m4rc1n Opublikowano 16 Grudnia 2012 Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 Działa. Udało się odzyskać pracę inżynierską narzeczonej bobson, dziękuję za pomoc, całe szczęście, że Google umie po hiszpańsku Odnośnik do komentarza
djmaci Opublikowano 16 Grudnia 2012 Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 Kurcze a ja nie moge odnaleźc plikow Initia1Log.txt.block i ok.txt.block. Mozna bez tego odzyskac dane? podczas uruchamiania programu wyskoczył mi bład ze nie moze odnaleźc klucza. Czy to chodzi o te dwa pliki? System wgrałem od nowa, ale posiadam kopie strargo. Odnośnik do komentarza
m4rc1n Opublikowano 16 Grudnia 2012 Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 Ja te dwa pliki znalazłem w C:\Users\"nazwa użytkownika"\AppData\Roaming\, te katalogi z natury są ukryte, dlatego polecam Total Commandera do wyszukiwania. Generalnie w tych dwóch plikach znajduje się klucz deszyfrujący "za.block'owane" pliki. Bez tego najwyraźniej nic nie zrobisz. Jak je znajdziesz, umieść je w jednym katalogu (kopiuj, nie przenoś) z DeBlock.exe i uruchamiaj z uprawnieniami Administratora. Odnośnik do komentarza
djmaci Opublikowano 16 Grudnia 2012 Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 Wielkie dzięki!!! To działa odblokowałem moja prace inżynierska :-) Ja byłem juz poprostu załamany. Cale szczescie ze zachowałem kopie starego systemu! Jestescie wspaniali. Ale teraz mam nauczke aby robic kopie zapasowe. Jeszcze raz dzięki!!! Odnośnik do komentarza
Hajasz Opublikowano 16 Grudnia 2012 Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 Jak pobrać ten program ? Wyskakuje okienko ale nie wiem co wpisać aby to pobrać bo wszystko po hiszpańsku. Odnośnik do komentarza
m4rc1n Opublikowano 16 Grudnia 2012 Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 Zasadniczo to trzeba się zarejestrować, ciężko powiedzieć co dokładnie gdzie wpisać. Proponuje zainstalować sobie Google Chrome które automatycznie proponuje tłumaczenie obcojęzycznych stron. Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2012 Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Jeśli ktoś nadal ma problem, to dla ułatwienia (choć nie wiem czy mi wolno), by nie miotać się z bezsensowną rejestracją na tym hiszpańskim forum, tymczasowo umieściłam plik do pobrania u nas: KLIK. . Odnośnik do komentarza
neverthry Opublikowano 17 Grudnia 2012 Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 udalo mi sie odkodować pliki zaszyfrowane z formatem .blockz ftp://ftp.drweb.com w folderze tools narzedzie te94decrypt i odpalony z kluczem 188 , w lini komend: te94decrypt.exe -k 188. Odkodował wszystkie pliki lecz nie usuwa .block i trzeba je recznie wywalic. Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2012 Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 neverthry Druga strona tego tematu i brak skuteczności: KLIK. Tak więc to nie działa we wszystkich przypadkach. Zostało podane tu już przez bobsona narzędzie DeBlock. . Odnośnik do komentarza
djmaci Opublikowano 17 Grudnia 2012 Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 Ja jeszcze oprócz plików z roszerzeniem block posiadam pliki z rozszerzeniem fb! np. 121_123.PDF.fb!. Pewnie to sa pliki które nie zostały do konca zablokowane przez malware. Odnośnik do komentarza
Poncjusz Opublikowano 18 Grudnia 2012 Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 Ja te dwa pliki znalazłem w C:\Users\"nazwa użytkownika"\AppData\Roaming\, te katalogi z natury są ukryte, dlatego polecam Total Commandera do wyszukiwania. Generalnie w tych dwóch plikach znajduje się klucz deszyfrujący "za.block'owane" pliki. Bez tego najwyraźniej nic nie zrobisz. Jak je znajdziesz, umieść je w jednym katalogu (kopiuj, nie przenoś) z DeBlock.exe i uruchamiaj z uprawnieniami Administratora. Usunąłem oba pliki zaraz po wyłapaniu .blocka. Pytanie czy wszyscy zakażeni mają identyczne pliki, czy tez u innych użytkowników pliki będą się różnić od siebie? Jeżeli sa identyczne prośba o ich upload. Inaczej nic nie podziałam;/ Odnośnik do komentarza
kostykiewicz Opublikowano 18 Grudnia 2012 Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 Każdy ma inny klucz, jeśli go usunales to jedyna opcja to odzyskanie danych, przez programy do odzyskiwania danych o ile ci sie uda, jesli odzyskasz te dwa pliki to wtedy bedziesz mogl odszyfrowac na podstawie kluczy z tych dwoch plikow txt. Jesli nie to zapomnij na dzien dzisiejszy o tym . Odnośnik do komentarza
olkks Opublikowano 18 Grudnia 2012 Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 DeBlock działa rewelacyjnie. Udało mi się wszystko odblokować (ponad 3 500 plików .txt, .doc oraz .xls). Niestety, potrzebne są dwa pliki, o których piszecie powyżej. Na szczęście przed sformatowaniem dysku skopiowałem wszystko z roszezrzeniem .block na pendriv'a i tam je znalazłem. Wielkie dzięki za pomoc. Odnośnik do komentarza
ladziu4 Opublikowano 18 Grudnia 2012 Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 Dzien Dobry Mam pytanie ,znajoma zainfekowała sobie komputer tym wirusem ale zrobiła przywracanie systemu z kopii i niestety te dwa pliki ktore sa potrzebne do odszyfrowania Block zostały usuniete .Czy jest mozliwosc odzyskania zarazonych plkow .Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2012 Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 znajoma zainfekowała sobie komputer tym wirusem ale zrobiła przywracanie systemu z kopii i niestety te dwa pliki ktore sa potrzebne do odszyfrowania Block zostały usuniete .Czy jest mozliwosc odzyskania zarazonych plkow Zawartość dysku została już nadpisana. W związku z tym ostatnia szansa to program do odzyskiwania danych. Program musi być uruchomiony z całkiem innego dysku niż ten na którym były pliki z kluczem, a na samym dysku nie należy wykonywać żadnych zapisów, bo to tylko pogrąża sprawę i oddala potencjalny odzysk pliku z kluczem. . Odnośnik do komentarza
Prince Opublikowano 18 Grudnia 2012 Zgłoś Udostępnij Opublikowano 18 Grudnia 2012 udalo mi sie odkodować pliki zaszyfrowane z formatem .block z ftp://ftp.drweb.com w folderze tools narzedzie te94decrypt i odpalony z kluczem 188 , w lini komend: te94decrypt.exe -k 188. Odkodował wszystkie pliki lecz nie usuwa .block i trzeba je recznie wywalic. Chciałbym wszystkich zainteresowanych przestrzec przed tym pochopnym działaniem, owszem zdejmuje z pliku końcówkę *.BLOCK ale plik (np. .jpg lub .doc) nadal pozostaje bezużyteczny i co NAJWAŻNIEJSZE zostaje (widziany jako prawidłowy plik) skopiowany obok oryginalnego pliku, nadal zaszyfrowanego. Tym sposobem mamy podwójny śmietnik na dysku. Jakieś sugestie odnośnie cofnięcia działania dekryptora ? Odnośnik do komentarza
Prince Opublikowano 19 Grudnia 2012 Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Dla wszystkich tych co posiadają Win Vista, zapraszam do lektury i...odzyskiwania plików - co prawda narzędzie jedynie dla dysku systemowego (C:\) ale to już ogromny sukces. Potwierdzam skuteczność, testowałem na plikach .jpg i .doc http://www.pcamator.pl/inne/software/144-shadow-explorer - opis (PL) oraz odsyłacz do download Odnośnik do komentarza
Spider Opublikowano 19 Grudnia 2012 Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Witam wszystkich, ja niestety rowniez zostalem ofiara w/w malware. Mam pytanie - czy komus udalo sie odzyskac usniete pliki Initia1Log.txt.block i ok.txt.block ? Niestety zaraz po usunieciu wirusa przez Combofixa (i innych programow) zrobilem reinstalacje Windowsa wraz z formatem partycji systemowej. Wyprobowalem juz kilka programow do odzyskiwania danych - m.in. Recuva, GetDataBack czy TestDisk - niestety bez rezultatu, jednakze skanowania te robilem na aktutalnie pracujacym dysku. Czy podpiecie dysku pod inny komputer zwiekszy szanse na przywrocenie plikow? Bylbym wdzieczny za jakiekolwiek porady, jakich programow uzyc itp. Odnośnik do komentarza
picasso Opublikowano 19 Grudnia 2012 Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Spider Czy podpiecie dysku pod inny komputer zwiekszy szanse na przywrocenie plikow? W aktualnej sytuacji nie zmieni to faktu, że na dysku już odbyły się wielokrotne zapisy pogrążające sprawę (po pierwsze: format i instalacja Windows, po drugie: praca Windows tworząca określone pliki, po trzecie: programy do odzysku danych instalowane na dysku z którego odzyskujesz). Zbyt dużo zapisów się już wykonało i szanse odzyskania plików marne. Prince To jest część Przywracania systemu Vista / Windows 7, po prostu kopie cieniowe dostępne wybiórczo. Należy więc zaznaczyć: - jeśli nie ma punktów Przywracania z odpowiedniego okresu, nie ma też Poprzednich wersji z tego czasu. - jeśli Przywracanie systemu było wyłączone, nie ma też Poprzednich wersji. . Odnośnik do komentarza
Prince Opublikowano 19 Grudnia 2012 Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 To jest część Przywracania systemu Vista / Windows 7, po prostu kopie cieniowe dostępne wybiórczo. Należy więc zaznaczyć: - jeśli nie ma punktów Przywracania z odpowiedniego okresu, nie ma też Poprzednich wersji z tego czasu. - jeśli Przywracanie systemu było wyłączone, nie ma też Poprzednich wersji. Bardzo dziękuję za ten celny i istotny info suplement, oczywiście picasso masz ważną rację Nie umniejsza to jednak istotnego faktu, iż część z grona poszkodowanych tym trojanem, posiadających Vista Home, dzięki tej informacji ma duże szansę odetchnąć z częściową ulgą, "chociaż C:\" Mam pytanie - czy komus udalo sie odzyskac usniete pliki Initia1Log.txt.block i ok.txt.block ? Z informacji opartych na źródłach forum bleepingcomputer.com To jest bardzo mało prawdopodobne. Punkty przywracania wpływają tylko pliki programu, a nie dane użytkownika. Plik utworzony przez szkodliwy program jest uważany za dane użytkownika w systemie Windows. Autoryzowany Przedstawiciel Emsisoft Oraz korespondencja od dr Web za cytatem tego samego forum, (z wolnego ale do zrozumienia tłumaczenia by google translate) "Malware napotkałeś jest klasyfikowany jako Trojan.Encoder.141. Szyfruje dane przy użyciu algorytmu AES i usuwa pliki bezpiecznie po zaszyfrowaniu. Do szyfrowania i deszyfrowania () danych, klucz tajny jest wymagane. Malware otrzymuje unikalny klucz z serwera zdalnego i zapisuje je w pliku. Ale gdy szyfrowanie całkowicie zakończy, to bezpiecznie usuwa ten plik. Jak na razie możemy tylko odszyfrować swoje dane, czy plik jest nadal obecny w systemie. Jeśli tak nie jest, jedyną opcją jest zmusić władze wykorzystać do zdalnego serwera i ujawnić zapisane klucze szyfrowania. ... Ok. Nazwa pliku z kluczem jest "Initia1Log.txt.block". To rozmiar powinien wynosić około 48 bajtów. W tym samym katalogu, co archiwum zazwyczaj można znaleźć pliku 'ok.txt.block ". Ta ostatnia jest bezużyteczna dla ciebie chociaż. Tak, spróbuj znaleźć "Initia1Log.txt.block" plik i wysłać go tutaj. Jeśli ten plik istnieje, ja pobrać klucz od niego, i wysłać instrukcje i link do narzędzia do odszyfrowania danych. Jeśli ten plik nie istnieje, to nie będziemy w stanie odszyfrować swoje dane teraz. Jeśli ta sytuacja się zmienia, będę informować Cię" pozdro załoga ps. i na koniec podzielę się osobistymi refleksjami; skoro po zakończonym ataku (szyfrowaniu określonych rozszerzeń plików na całym komputerze za pomocą szyfru Advanced Encryption Standard AES-256) sam trojan w najlepszy z możliwych sposobów sprząta po sobie plik Initia1Log.txt.block z atakowanego dysku, to posiadają go tylko Ci szczęśliwcy, którzy świadomie lub nieświadomie, potrafili za pomocą chociażby metody okrutnego wyłączenia od zasilania/internetu komputera/laptopa przerwać progres ataku i przy okazji zatrzymać na dysku w/w plik-klucz. Zaszyfrowany klucz jest indywidualny dla każdego użytkownika. pps. Na klawiaturze wybierz kombinację klawiszy "Logo Windows" + "R"; W okno "Uruchom" wpisz: %appdata% tutaj zobaczymy ostatni zmodyfikowany i przy okazji jeden z dwóch niezaszyfrowanych plików .jpg na całym dysku, będzie on nosił nazwę "suspectphoto.jpg" - w przypadku laptopa na którym mam do czynienia z atakiem, wyposażonego we wbudowaną kamerę, również zdjęcie osoby wpatrzonej z kwaśną miną w ekran monitora czytającej/oglądającej niżej załączony screen (niemożliwy w jednym odruchu do tradycyjnego wyłączenia) jest to drugi i ostatni prawidłowy plik .jpg ("bg.jpg") bez rozszerzenia *.block, niezaszyfrowany plik z powodów oczywistych, przecież na jakieś grafice należało poinformować ofiarę, gdzie i jak przelewać pieniądze w zamian za unblock... Odnośnik do komentarza
picasso Opublikowano 19 Grudnia 2012 Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Prince, nie rozumiem za bardzo kontekstu Twojego cytatu. Przywracanie systemu nie ma nic do rzeczy po formacie dysku, który wykonał: Niestety zaraz po usunieciu wirusa przez Combofixa (i innych programow) zrobilem reinstalacje Windowsa wraz z formatem partycji systemowej. . Odnośnik do komentarza
Spider Opublikowano 19 Grudnia 2012 Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Coz wychodzi na to ze nie ma najmniejszych szans na przywrocenie tych plikow? Czyli darowac sobie akcje podlaczania dysku pod inny komputer i skanowania programami? Odnośnik do komentarza
picasso Opublikowano 19 Grudnia 2012 Zgłoś Udostępnij Opublikowano 19 Grudnia 2012 Spider, dla spokoju sumienia możesz to wypróbować, stosując kolejne programy do odzyskiwania danych. Ale szanse są bardzo marne, dysk był wielokrotnie nadpisywany. Odnośnik do komentarza
Spider Opublikowano 20 Grudnia 2012 Zgłoś Udostępnij Opublikowano 20 Grudnia 2012 Rozumiem, dziekuje za odpowiedz, mimo wszystko sprobuje, jesli jakims cudem by sie udalo - dam znac. Pozdrawiam. Odnośnik do komentarza
krzyd Opublikowano 20 Grudnia 2012 Zgłoś Udostępnij Opublikowano 20 Grudnia 2012 (edytowane) Prince po otwarciu miniatury którą tu wrzuciłeś dostałem komunikat od ESS 2012-12-20 11:15:40 Ochrona protokołu HTTP plik http://XXX/index.php?app=core&module=attach§ion=attach&attach_rel_module=post&attach_id=36456 Win32/Filecoder.NAG koń trojański połączenie zostało zakończone - poddany kwarantannie Wykryto zagrożenie podczas uzyskiwania dostępu do stron internetowych przez aplikację: C:\Program Files\Opera\opera.exe. Edytowane 20 Grudnia 2012 przez picasso Usunięty załącznik. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi