plik-klucz. Zaszyfrowany klucz jest indywidualny dla każdego użytkownika.

pps. Na klawiaturze wybierz kombinację klawiszy "Logo Windows" + "R"; W okno "Uruchom" wpisz: %appdata% tutaj zobaczymy ostatni zmodyfikowany i przy okazji jeden z dwóch niezaszyfrowanych plików .jpg na całym dysku, będzie on nosił nazwę "suspectphoto.jpg" - w przypadku laptopa na którym mam do czynienia z atakiem, wyposażonego we wbudowaną kamerę, również zdjęcie osoby wpatrzonej z kwaśną miną w ekran monitora czytającej/oglądającej niżej załączony screen (niemożliwy w jednym odruchu do tradycyjnego wyłączenia) jest to drugi i ostatni prawidłowy plik .jpg ("bg.jpg") bez rozszerzenia *.block, niezaszyfrowany plik z powodów oczywistych, przecież na jakieś grafice należało poinformować ofiarę, gdzie i jak przelewać pieniądze w zamian za unblock...

Dla wszystkich tych co posiadają Win Vista, zapraszam do lektury i...odzyskiwania plików - co prawda narzędzie jedynie dla dysku systemowego (C:\) ale to już ogromny sukces. Potwierdzam skuteczność, testowałem na plikach .jpg i .doc

 http://www.pcamator.pl/inne/software/144-shadow-explorer 

- opis (PL) oraz odsyłacz do download

udalo mi sie odkodować pliki zaszyfrowane z formatem .block

 

z ftp://ftp.drweb.com w folderze tools narzedzie te94decrypt i odpalony z kluczem 188 , w lini komend: te94decrypt.exe -k 188. Odkodował wszystkie pliki lecz nie usuwa .block i trzeba je recznie wywalic.

Chciałbym wszystkich zainteresowanych przestrzec przed tym pochopnym działaniem, owszem zdejmuje z pliku końcówkę *.BLOCK ale plik (np. .jpg lub .doc) nadal pozostaje bezużyteczny i co NAJWAŻNIEJSZE zostaje (widziany jako prawidłowy plik) skopiowany obok oryginalnego pliku, nadal zaszyfrowanego. Tym sposobem mamy podwójny śmietnik na dysku.

Jakieś sugestie odnośnie cofnięcia działania dekryptora ?

Z tego co czytalem to podobno ten syf napisuje swoje pliki tzn pliki zaszyfrowane, jak bylo w twoim przypadku? miales ciagle podpiety kom do internetu nie odlaczales go? np. syf bedac podlaczony do sieci nadpisuje pliki?

Ciekawi mnie kwestia czy napewno ten syf nadpisuje pliki aby pozniej nie bylo mozliwosci odzyskania np. starszego pliki jeszcze przed zainfekowaniem/zaszyfrowaniem.

Poczekam z odpowiedzią aż skończę jeździć photorecem po dysku, to będzie bardzo prosta sprawa, upewnić się czy na pewno odzyskałem np. zdjęcie. Photorec potrafi odzyskać plik z oryginalną nazwą jeśli był zapisany w takiej formie: ALA_MA_WEELSOF.doc Jak Photorec skończy swoją pracę wówczas wejdę do folderu z odzyskiem i wyszukiwarką porównam czy w tym folderze znajdę plik zapisany z "_" pasujący do zawartości folderu ".BLOCK". Niestety nie samym komputerem człowiek żyje, czasu nie mam zbyt dużo na weekend. Odezwę się jak powyższa próba znajdzie swoje potwierdzenie.

pozdrawiam załoga

Witam

Temat śledzę od 11 grudnia, w chwili gdy owy weelsof jako ransomware zaatakował laptopa nad którym ślęczę aż po dziś dzień. Opiszę jak było; po pierwsze komputer trafił do mnie już po zarażeniu, więc nie jestem w stanie stwierdzić "jak to było". Wersję zdarzeń jaką usłyszałem brzmiała "oglądałam stronę z przepisami kulinarnymi, sosami". Nic więcej nie wiem. Początek był taki, że w chwili jak uruchamiał i wgrywał się system (VISTA) po niedługiej chwili wszystko zasłaniała wielka plansza na której po angielsku zostałem poinformowany, o zaszyfrowaniu AES 256, o żądaniu okupu i instrukcji gdzie i ile wpłacić. Planszy tej nie mogłem w żaden sposób wyłączyć, ctrl+alt+del i manager zadań a tam proces z losowo wygenerowaną nazwą, blokował w tle pliki. Ktoś już pisał wcześniej że proces szyfrowania nie trwa krótko, patrząc na godziny modyfikacji plików w moim przypadku trwało to od 19.21 do 19,43 (22minuty ataku, niestety do końca). Udało mi się wykonać przywracanie systemu z 2 grudnia i rezultat był taki, że plansza się nie pojawiała ale pliki zostały już w stanie *.*BLOCK. Atak poszedł po całym 160GB dysku podzielonym na dwie partycje C i D (ciekawe jak ukryta partycja z windowsem, - PQ?) i teraz garść istotnych informacji, w/w malware zaszyfrował następujące typy plików: (tyle zidentyfikowałem na piechotę - wśród 8523 plików z końcówką .BLOCK)

css, doc, docx, html, htm, jpg, pps, pptx, ppt, pdf, ppt, rtf, txt, xls

W stanie nienaruszonym pozostały pliki multimedialne takie jak:

mp3, avi, mpg

Czego próbowałem:

Bitdefender boot rescue (dziwnie się plątał, ale wgrałem go z płyty, zrobiłem update, potem skan i niczego nie wykrył)

Kaspersky Rescue Disk 10 (ściągnąłem, wypaliłem na CD, załadowałem go na laptopa, uzyskałem połączenie z internetem, a więc update i full scan. Tutaj KAV migał na czerwono i powyłapywał lekkie drobnoustroje lecz problemu nie usunął, niestety.)

Co dalej?

1. Zabezpieczyłem kopiując(nie przenosząc!) na przygotowany wcześniej pendrive owe 8,5 tys. plików .BLOCK (około 4,05GB)

2. Zgromadziłem kilka adresów internetowych, gdzie śledzę temat na bieżąco, oto kilka z nich:

https://www.fixitpc.pl/topic/14756-komputer-zostal-zablokowany-pliki-z-rozszerzeniem-block/page__st__40
http://blog.avg.pl
http://cert.pl/tools/genukash.php
http://www.cert.pl/news/5707

3. Wysłałem próbkę zainfekowanego dokumentu .doc do f-secure

 [url="https://analysis.f-secure.com/portal/login.html"]https://analysis.f-s...rtal/login.html[/url] 

raport mojej próbki wklejam w poniższym screenie:

 http://i46.tinypic.com/2duglj8.jpg 

jak widać zablokowany plik nie jest sam w sobie zarazkiem, jest nieszkodliwy i tak samo na ten czas bezużyteczny.

4. Użyłem narzędzia testdisk 6.13 w którego pakiet wchodzi photorec_win.exe

tutaj download ->

 http://www.cgsecurity.org/wiki/TestDisk_Download 

tutaj instrukcja ->

 http://www.cgsecurity.org/wiki/PhotoRec_Step_By_Step 

5. Niczego nie ruszam na komputerze, żaden format, żadne nic. Teraz jest to ogień pod kontrolą, właśnie z komputera w takim stanie działam photorecem.

Radzę wszystkim poszkodowanym postąpić podobnie, bez formatowania dysku i jakichkolwiek ruchów na plikach.

UWAGA! Radzę WSZYSTKIM POSZKODOWANYM dobrze zapoznać się z powyższą instrukcją (Co dalej? pkt. 4, jest w języku Angielskim) bo przy prawidłowym i uważnym skonfigurowaniu tego narzędzia, można odnieść chociażby cząstkowy sukces, ja osobiście odzyskałem na chwilę obecną 416 dokumentów ms office, garść zdjęć. Warto pamiętać że większość plików odzyskanych, będzie nazwane np. f15387392.doc. Wcześniej też zawęziłem proces szukania do formatów pdf, doc, jpg. Zachęcam bo zawsze jest to jakakolwiek próba działania.

Powodzenia załoga!

ps. picasso przecież ja wciąż wyznaję Tobie platoniczną miłość!

A więc po kolei:

1. Przeskanowalem w/w plik na virustotal - nie znaleziono zagrożeń.

2. Zluzowałem miejsce na partycji E: do 1.5 GB

3. Odinstalowałem oprogramowanie IObit wskazanym BitRemoverem (jestem zaskoczony złodziejskimi praktykami o jakich napisałeś, gdyż Advanced System Care tak bursztynowo i lukrowanie się reklamował w pełnej wersji w Dwutygodniuku KS.)

4. Poprawiłem po wszystkim CCleanerem

5. Poszukałem na dokładkę Registry First Aid'em czy wszystki odpad po odinstalowaniu znikł z systemu

6. Tym samym programem zdefragmentowałem rejestr systemowy

7. Zresetowałem

Wszystko ustało za wyjątkiem przeglądarki Opera 10.61 która (pomimo reinstalacji i zamiatania Cleanerami) niemiłosiernie mnie zasypuje w konsoli błędów, errorami i warringami nieprawidłowego wykonywania prawie wszystkiego na prawie każdej stronie, zwłaszcza tej ze skryptami java. Wydaje się więc to pozostałością po nierozjaśnionych procesach jakie zachodziły w moim systemie gdy ten chorował. Ale to wydaje się już jest inna historia zagadnienia problemu...()

Dziękuję za uzyskaną pomoc - mam nadzieję, że bez przyszłościowego "EDIT" tego posta.

pozdrawiam

Prince

Witam

Zwracam się z prośbą o pomoc w sprawie moich kłopotów z systemem operacyjnym windows (w tytule tematu)

OBJAWY: (występujące naprzemiennie, sporadycznie, rzadziej lub częściej):

1. Zamula procesor,

2. Zamula RAM

3. Zamula internet

4. Komunikat (na przykładzie z utorrent, owocem czego było przerywanie pobierania) "Błąd:Zasoby systemowe nie wystaczają do ukończenia żądanej uslugi."

5. Program Malwarebytes' Anti-Malware (z gazety KS) (autostart z windowsem) - prawie zupełnie pożerał pamięć (został odinstalowany a problem z nim. Ale czy o to właśnie chodziło?)

6. Opera (ver. 10.61) po wcześniejszej bezproblemowej pracy pojawiło się mnóstwo kłopotów z ową przeglądarką:

- zaczęła informować mnie o fakcie korzystania z wolnego łącza i sugeruje włączenie opcji "TURBO Opera" gdzie wcześniej taki monit się nigdy nie pojawiał

- nie wyświetla prawidłowo stron np. nk.pl, imageshack.us tj. nie wszystkie elementy w przeglądarce ładują się do końca, lub wcale się nie wyświetlają (buttony javascript, literki w infochmurkach nachodzą na siebie)

- Opera browser errors:

-> Javascript function disabled

-> Your browser is not supported. Spell Checker Disabled

Przeglądarka była reinstalowana, wszystke opcje w sekcji javascript są odptaszkowane, konsola błędów wyświetla całe stosy wrong komunikatów i błędów

7. Zdarzył się trzykrotnie (rzadko i w kilkudniowych odstępach czasowych) nieoczekiwany restart systemu

-> LOGI:

OTL:

OTL.Txt

Extras.Txt

GMER:

Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku <- wgrywam więc z wklej.org: GMER_Raport

Zwracam się prośbą o pomoc, liczę na to iż znajdzie się osoba, jaka zechce mnie wesprzeć z w/w sprawą

z poważaniem

Prince