Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Komputer został zablokowany, pliki z rozszerzeniem block

Goska

Przez Goska
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Victoria

Victoria

Opublikowano
Opublikowano

Witam forumowiczów.

Na wstępie dziękuję bardzo Pani administrator forum za udostępnienie pliku Deblock.zip dzięki któremu odzyskałem oprócz kilkudziesięciu plików wszystkie zablokowane na dwóch dyskach.Po świętach wyślę wsparcie finansowe na podane konto bo warto wspierać takie fora.A teraz w punktach,żeby się nie rozpisywać.

1.Na drugi dzień po ataku pliki Initia1Log.txt.block i ok.txt.block były już bez rozszerzenia .block. Musiałem dopisać ręcznie .block do tych plików żeby program deblock zaczął działać(program i te dwa pliki dałem do jednego nowo utworzonego folderu)

2.Mój antywirus NOD32 zaczął wykrywać pliki warning txt i bg.jpg jako Win32/ filecoder.NAG.Tutaj informacje o wirusie http://www.virusrada...NAG/description. Na stronie wspomniano że wirus próbuje połączyć się do portu 43359.

3.Do sformatowanych partycji lub nadpisanych nowym systemem bardzo pomocny może być mały ale skuteczny program DMDE.Tutaj link z opisem programu http://ittechblog.pl...kiwania-danych/ Pliki można odzyskiwać pojedynczo

4. Tak dla ciekawości mój klucz do odszyfrowania plików w programie DeBlock był (WCr133fg3x37wiq522s4).Dla każdego powinien być inny.Pozdrowienia dla wytrwałych. Jeszcze raz dziękuję

P.S. Dla testu programu DeBlock skopiowałem kilka zaszyfrowanych plików do nowo utworzonego folderu a w programie w additional options zaznaczyłem wszystkie trzy opcje.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Victoria

Victoria

Opublikowano
Opublikowano

witam ponownie

Odnośnie ostatniego posta.Moje dwa szukane pliki były w jednym folderze C:\Documets and Settings\nazwa użytkownika\Dane aplikacji.Trzeba zobaczyć w jakim folderze jest plik ok.txt.block.I jeszcze jedno u mnie Initia1log.txt.block z datą modyfikacji z dnia ataku wirusa a ok.txt.block z datą kiedy po usunięciu blokady wyświetlania monitora dnia następnego włączyłem system i wyłączyłem połączenie sieciowe

Odnośnik do komentarza
Spider

Spider

Opublikowano
Opublikowano

Na wstepie chce podziekowac Victorii za polecenie programu DMDE - dzieki niemu udalo mi sie przywrocic plik Initia1Log.txt.block jednak wciaz nie moge znalezc pliku ok.txt.block.

Rozumiem, ze z jednym plikiem nic nie zrobie?

 

 

EDIT: mniejsza z tym - wreszcie udalo mi sie odblokowac pliki! :)

 

Dla tych ktorzy maja tylko plik Initia1Log.txt.block - http://tmp.emsisoft.com/fw/decrypt_birele.zip - narzedzie ktore odblokuje Wam pliki.

 

Jak widac nie nalezy sie poddawac - mi sie udalo pomimo tego, ze praktycznie wszyscy zgodnie twierdzili ze takiej mozliwosci nie bedzie :)

 

Pozdrawiam.

Odnośnik do komentarza
kristofer

kristofer

Opublikowano
Opublikowano

EDIT: mniejsza z tym - wreszcie udalo mi sie odblokowac pliki! :)

 

Dla tych ktorzy maja tylko plik Initia1Log.txt.block - http://tmp.emsisoft....rypt_birele.zip - narzedzie ktore odblokuje Wam pliki.

 

Jak widac nie nalezy sie poddawac - mi sie udalo pomimo tego, ze praktycznie wszyscy zgodnie twierdzili ze takiej mozliwosci nie bedzie :)

 

Brawo za wytrwałość :)

Mi już pomału zaczyna jej brakować, bo DMDE nie odnalazł Initia1Log, tak więc zostałem z samym "ok", ale wcale nie jest O.K. bo widzę, że w takim razie i decrypt birele mi nie pomoże...

Odnośnik do komentarza
Prince

Prince

Opublikowano
Opublikowano

Prince, ile plików wyszukał Ci te94decrypt i jak sobie poradziłeś z duplikatami ?

Czy podczas oglądania filmów nie zauważyłeś przypadkiem nieprawidłowej synchronizacji dźwięku z obrazem ?

 

Po zastosowaniu tego narzędzia mam właśnie taki problem i tak się zastanawiam czym może być to spowodowane.

 

te94decrypt odnalazł i zdublował mi 11 tys. plików. Spójrz na datę modyfikacji swoich plików *.block (u mnie był to przedział od 19:09 do 20:07 11.12.2012) użyj narzędzia Everything Search Engine, w linii wyszukiwarki wpisz "*.*block", wówczas zobaczysz ile masz zaszyfrowanych plików, dodatkowo posegreguj pliki wg. daty modyfikacji, a poznasz swój "czas" ataku owego ransomware. Najszybszą metodą usunięcia jest zapamiętanie godziny i minuty, modyfikacji pierwszego i ostatniego pliku *.Block na Twoim dysku twardym. Pamiętaj że trojan zaszyfrował następujące rozszerzenia plików:

 

.txt, .xls, xlw, .docx, .doc, .cer, .key, .rtf, .xlsm, .xlsx, .xlc, .docm, .xlk, .htm, .chm, .text, .ppt, .djvu, .pdf, .lzo, .djv, .cdx, .cdt, .cdr, .bpg, .xfm, .dfm, .pas, .dpk, .dpr, .frm, .vbp, .php, .js, .wri, .css, .asm, .html, .jpg, .dbx, .dbt, .dbf, .odc, .mde, .mdb, .sql, .abw, .pab, .vsd, .xsf, .xsn, .pps, .lzh, .pgp, .arj, .gzip, .gz, .pst, .xl

 

Wpisuj więc w wyszukiwarkę np. *.*txt posegreguj wg. daty modyfikacji, "zmieść" część wyników wyszukiwania w przedziale w jakim widziałeś wcześniej modyfikowane *.Block

 

Oto wyszukiwarka:

 

http://www61.zippyshare.com/v/77228714/file.html

 

!UWAGA: Zalecam bardzo rozważne działanie, jeżeli będziesz uważał i nie będziesz się śpieszył wszystkie rzekomo rozszyfrowane pliki po te94decrypt, wyłapiesz i usuniesz. Co nie zmienia oczywiście faktu, że nadal wszystko co pozostanie, będzie zaszyfrowane (AES 256)

 

powodzenia w porządkach

Odnośnik do komentarza
Prince

Prince

Opublikowano
Opublikowano

Oczywiście może się okazać, że jest to prowokacja, ale można przyjrzeć się szantażyście w akcji na tym francuskim forum. W języku angielskim wypowiada się tam użytkownik "payandbeunblocked", zapis pochodzi z 21 grudnia, godz. 9:20. Na tym przykładzie doskonale widoczny jest schemat działania cyberprzestępcy(ów). Doradzam sporą powściągliwość w dawanie wiary autentycznego istnienia tego szantażysty w tych postach. Nie mniej na ten czas żadnego sygnału nie powinnno się wykluczać.

 

http://www.aidoweb.com/forum/fichiers-bloques-apres-avoir-ete-infecte-virus-37942/p-2

Odnośnik do komentarza
m4rc1n

m4rc1n

Opublikowano
Opublikowano

Chciałbym wszystkich zainteresowanych przestrzec przed tym pochopnym działaniem, owszem zdejmuje z pliku końcówkę *.BLOCK ale plik (np. .jpg lub .doc) nadal pozostaje bezużyteczny i co NAJWAŻNIEJSZE zostaje (widziany jako prawidłowy plik) skopiowany obok oryginalnego pliku, nadal zaszyfrowanego. Tym sposobem mamy podwójny śmietnik na dysku.

 

Jakieś sugestie odnośnie cofnięcia działania dekryptora ?

 

Ja zrobiłem to ręcznie przy pomocy Total Commandera. Wyszukałem wszystkie "zdecyptowane" pliki z rozszerzeniami (musiałem zrobić to w dwóch rzutach, bo TCMD nie przyjmował większej liczby kryteriów wyszukiwania na raz, dlatego podzieliłem poniżej "string" wyszukiwania):

 

 

*.txt *.xls *.xlw *.docx *.doc *.cer *.key *.rtf *.xlsm *.xlsx *.XLC *.docm *.XLK *.htm* *.chm *.tekstu *.ppt *.djvu *.pdf *.lzo *.DJV *.cdx *.cdt *.cdr *.BPG *.XFM *.dfm *.pas *.DPK *.DPR *.frm *.vbp *.php *.js *.wri *.css *.asm *.html *.jpg *.dbx *.DBT

 

*.dbf *.ODC *.mde *.mdb *.sql *.ABW *.pab *.VSD *.XSF *.xsn *.pps *.LZH *.PGP *.ARJ *.GZIP *.gz *.pst *.xl

 

i je skasowałem.

Ponadto, jako, że użyłem przed skasowaniem plików ze zdjętym .blockiem, DeBlock'a musiałem znaleźć i skasować wszystkie pliki z rozszerzeniem *.decrypt żeby wszystko zadziałało jak powinno. W przeciwnym razie, DeBlock nie rozszyfrowywał plików. Dlatego ważne jest, żeby nie zaznaczać "kasuj wszystkie pliki .block", bo to można szybko i sprawnie zrobić ręcznie, a przecież nigdy nie wiadomo czy twoja ulubiona praca magisterska/inżynierska zadziała dopóki się jej nie kliknie :)

 

Jak tylko zostały mi pierwotnie zaszyfrowane pliki .block można było przystąpić do naprawiania skutków wirusa.

Odnośnik do komentarza
  • 2 tygodnie później...
andpaw88

andpaw88

Opublikowano
Opublikowano

Witam,

 

Chciałem tylko zapytać czy mamy jakieś nowe wieści?

Nie mam niestety pliku Initia1Log.txt.block, prawdopodobnie został usunięty przez użytkownika komputera. W każdym bądź razie używałem kilku programów do odzyskiwania danych, plik nie został znaleziony.

Dlatego pytam, czy może pojawiła się jakaś nowa szansa na odszyfrowanie?

 

A swoją drogą wielkie uznanie za to co tutaj robicie :)

Odnośnik do komentarza
Prince

Prince

Opublikowano
Opublikowano

Nie mam niestety pliku Initia1Log.txt.block, prawdopodobnie został usunięty przez użytkownika komputera. W każdym bądź razie używałem kilku programów do odzyskiwania danych, plik nie został znaleziony.

 

Na rosyjskojęzycznym forum kaspersky, użytkownik Thyrex (prawdopodobny autor narzędzia "DeBlock") w jednej ze swojej wypowiedzi wyjaśnił, iż wirus na zakończenie swojego "dzieła" zabiera się za usunięcie pliku Initia1log.txt.block (tego z indywidualnym kluczem szyfrującym) nadpisując go aż trzykrotnie - skutkiem czego jest niemożliwość odzyskania pliku żadnym programem do odzyskiwania danych.

Ja zastanawiam się czy czasem nie mogłoby być tak że, kto "złapał" trojana "na uczynku" i nie pozowolił mu dokończyć (również przypadkiem) ten był w stanie odnaleźć u siebie przesławny 48 bajtowy plik: Initia1log.txt.block (a co za tym w parze, również plik ok.txt.block). A reszta...

 

Nieustannie śledzę wszystkie pozostałe źródła traktujące o przypadku zaszyfrowania plików *.block ale na horyzoncie smutna cisza. I to by było niestety na dzień 4.01.13 na tyle w temacie.

 

pozdrawiam

Prince

Odnośnik do komentarza
sagittarius

sagittarius

Opublikowano
Opublikowano

Witam wszystkich. Jestem nowy na forum (chociaż śledze je od jakiegoś czasu). Niestety mnie również dotknął problem z tym okrutnym rozszerzeniem. Szczęście w nieszczęściu, że nie posiadałem żadnych ważnych dok. tekstowych jedynie zdjęcia, które niestety przechowywałem tylko na tym dysku...

Teraz pozostaje mi nic innego jak czekać na jakieś wieści od Was, ponieważ ja kompletnie się na tym nie znam.

 

Pozdrawiam Sagittarius

Odnośnik do komentarza
  • 3 tygodnie później...
BSR

BSR

Opublikowano
Opublikowano

Witam wszystkich no więc jestem juz na nowym dusku starego nie formatowałem więc jest dla mnie jeszcze nadzieja. Posiadam program DeBLock lecz nie moge go uruchomić. Gdy na niego klikam wyskakuje mii Error Key Files not founded. Czy ktos miał ten sam problem jak to naprawić? Z góry dziekuje Wam za cenne porady

Odnośnik do komentarza
artus72

artus72

Opublikowano
Opublikowano

Do poprawnego zadziałania programu DeBlock potrzebujesz dwu plików: Initia1log.txt.block i ok.txt.block których powinieneś szukać się w folderze 

C:\Users\"nazwa użytkownika"\AppData\Roaming\

(jest to folder ukryty). Jeśli ich nie masz, deszyfracja jest niemożliwa. Jeśli są, skopiuj oba i umieść je w tym samym folderze co programik DeBlock. Dopiero wtedy możesz go uruchomić z nadzieją na to, że uda Ci się odzyskać zaszyfrowane pliki.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...