Komputer został zablokowany, pliki z rozszerzeniem block

[xdepawel]

@xdepawel

W jaki sposob to dostales?

Miales aktualny program antywirusowy? jesli tak to jaki

- aktualna przegladarke?

- aktyalną jave?

- aktyalnego flash playera

- aktualny system??? aktualizacje itp osatnie

- na jakie strony wchodziles?

- z jakiej przegladarki korzsystasz?

 

Niestety kilka dni temu skończyła mi się subskrypcja na Norton Internet Security. Przeglądarka najnowszy Firefox, Java instalowana kilka dni wcześniej, flash player tak samo, aktualizacje automatyczne włączone, a co do stron, to żadne podejrzane najwięcej Facebook, wrzuta, youtube itp. Ciężko mi jest to określić kiedy to złapałem, bo chyba od kilku dni mi powoli blokowało, ale nie zwracałem uwagi. Wiem, że wszedłem na stronę o Tomaszu Adamku prawdopodobnie była dość stara, i pobrałem z tamtąd kilka obrazków, a zaraz po tym pojawił się ten komunikat z blokowaniem. Ale nie jestem pewien czy to to.

 

Więc wygląda na to, że muszę zrobić format, kupić nowy program antywirusowy i tak dalej. Jedyne co zauważyłem, to to że zdjęcia w archiwum zostały nienaruszone. Inne pliki tak samo. A na wszystkich dyskach to ocalała jedynie muzyka i filmy.

[kostykiewicz]

Pozostaje tylko zrobic to co napisała @picasso i probowac odzyskac te dane, troszke tez nauczka aby robic kopie zapasowe np. miec w domu dysk zew na usb i raz na jakis czas zrobic kopie danych, nawet nie przez infekcje moga zostac uszkodzone, a powiedzmy przez uszkodzenie dysku, mozna pozniej oczywiscie odzyskac dane ale zapewne nie warunkach domowych a juz laboratoryjnych gdzie ceny sa naprawde wysokie.

 

MORAŁ ROB KOPIE WAŻNYCH PLIKÓW | ZAWSZE

[xdepawel]

No niestety masz rację. Odpaliłem PhotoRec - coś tam odzyskuje, ale nie wiem czy akurat to co jest najważniejsze. Robię format, system od nowa, kupuję Nortona i nowy dysk na USB dla zabezpieczenia, no i kopie zapasowe i punkt przywracania.

[ezkg]

Ciekaw jestem czy po opłaceniu pliki zostaną odblokowane.

[djmaci]

Wątpie, napisałem do nich emaila zeby mi odblokowali documenty i ze nie mysle im zaplacic ani złotówki. Pewnie to nic nie pomoże ale warto spróbowac

[picasso]

Wątpie, napisałem do nich emaila zeby mi odblokowali documenty i ze nie mysle im zaplacic ani złotówki.

 

Nie uważam Twoich działań za właściwe, jeszcze im podajesz dane typu e-mail, które nie wiadomo w jaki sposób mogą zostać użyte. Przy infekcjach ransomware nie należy w ogóle podejmować prób żadnego kontaktu z szantażystami, nie wspominając o uiszczaniu opłat. I jest oczywiste, że pliki nie zostaną odblokowane tylko na podstawie "prośby w e-mail". Nie po to zablokowano je, prawda?

 

Ciekaw jestem czy po opłaceniu pliki zostaną odblokowane.

 

Jest owszem przypadek przy tego typu infekcjach, że ofiara zdecydowała się zapłacić i po jakimś czasie szantażyści zareagowali: KLIK. Treść od "Last week, the ABC reported that a trucking company in Alice Springs, an outback town famous for being a long way from anywhere, had fallen victim to a cyberextortion demand. (...) The victim decided, very much against police advice, to pay up."

Ale to wyjątkowy scenariusz.

 

 

 

.

[djmaci]

Odpisali i kazali mi przesłac plik aby mi udowodnic ze moga go odblokowac i zdecydował sie czy chce płacic.

A czy wina tego ze wirus dostał sie na komputer lezy po stronie antywirusa, posiadam Avasta.

[kostykiewicz]

to podaj im najwazniejszy plik jaki posiadasz na dysku i olej ich pozniej chyba ze zalezy ci na wiecej plikach

[picasso]

A moim zdaniem to igranie z ogniem. Wasze osobiste pliki / prywatne dane wysyłać szantażystom?! Całkowity brak kontroli czy te pliki nie zostaną w jakiś sposób wykorzystane. Nie ma też żadnych gwarancji, że po uiszczeniu opłaty dane zostaną odszyfrowane. Pieniądze zabiorą, klucza nie wyślą. Tak też może być. Skoro zrobili z plikami co widać, nie można mieć zaufania.

 

 

A czy wina tego ze wirus dostał sie na komputer lezy po stronie antywirusa, posiadam Avasta.

 

Tu na forum jest mnóstwo infekcji "policyjnych" z rozmaitymi antywirusami w zestawie (darmowe + komercja), nie tylko Avast. I antywirus to niestety nie wszystko, na antywirusy nie można liczyć w 100%.

 

 

 

.

[Poncjusz]

Odpisali i kazali mi przesłac plik aby mi udowodnic ze moga go odblokowac i zdecydował sie czy chce płacic.

A czy wina tego ze wirus dostał sie na komputer lezy po stronie antywirusa, posiadam Avasta.

 

Daj znać czy faktycznie odszyfrowali Tobie plik. Jestem w identycznej sytuacji, na szczęście połowa zasobów ocalała.

[djmaci]

Zaryzykowałem i wysłałem im plik i odesłali mi tylko pół strony tekstu który zawierał ten plik. Kazali mi podac IP i numer ID. Kurcze musi byc na to jakis sposób i ma nadzieje ze szybko go ktos odnajdzie.

 

Ja natomiast nic nie odzyskałem photoreckiem z dokumentów worda.

 

A firmy co sie zajmuja odzyskiwaniem danych poradzili by sobie z tym?

[Poncjusz]

Tez napisałem. Wysłałem bardzo ważne dla mnie zdjęcie, Odzyskałem je w całości!!! Czyli jednak się da.

[picasso]

Czyli jednak się da.

 

Raczę zwrócić uwagę, że klucz deszyfrujący jest w rękach przestępców, więc nic dziwnego, że "da się". Mają te dane, danych nie mają za to firmy antywirusowe. Emsisoft + Dr. Web było tu już cytowane.

 

 

.

[kostykiewicz]

Moze i sie da ale tysiąc złotych to przesada.

Że tak na rynek polski teraz to wkracza i robi sie hucznie,

 

Ja nie zostalem zarazony ale napisalem z czystej ciekawosci do ESETA NOD w tej sprawie, jako ze niektorzy juz posiadaja infekcje i mieli aktualna baze wirusow np. z NODa to chcialem ich poinformowac, odpisali mi ze posiadaja już zaszyfrowany plik i zainfekowany, zajmuje sie tym jakis ich dzial aby stworzyc na to lekarstwo i pewnie uaktualnią bazę wirusów o ten właśnie syf, ale nie sądze aby coś poradzili z odszyfrowaniem skoro tyle firm jak wspomniala picasso odpisali ze jest to niemozliwe.

Zaloze sie ze teraz wiele grup ktore zajmuja sie tworzeniem takiego syfu bedzie wlasnie pisala wirusy dzialajace taką własnie metodą.

[kostykiewicz]

https://www.fixitpc.pl/topic/14894-zablokowany-komputer-i-zaszyfrowane-pliki-block/

 

barakuda1234, czy mozesz udostępnić obojętnie jaki plik .block zaszyfrowany na jakis hosting??? czy zdjęcie czy plik dokument.

Spakuj jak możesz ten plik w .zip lub .rar ustalając w nim hasło: wirus

I wyślij na jakiś serwer spakowany ten plik z nałożonym przez ciebie hasłem: wirus (z małej litery wszystko)

Prześlę próbkę do wszystkich jakich znam firm antywirusowych, ale zapewne oni juz to mają, nic nie szkodzi sprobować, wiem że niby nie da sie na dzień dzisiejszy tego odkodować, ale próbować można.

Edytowane 14 Grudnia 2012 przez picasso
Tematy podzielone. //picasso

[barakuda1234]

Odnośnie próbki zablokowanych plików czy wysłać też nie zaszyfrowany orginał który miałem na pendrivie?

[kostykiewicz]

W sumie mozesz: przesle te probki firmom niech sprawdza, to nie chodzi o to ze nie dowierzam innym ktorzy stwierdzili diagnoze, ale lepiej miec opinie roznych firm i swiatopogląd na tą sprawę niż tylko jednej chociaz nawet bardzo istotnych firm.

Nie zaszkodzi ci a tylko mozesz zyskać więcej informacji, co dla niektórych może być to zbędne, ale dla osob ktore mają nadzieje to zawsze jakaś informacja niekoniecznie zadawalająca, a dobijająca

Podpisz np.

plik zaszyfrowany.zip

plik oryginalny kopia z pendrive przed zaszyfrowaniem.zip

 

W tych wszystkich plikach ustaw hasło, ktre brzmi: wirus

 

 

Otrzymałem taką odpowiedź z firmy antywirusowej AVG: ( nie wymienie imienia i nazwiska osoby bo nie wiem czy mi wolno.

 

Witam,

 

Niewiele póki co jestem w stanie powiedzieć.

 

 

Jak by ktoś posiadał próbkę inwekcji malware to napewno można byłoby coś zdziałać aby poźniej cos takiego sie nie pojawiało, przynajmniej przez pewien czas, tak mi sie wydaje. Moze udostepnic.

Mogę potwierdzić, że na pewno nie mamy do tej pory żadnego narzędzia do odszyfrowania plików. Mamy kilkanaście próbek plików zaszyfrowanych, każdy szyfrowany jest inaczej co potwierdza wersję człowieka z Emsisoftu, że klucze szyfrujące są server-side i są losowe. Bez dostępu do kluczy nie da się napisać decryptora, nie wiadomo tez ile tych kluczy istnieje. Możliwe, że są one generowane losowo przez malware i wtedy ich ilość jest nieskończona.

 

Pracujemy też nad dodaniem detekcji tego malware przez AVG ale niestety póki co nie udało nam się zdobyć próbki samego malware. Wszystko co dostajemy do tej pory do analizy to pliki już zaszyfrowane, bezużyteczne. Samego źródła infekcji do analizy póki co nie otrzymaliśmy.

 

O postępach w analizie na pewno będziemy informować, proszę odwiedzać co kilka dni blog.avg.pl bo jak tylko ustalimy jakieś konkrety i opracujemy porady dla użytkowników to na pewno opublikuję je tam.

 

 

No cóż w takim razie dalej trzeba czekać, oby coś poskutkowało

Jeśli coś jeszcze będę wiedział napewno napiszę.

 

Edit:

 

Otrzymałem kolejną wiadomość z firmy F-secure:

 

Witam serdecznie, dziekujemy za cenne informacje.

 

Mielismy juz wiele zgloszen w sprawie tego wirusa, na dzien dzisiejszy nasza aplikacja rozpoznaje jego kod.

 

Gdyby w przyszlosci mial Pan watpliwosci czy dany plik jest zainfekowany, mozna przeslac go bezposrednio do naszego labolatorium, w celu jego anality, instrukcja ponizej.

 

 

W tym celu prosimy udać sie na naszą stronę:

 

https://analysis.f-s...rtal/login.html

 

Jeżeli nie jesteś zarejestrowany, kliknij na rejestracje.

 

Jeśli jesteś już zarejestrowany, zaloguj się.

 

Kliknij "przeglądaj" i wybierz zainfekowany plik, następnie kliknij przycisk "otwórz".

 

Prosimy wybrać odpowiedni rodzaj próby.

 

Teraz kliknij na Wyślij.

 

Uwaga!

 

Przed wysyłaniem plików do analizy zaleca się stworzenie zaszyfrowanego archiwum, do którego należy skopiować wszystkie próbki plików. Do szyfrowania archiwum prosimy zawsze używać hasła: infected

[Prince]

Witam

 

Temat śledzę od 11 grudnia, w chwili gdy owy weelsof jako ransomware zaatakował laptopa nad którym ślęczę aż po dziś dzień. Opiszę jak było; po pierwsze komputer trafił do mnie już po zarażeniu, więc nie jestem w stanie stwierdzić "jak to było". Wersję zdarzeń jaką usłyszałem brzmiała "oglądałam stronę z przepisami kulinarnymi, sosami". Nic więcej nie wiem. Początek był taki, że w chwili jak uruchamiał i wgrywał się system (VISTA) po niedługiej chwili wszystko zasłaniała wielka plansza na której po angielsku zostałem poinformowany, o zaszyfrowaniu AES 256, o żądaniu okupu i instrukcji gdzie i ile wpłacić. Planszy tej nie mogłem w żaden sposób wyłączyć, ctrl+alt+del i manager zadań a tam proces z losowo wygenerowaną nazwą, blokował w tle pliki. Ktoś już pisał wcześniej że proces szyfrowania nie trwa krótko, patrząc na godziny modyfikacji plików w moim przypadku trwało to od 19.21 do 19,43 (22minuty ataku, niestety do końca). Udało mi się wykonać przywracanie systemu z 2 grudnia i rezultat był taki, że plansza się nie pojawiała ale pliki zostały już w stanie *.*BLOCK. Atak poszedł po całym 160GB dysku podzielonym na dwie partycje C i D (ciekawe jak ukryta partycja z windowsem, - PQ?) i teraz garść istotnych informacji, w/w malware zaszyfrował następujące typy plików: (tyle zidentyfikowałem na piechotę - wśród 8523 plików z końcówką .BLOCK)

 

css, doc, docx, html, htm, jpg, pps, pptx, ppt, pdf, ppt, rtf, txt, xls

 

W stanie nienaruszonym pozostały pliki multimedialne takie jak:

mp3, avi, mpg

 

Czego próbowałem:

Bitdefender boot rescue (dziwnie się plątał, ale wgrałem go z płyty, zrobiłem update, potem skan i niczego nie wykrył)

Kaspersky Rescue Disk 10 (ściągnąłem, wypaliłem na CD, załadowałem go na laptopa, uzyskałem połączenie z internetem, a więc update i full scan. Tutaj KAV migał na czerwono i powyłapywał lekkie drobnoustroje lecz problemu nie usunął, niestety.)

 

Co dalej?

1. Zabezpieczyłem kopiując(nie przenosząc!) na przygotowany wcześniej pendrive owe 8,5 tys. plików .BLOCK (około 4,05GB)

2. Zgromadziłem kilka adresów internetowych, gdzie śledzę temat na bieżąco, oto kilka z nich:

 

https://www.fixitpc.pl/topic/14756-komputer-zostal-zablokowany-pliki-z-rozszerzeniem-block/page__st__40
http://blog.avg.pl
http://cert.pl/tools/genukash.php
http://www.cert.pl/news/5707

 

3. Wysłałem próbkę zainfekowanego dokumentu .doc do f-secure

 [url="https://analysis.f-secure.com/portal/login.html"]https://analysis.f-s...rtal/login.html[/url] 

raport mojej próbki wklejam w poniższym screenie:

 http://i46.tinypic.com/2duglj8.jpg 

jak widać zablokowany plik nie jest sam w sobie zarazkiem, jest nieszkodliwy i tak samo na ten czas bezużyteczny.

 

4. Użyłem narzędzia testdisk 6.13 w którego pakiet wchodzi photorec_win.exe

tutaj download ->

 http://www.cgsecurity.org/wiki/TestDisk_Download 

tutaj instrukcja ->

 http://www.cgsecurity.org/wiki/PhotoRec_Step_By_Step 

 

5. Niczego nie ruszam na komputerze, żaden format, żadne nic. Teraz jest to ogień pod kontrolą, właśnie z komputera w takim stanie działam photorecem.

Radzę wszystkim poszkodowanym postąpić podobnie, bez formatowania dysku i jakichkolwiek ruchów na plikach.

 

UWAGA! Radzę WSZYSTKIM POSZKODOWANYM dobrze zapoznać się z powyższą instrukcją (Co dalej? pkt. 4, jest w języku Angielskim) bo przy prawidłowym i uważnym skonfigurowaniu tego narzędzia, można odnieść chociażby cząstkowy sukces, ja osobiście odzyskałem na chwilę obecną 416 dokumentów ms office, garść zdjęć. Warto pamiętać że większość plików odzyskanych, będzie nazwane np. f15387392.doc. Wcześniej też zawęziłem proces szukania do formatów pdf, doc, jpg. Zachęcam bo zawsze jest to jakakolwiek próba działania.

 

Powodzenia załoga!

 

ps. picasso przecież ja wciąż wyznaję Tobie platoniczną miłość!

[kostykiewicz]

Skoro większość osob zarazona jest to zapewne osoby które stworzyły ten syf kupuje np. pewna ilość dostępów do serwerów ftp z polskimi stronami, gdzie po tym umieszcza swój kod złośliwy na stronach o ktorych byś się nie spodziewał że coś cię może zarazić lub też sami wykonują atak aby dostać się do serwera gdzie będa mieli możliwość doklejenia złośliwego kodu z własnym syfem, który np. może wykorzystywać nieuwagę użytkowników i użyć exploitów do znanych luk w oprogramowaniu systemowym.

Teraz wzieli się za rynek polski skoro picasso pisała że już od maja zagrożenie się rozwija lecz stosunkowo w polsce dopiero teraz.

Jedyna najlepsza ochrona to tak jak picasso podała: sprobować użyc sandboxa i podpiąc go pod przeglądarkę.

 

 

 

@Prince

Napisałes:

ja osobiście odzyskałem na chwilę obecną 416 dokumentów ms office, garść zdjęć.

 

Z tego co czytalem to podobno ten syf napisuje swoje pliki tzn pliki zaszyfrowane, jak bylo w twoim przypadku? miales ciagle podpiety kom do internetu nie odlaczales go? np. syf bedac podlaczony do sieci nadpisuje pliki?

Ciekawi mnie kwestia czy napewno ten syf nadpisuje pliki aby pozniej nie bylo mozliwosci odzyskania np. starszego pliki jeszcze przed zainfekowaniem/zaszyfrowaniem.

[Prince]

Z tego co czytalem to podobno ten syf napisuje swoje pliki tzn pliki zaszyfrowane, jak bylo w twoim przypadku? miales ciagle podpiety kom do internetu nie odlaczales go? np. syf bedac podlaczony do sieci nadpisuje pliki?

Ciekawi mnie kwestia czy napewno ten syf nadpisuje pliki aby pozniej nie bylo mozliwosci odzyskania np. starszego pliki jeszcze przed zainfekowaniem/zaszyfrowaniem.

 

Poczekam z odpowiedzią aż skończę jeździć photorecem po dysku, to będzie bardzo prosta sprawa, upewnić się czy na pewno odzyskałem np. zdjęcie. Photorec potrafi odzyskać plik z oryginalną nazwą jeśli był zapisany w takiej formie: ALA_MA_WEELSOF.doc Jak Photorec skończy swoją pracę wówczas wejdę do folderu z odzyskiem i wyszukiwarką porównam czy w tym folderze znajdę plik zapisany z "_" pasujący do zawartości folderu ".BLOCK". Niestety nie samym komputerem człowiek żyje, czasu nie mam zbyt dużo na weekend. Odezwę się jak powyższa próba znajdzie swoje potwierdzenie.

 

pozdrawiam załoga

[kostykiewicz]

Kolejna odpowiedz F-secure:

 

 

Witam serdecznie,

 

 

>>Czy są państwo wstanie stworzyć jakis deszyfrator

 

Wlasciwie to juz jest zrobiony nazywa sie "Ransomcrypt Decryption Script" potrafi deszyfrowac pliki, ale nie jest przez nas wspierany. Odsylam do Google.

 

 

Tak jak wspomnialem w poprzednim meilu, silniki skanujace rozponaja kod wirusa, wiec uzywanie naszej aplikacji wystarczy by sie ochronic.

 

Nie chcemy zdradzac szczegolowych informacji na temat sposobu wykrywania, poniewaz moga byc zle wykorzystane.

 

Czy to czasem nie dziala na starsze wersje tego syfu? a moze naprawde juz cos jest.

 

Znalazlem link ale to jest chyba do jakiejs innej wersji:

http://www.f-secure.com/weblog/archives/00002349.html

[picasso]

Nie wygląda na to, by to był pasujący deszyfrator. Zupełnie inny wariant w opisie i zaszyfrowane pliki z rozszerzeniem *.EnCiPhErEd.

[Anonim6]

Pytanie zatem - czy zaszyfrowanie partycji z danymi ochroni zasoby w czasie ataku tego syfu?

[barakuda1234]

Zdaje się, że w kwarantannie combofixa mam pliki należące to tego wirusa.

[bobson]

Witam

Znalazłem poradnik jak odblokować pliki z rozszerzeniem .block . Przetestujcie i dajcie znać o wynikach ja już jestem na nowym systemie także nie wiem czy działa.

 

http://www.forospyware.com/t448113.html

 

Edycja od picasso:

Szybkie pobieranie narzędzia DeBlock bez rejestracji na tamtym forum: KLIK.

Edytowane 17 Grudnia 2012 przez picasso