Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Komputer został zablokowany, pliki z rozszerzeniem block

Goska

Przez Goska
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
m4rc1n

m4rc1n

Opublikowano
Opublikowano

Ja te dwa pliki znalazłem w C:\Users\"nazwa użytkownika"\AppData\Roaming\, te katalogi z natury są ukryte, dlatego polecam Total Commandera do wyszukiwania. Generalnie w tych dwóch plikach znajduje się klucz deszyfrujący "za.block'owane" pliki. Bez tego najwyraźniej nic nie zrobisz. Jak je znajdziesz, umieść je w jednym katalogu (kopiuj, nie przenoś) z DeBlock.exe i uruchamiaj z uprawnieniami Administratora.

Odnośnik do komentarza
Poncjusz

Poncjusz

Opublikowano
Opublikowano

Ja te dwa pliki znalazłem w C:\Users\"nazwa użytkownika"\AppData\Roaming\, te katalogi z natury są ukryte, dlatego polecam Total Commandera do wyszukiwania. Generalnie w tych dwóch plikach znajduje się klucz deszyfrujący "za.block'owane" pliki. Bez tego najwyraźniej nic nie zrobisz. Jak je znajdziesz, umieść je w jednym katalogu (kopiuj, nie przenoś) z DeBlock.exe i uruchamiaj z uprawnieniami Administratora.

 

Usunąłem oba pliki zaraz po wyłapaniu .blocka.

Pytanie czy wszyscy zakażeni mają identyczne pliki, czy tez u innych użytkowników pliki będą się różnić od siebie?

Jeżeli sa identyczne prośba o ich upload. Inaczej nic nie podziałam;/

Odnośnik do komentarza
olkks

olkks

Opublikowano
Opublikowano

DeBlock działa rewelacyjnie. Udało mi się wszystko odblokować (ponad 3 500 plików .txt, .doc oraz .xls). Niestety, potrzebne są dwa pliki, o których piszecie powyżej. Na szczęście przed sformatowaniem dysku skopiowałem wszystko z roszezrzeniem .block na pendriv'a i tam je znalazłem. Wielkie dzięki za pomoc.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
znajoma zainfekowała sobie komputer tym wirusem ale zrobiła przywracanie systemu z kopii i niestety te dwa pliki ktore sa potrzebne do odszyfrowania Block zostały usuniete .Czy jest mozliwosc odzyskania zarazonych plkow

 

Zawartość dysku została już nadpisana. W związku z tym ostatnia szansa to program do odzyskiwania danych. Program musi być uruchomiony z całkiem innego dysku niż ten na którym były pliki z kluczem, a na samym dysku nie należy wykonywać żadnych zapisów, bo to tylko pogrąża sprawę i oddala potencjalny odzysk pliku z kluczem.

 

 

 

.

Odnośnik do komentarza
Prince

Prince

Opublikowano
Opublikowano

udalo mi sie odkodować pliki zaszyfrowane z formatem .block

 

z ftp://ftp.drweb.com w folderze tools narzedzie te94decrypt i odpalony z kluczem 188 , w lini komend: te94decrypt.exe -k 188. Odkodował wszystkie pliki lecz nie usuwa .block i trzeba je recznie wywalic.

 

Chciałbym wszystkich zainteresowanych przestrzec przed tym pochopnym działaniem, owszem zdejmuje z pliku końcówkę *.BLOCK ale plik (np. .jpg lub .doc) nadal pozostaje bezużyteczny i co NAJWAŻNIEJSZE zostaje (widziany jako prawidłowy plik) skopiowany obok oryginalnego pliku, nadal zaszyfrowanego. Tym sposobem mamy podwójny śmietnik na dysku.

 

Jakieś sugestie odnośnie cofnięcia działania dekryptora ?

Odnośnik do komentarza
Prince

Prince

Opublikowano
Opublikowano

Dla wszystkich tych co posiadają Win Vista, zapraszam do lektury i...odzyskiwania plików :) - co prawda narzędzie jedynie dla dysku systemowego (C:\) ale to już ogromny sukces. Potwierdzam skuteczność, testowałem na plikach .jpg i .doc

 

 http://www.pcamator.pl/inne/software/144-shadow-explorer

- opis (PL) oraz odsyłacz do download :D

Odnośnik do komentarza
Spider

Spider

Opublikowano
Opublikowano

Witam wszystkich, ja niestety rowniez zostalem ofiara w/w malware.

 

Mam pytanie - czy komus udalo sie odzyskac usniete pliki Initia1Log.txt.block i ok.txt.block ?

Niestety zaraz po usunieciu wirusa przez Combofixa (i innych programow) zrobilem reinstalacje Windowsa wraz z formatem partycji systemowej.

 

Wyprobowalem juz kilka programow do odzyskiwania danych - m.in. Recuva, GetDataBack czy TestDisk - niestety bez rezultatu, jednakze skanowania te robilem na aktutalnie pracujacym dysku. Czy podpiecie dysku pod inny komputer zwiekszy szanse na przywrocenie plikow? Bylbym wdzieczny za jakiekolwiek porady, jakich programow uzyc itp.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Spider

 

Czy podpiecie dysku pod inny komputer zwiekszy szanse na przywrocenie plikow?

 

W aktualnej sytuacji nie zmieni to faktu, że na dysku już odbyły się wielokrotne zapisy pogrążające sprawę (po pierwsze: format i instalacja Windows, po drugie: praca Windows tworząca określone pliki, po trzecie: programy do odzysku danych instalowane na dysku z którego odzyskujesz). Zbyt dużo zapisów się już wykonało i szanse odzyskania plików marne.

 

 

Prince

 

To jest część Przywracania systemu Vista / Windows 7, po prostu kopie cieniowe dostępne wybiórczo. Należy więc zaznaczyć:

- jeśli nie ma punktów Przywracania z odpowiedniego okresu, nie ma też Poprzednich wersji z tego czasu.

- jeśli Przywracanie systemu było wyłączone, nie ma też Poprzednich wersji.

 

 

.

Odnośnik do komentarza
Prince

Prince

Opublikowano
Opublikowano

To jest część Przywracania systemu Vista / Windows 7, po prostu kopie cieniowe dostępne wybiórczo. Należy więc zaznaczyć:

- jeśli nie ma punktów Przywracania z odpowiedniego okresu, nie ma też Poprzednich wersji z tego czasu.

- jeśli Przywracanie systemu było wyłączone, nie ma też Poprzednich wersji.

 

Bardzo dziękuję za ten celny i istotny info suplement, oczywiście picasso masz ważną rację :)

Nie umniejsza to jednak istotnego faktu, iż część z grona poszkodowanych tym trojanem, posiadających Vista Home, dzięki tej informacji ma duże szansę odetchnąć z częściową ulgą, "chociaż C:\" ;)

 

 

Mam pytanie - czy komus udalo sie odzyskac usniete pliki Initia1Log.txt.block i ok.txt.block ?

 

Z informacji opartych na źródłach forum bleepingcomputer.com

 

 

To jest bardzo mało prawdopodobne. Punkty przywracania wpływają tylko pliki programu, a nie dane użytkownika. Plik utworzony przez szkodliwy program jest uważany za dane użytkownika w systemie Windows.

 

Autoryzowany Przedstawiciel Emsisoft

 

Oraz korespondencja od dr Web za cytatem tego samego forum, (z wolnego ale do zrozumienia tłumaczenia by google translate)

 

 

"Malware napotkałeś jest klasyfikowany jako Trojan.Encoder.141. Szyfruje dane przy użyciu algorytmu AES i usuwa pliki bezpiecznie po zaszyfrowaniu.

Do szyfrowania i deszyfrowania () danych, klucz tajny jest wymagane. Malware otrzymuje unikalny klucz z serwera zdalnego i zapisuje je w pliku. Ale gdy szyfrowanie całkowicie zakończy, to bezpiecznie usuwa ten plik. Jak na razie możemy tylko odszyfrować swoje dane, czy plik jest nadal obecny w systemie. Jeśli tak nie jest, jedyną opcją jest zmusić władze wykorzystać do zdalnego serwera i ujawnić zapisane klucze szyfrowania. ...

 

Ok. Nazwa pliku z kluczem jest "Initia1Log.txt.block". To rozmiar powinien wynosić około 48 bajtów. W tym samym katalogu, co archiwum zazwyczaj można znaleźć pliku 'ok.txt.block ". Ta ostatnia jest bezużyteczna dla ciebie chociaż.

Tak, spróbuj znaleźć "Initia1Log.txt.block" plik i wysłać go tutaj.

Jeśli ten plik istnieje, ja pobrać klucz od niego, i wysłać instrukcje i link do narzędzia do odszyfrowania danych.

Jeśli ten plik nie istnieje, to nie będziemy w stanie odszyfrować swoje dane teraz. Jeśli ta sytuacja się zmienia, będę informować Cię"

 

pozdro załoga :cheer:

 

 

 

ps. i na koniec podzielę się osobistymi refleksjami; skoro po zakończonym ataku (szyfrowaniu określonych rozszerzeń plików na całym komputerze za pomocą szyfru Advanced Encryption Standard AES-256) sam trojan w najlepszy z możliwych sposobów sprząta po sobie plik Initia1Log.txt.block z atakowanego dysku, to posiadają go tylko Ci szczęśliwcy, którzy świadomie lub nieświadomie, potrafili za pomocą chociażby metody okrutnego wyłączenia od zasilania/internetu komputera/laptopa przerwać progres ataku i przy okazji zatrzymać na dysku w/w plik-klucz. Zaszyfrowany klucz jest indywidualny dla każdego użytkownika.

 

pps. Na klawiaturze wybierz kombinację klawiszy "Logo Windows" + "R"; W okno "Uruchom" wpisz: %appdata% tutaj zobaczymy ostatni zmodyfikowany i przy okazji jeden z dwóch niezaszyfrowanych plików .jpg na całym dysku, będzie on nosił nazwę "suspectphoto.jpg" - w przypadku laptopa na którym mam do czynienia z atakiem, wyposażonego we wbudowaną kamerę, również zdjęcie osoby wpatrzonej z kwaśną miną w ekran monitora czytającej/oglądającej niżej załączony screen (niemożliwy w jednym odruchu do tradycyjnego wyłączenia) jest to drugi i ostatni prawidłowy plik .jpg ("bg.jpg") bez rozszerzenia *.block, niezaszyfrowany plik z powodów oczywistych, przecież na jakieś grafice należało poinformować ofiarę, gdzie i jak przelewać pieniądze w zamian za unblock...

Odnośnik do komentarza
krzyd

krzyd

Opublikowano
Opublikowano (edytowane)

Prince po otwarciu miniatury którą tu wrzuciłeś dostałem komunikat od ESS

 

2012-12-20 11:15:40 Ochrona protokołu HTTP plik http://XXX/index.php?app=core&module=attach&section=attach&attach_rel_module=post&attach_id=36456
Win32/Filecoder.NAG koń trojański połączenie zostało zakończone - poddany kwarantannie  
Wykryto zagrożenie podczas uzyskiwania dostępu do stron internetowych przez aplikację: C:\Program Files\Opera\opera.exe.

Edytowane przez picasso
Usunięty załącznik. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...