Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Virus zaszyfrował pliki - ".vvv" Jak je odszyfrować?

t6p

Przez t6p
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

t6p

t6p

Opublikowano
Opublikowano

Witam,

Wczoraj w nocy, przed pójściem spać, jak grom z jasnego nieba zaatakował mój komputer jakiś wstrętny wirus. Gdy to się działo czułem się jak by ktoś "wszedł mi na komputer". Ogólnie mówiąc mógłbym zrobić reinstall systemu i po problemie. Problem w tym, że mam kilka plików na prawdę ważnych. Kilkanaście mniej ważnych. A całkiem sporo takich, które po prostu chciałbym, żeby zostały. Jednak wszystkie są "zaszyfrowane" przez ten wirus i nie można ich otworzyć. Do każdego pliku; pdf, avi, txt itp, dopisana jest końcówka ".vvv". Skanowałem komputer Kasperskym oraz SpyHunter4, Malwarebytes Anti-Malware, HitmanPRO. Wszystkie programy "coś" znalazły i wyrzuciły śmieci, jednak nadal jest wszystko bez zmian i nic nie działa.

 

W co drugim folderze jak nie w każdym mam 4 pliki:

 

Zdjęcia

 

Po uruchomieniu komputera otwiera mi się dokument tekstowy wraz z chromem (w notatniku jest to samo co na zdjęciu):

 

Zdjęcia

 

 

Niby jak wpłaci się 500 czy 1000$ to odblokowują to, ale trochę w to wątpię. Po za tym, to jest dla mnie na prawdę sporo pieniędzy! Nigdy jeszcze nie byłem w takim potrzasku, więc będę na prawdę bardzo wdzięczny za pomoc. Ewentualnie komu mógłbym zlecić "naprawę" tego w okolicach Warszawy, a nawet Polsce. Na prawdę zależy mi na tych plikach. Drugie pytanie. Czy jeśli np za rok znajdzie się jakiś program, który będzie potrafił odszyfrować te pliki, a ja je teraz zgram na drugi dysk i będę cierpliwie czekał, to będę mógł odzyskać swoje najważniejsze pliki w przyszłości?

Będę wdzięczny za jakiekolwiek wskazówki. 

 

EDIT:

 

W załączniku wrzucam pliki wygenerowane przez "FRST" oraz "GMER"

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Pliki o rozszerzeniu *.vvv to najnowszy wariant TeslaCrypt: KLIK. Bardzo mi przykro, ale nie ma technicznej możliwości odszyfrowania danych. Jedyna (niepolecana) możliwość to uiszczenie opłaty przestępcom.

 

Jedyne co jest w mojej gestii, to doczyszczenie odpadków infekcji, czyli dodanych wtórnie plików how_recover+*. Decyduj czy się za to zabieramy, czy reinstalujesz system.

Odnośnik do komentarza
t6p

t6p

Opublikowano
  • Autor
Opublikowano

Ok, rozumiem. Byłbym jeszcze wdzięczny za odpowiedź na pytanie, które zadałem w poprzednim poście, czyli; 

 

Czy jeśli np za rok znajdzie się jakiś program, który będzie potrafił odszyfrować te pliki, a ja je teraz zgram na drugi dysk i będę cierpliwie czekał, to będę mógł odzyskać swoje najważniejsze pliki w przyszłości?

 

Jeszcze drugie pytanie. Jaka jest szansa, że po zapłaceniu dostanę "klucz", czy coś tam co pozwoli odzyskać moje dane? Generalnie napisałem tam "support" i udało mi się trochę utargować tę kwotę :P

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Czy jeśli np za rok znajdzie się jakiś program, który będzie potrafił odszyfrować te pliki, a ja je teraz zgram na drugi dysk i będę cierpliwie czekał, to będę mógł odzyskać swoje najważniejsze pliki w przyszłości?

Widoki na odkodowanie w przyszłości są zerowe. Ale oczywiście asekuracyjnie na wszelki wypadek kopiuje się cenne zaszyfrowane dane na zewnętrzny nośnik.

 

 

Jaka jest szansa, że po zapłaceniu dostanę "klucz", czy coś tam co pozwoli odzyskać moje dane? Generalnie napisałem tam "support" i udało mi się trochę utargować tę kwotę

Kontakt z przestępcami na własne ryzyko. Musisz ocenić czy te pliki rzeczywiście są aż tak ważne, by się wplątać w taką sytuację. Nie ma gwarancji, że otrzymasz działający klucz lub go w ogóle otrzymasz.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Obecna sytuacja jest następująca: klucze (unikatowe dla danej instalacji Windows, każdy ma inny klucz przypisany) są nieosiągalne i znane tylko przestępcom, a hasła nie są słabe, stąd złamanie ich przez atak typu "brute force" odpada. Dlatego też są bardzo nikłe szanse, że w przyszłości pojawi się jakaś "solucja", choć trudno przewidywać co będzie za X lat.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zestawienie nic nie wnosi do sprawy. Wszystkie warianty TeslaCrypt opisane tu: KLIK. Tylko najstarsze z nich (pliki .ecc, .ezz, .exx) można było odkodować, gdyż klucz był zapisywany na dysku twardym. I ten "błąd" właśnie "naprawiono" we wszystkich nowych wariantach, które już w ogóle nie zapisują klucza na dysku (jest w pamięci tylko tymczasowo podczas szyfrowania), dlatego nie jest możliwe odkodowanie plików. Akcja "Can only be decrypted if victim was able to capture the key being sent to the server at the time of encryption." nie aplikuje się u Ciebie, gdyż infekcja nie jest już czynna. Zresztą nie znam nawet żadnego przypadku, by komuś udało się wyłuskać z pamięci klucz, gdy infekcja była jeszcze aktywna.

Odnośnik do komentarza
t6p

t6p

Opublikowano
  • Autor
Opublikowano

Ok, rozumiem. W takim razie nie mam więcej pytań i z tego co przeczytałem sądzę, że jedyna droga to mimo wszystko zaryzykować i zapłacić. Bo dosłownie nic innego nie da się zrobić. A po ostatnim przeczytanym poście widzę, że odszyfrowanie plików w przyszłości to nawet nie jest 1%, tylko może 0,1% ... Tak czy inaczej dziękuję serdecznie za dobre chęci i pomoc w ustaleniu co się dokładnie stało.

Odnośnik do komentarza
t6p

t6p

Opublikowano
  • Autor
Opublikowano

UWAGA UWAGA !

 

Chyba nic nie muszę pisać, wystarczy zobaczyć poniżej zrobione przeze mnie screeny:

 

Zdjęcia

 

Potrzymam jeszcze wszystkich w chwili niepewności i za około 1-2h zdradzę jak to załatwiłem :D

 

EDIT:

 

A tak to się skończyło:

 

Zdjęcia

 

Moje wypociny troszkę żenujące, ale na prawdę zależało mi na tych plikach, a po tym co tam wypisałem, dostałem po prostu klucz. Wychodzi na to, że metoda skuteczna :D

 

W sumie to czekam na jakiś komentarz. Dlaczego mogli podjąć taką a nie inną decyzje. Co mogło ich do tego skłonić?

 

Btw.

Jest jakaś metoda na to, żeby usunąć już te niepotrzebne pliki? Każdy folder wygląda u mnie mniej więcej tak:

 

Zdjęcia

 

Mozna to robić ręcznie i tak też będę robił jak nie znajdę alternatywy. Jednak trochę słabo jak wchodzi się do folderu, gdzie jest np 1000 zdjęć i muszę ręcznie klikać i kasować 1k plików :D

Odnośnik do komentarza
spawciu

spawciu

Opublikowano
Opublikowano

Pliki o rozszerzeniu *.vvv to najnowszy wariant TeslaCrypt: KLIK. Bardzo mi przykro, ale nie ma technicznej możliwości odszyfrowania danych. Jedyna (niepolecana) możliwość to uiszczenie opłaty przestępcom.

 

Jedyne co jest w mojej gestii, to doczyszczenie odpadków infekcji, czyli dodanych wtórnie plików how_recover+*. Decyduj czy się za to zabieramy, czy reinstalujesz system.

Coś kręcisz ..., (zresztą - cały ten post trochę dziwnie mi wygląda, jakby nagonka aby pobierać decryptery. Ale to moje prywatne zdanie, mam prawo je mieć) picasso już wyraźnie zaznaczyła wcześniej, że bez problemu da się to zrobić. Czekaj cierpliwie.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

spawciu

 

Z tego co rozumiem on po prostu zapłacił haracz i dostał decrypter od przestępców. Ta metoda tylko, gdy się ma już nóż na gardle i utracone pliki są tak ważne, że nie da się bez nich żyć.

 

 

t6p

 

Zajmę się Twoim tematem w wolnej chwili, bo teraz mam zalew innych tematów z adware i nie wyrabiam. Na szybko:

 

W sumie to czekam na jakiś komentarz. Dlaczego mogli podjąć taką a nie inną decyzje. Co mogło ich do tego skłonić?

To jest biznes. A im więcej osób płaci, tym większa ochota by kontynuować proceder. Mówiłam wcześniej o "braku gwarancji", bo czytałam o przypadkach, że ktoś zapłacił i dostał niedziałający klucz.

 

Jest jakaś metoda na to, żeby usunąć już te niepotrzebne pliki?

Potem podam odpowiedni skrypt do FRST.

Odnośnik do komentarza
t6p

t6p

Opublikowano
  • Autor
Opublikowano

spawciu

 

Z tego co rozumiem on po prostu zapłacił haracz i dostał decrypter od przestępców. Ta metoda tylko, gdy się ma już nóż na gardle i utracone pliki są tak ważne, że nie da się bez nich żyć.

 

Trochę źle mnie wszyscy zrozumieli. W sumie nie dziwne, bo wprost tego nie zaznaczyłem. W każdym razie, owszem 100$ to była dla mnie cena powiedzmy "do przyjęcia" i po zastanowieniu byłem skłonny się na nią zgodzić. Jednak osoby, z którymi prowadziłem rozmowy były trochę innego zdania, a ja 300$ nie miałem zamiaru płacić, i zaznaczyłem to w ostatniej wiadomości do nich. W skrócie - "przemyślcie jeszcze raz. Daje wam 100$ albo nic. decyzja należy do was". Napisałem to może w trochę bardziej żenujący sposób, ale ważne, że poskutkowało (można przeczytać całą rozmowę jaką z nimi przeprowadziłem na załączonym screenie w poprzednim poście). 

 

W zasadzie, po napisaniu ostatniej mojej wiadomości, byłem już pogodzony z tym, że plików w najbliższym czasie na pewno nie odzyskam. Na następny dzień wszedłem na tę ich stronę bardziej z ciekawości, co mogli mi odpowiedzieć. Zalogowałem się i od razu wyświetliła mi się instrukcja z kluczem do odszyfrowania. Szybko to pobrałem i skopiowałem klucz (aby przypadkiem nie zginęło :D). Następnie wszedłem do zakładki "support" i zobaczyłem ich wpis, żebym odświeżył sobie stronę.

 

Reasumując. Nie wpłacałem żadnych pieniędzy, a moją propozycje na 100$ odrzucili. Klucz wraz z instrukcją udostępnili z własnej woli. Wychodzi na to, że "zlitowali się nade mną"?

 

Teraz jak już wszystko jasne ponawiam pytania z poprzedniego postu:

 

"W sumie to czekam na jakiś komentarz. Dlaczego mogli podjąć taką a nie inną decyzje. Co mogło ich do tego skłonić?"

 

No i jeszcze przyda się ten skrypt do FRST. Chcę to wyczyścić a następnie zrobić format, bo straszny śmietnik zrobił mi się w komputerze przez to całe zamieszanie.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

t6p, rzeczywiście nie zrozumiałam, że Ty ... nie zapłaciłeś nic, bo z dialogu to nie wynikało wprost (myślałam że ta stówka jednak poszła). Sytuacja kompletnie nie zrozumiała. Jesteś pewien, że to nie jest jakieś "demo" (tylko część plików odszyfrowana), a wszystkie odkodowane pliki działają?

 

A skrypt podam jak będę mogła się zająć tym tematem dokładniej.

Odnośnik do komentarza
Rucek

Rucek

Opublikowano
Opublikowano

No, teraz jest czytelne, poprzednio myślałem, że zapłaciłeś 100$
 

"W sumie to czekam na jakiś komentarz. Dlaczego mogli podjąć taką a nie inną decyzje. Co mogło ich do tego skłonić?"


Myślę, że w kimś się po prostu sumienie odezwało. Generalnie dobrze wszystko ująłeś pisząc do nich. Kiedyś miałem przypadek z radiem internetowym ( radio z USA), podnieśli opłatę za radio, napisałem im, że żyję w PL i generalnie tyle i tyle to już o tyle i tyle za dużo.... tak samo, nastepnego dnia, zgodzili sie bym pozostał przy tym co było poprzednio :) Poza tym, ludzie im pewnie z automatu płacą jak już coś, a jak się pogada - często można coś ugrać, jeśli zrobi się to w odpowiedni sposób.

Odnośnik do komentarza
spawciu

spawciu

Opublikowano
Opublikowano

Coś kręcisz ..., (zresztą - cały ten post trochę dziwnie mi wygląda, jakby nagonka aby pobierać decryptery. Ale to moje prywatne zdanie, mam prawo je mieć) picasso już wyraźnie zaznaczyła wcześniej, że bez problemu da się to zrobić. Czekaj cierpliwie.

 

To co wyżej napisałem dotyczy oczywiście kwestii doczyszczenia a nie zapłaty, przepraszam za niedoprecyzowanie cytatu - powinien wyglądać tak:

 

Jedyne co jest w mojej gestii, to doczyszczenie odpadków infekcji, czyli dodanych wtórnie plików how_recover+*. Decyduj czy się za to zabieramy, czy reinstalujesz system.

 

Co do:

 

No i jeszcze przyda się ten skrypt do FRST. Chcę to wyczyścić a następnie zrobić format, bo straszny śmietnik zrobił mi się w komputerze przez to całe zamieszanie.

Po co zajmować cenny czas picasso skoro i tak dysk sformatujesz? Moim zdaniem bez sensu, dane zrzucić i formatować dysk.

Odnośnik do komentarza
t6p

t6p

Opublikowano
  • Autor
Opublikowano

t6p, rzeczywiście nie zrozumiałam, że Ty ... nie zapłaciłeś nic, bo z dialogu to nie wynikało wprost (myślałam że ta stówka jednak poszła). Sytuacja kompletnie nie zrozumiała. Jesteś pewien, że to nie jest jakieś "demo" (tylko część plików odszyfrowana), a wszystkie odkodowane pliki działają?

 

A skrypt podam jak będę mogła się zająć tym tematem dokładniej.

 

Jak na razie nie zauważyłem, żeby jakiekolwiek pliki nie działały. Na pewno te, na których najbardziej mi zależało, odpalają się, i wyświetlają to co powinny. Inne tak samo, ale wszystkich nie jestem w stanie sprawdzić. Program odszyfrowywał całość około 60 min.

 

 

Po co zajmować cenny czas picasso skoro i tak dysk sformatujesz? Moim zdaniem bez sensu, dane zrzucić i formatować dysk.

 

Bo formatuje tylko dysk C (systemowy), z kolei "D" zostawiam nienaruszony, a to tam głównie mam wszystkie pliki i przy okazji śmietnik, który pozostawił po sobie ten "robak".

 

Przykład:

 

Mam około 10 folderów ze zdjęciami. Niech w każdym będzie załóżmy 100 zdjęć, co daje drugie 100 takich samych plików tylko z rozszerzeniem ".vvv". Żeby było przyjemniej poustawiane są "na przemian", więc totalnie ręcznie trzeba by to było usuwać.

Odnośnik do komentarza
spawciu

spawciu

Opublikowano
Opublikowano

...

 No i jeszcze przyda się ten skrypt do FRST. Chcę to wyczyścić a następnie zrobić format, bo straszny śmietnik zrobił mi się w komputerze przez to całe zamieszanie.

Ze zrozumieniem raczej nie miewam problemów, natomiast Twoja wypowiedź powyżej sugeruje format całego dysku - zwłaszcza po użyciu stwierdzenia: " ... w komputerze". Tak tylko tytułem wyjaśnienia mojej intencji, kończę wypowiedzi w tym temacie.

Odnośnik do komentarza
t6p

t6p

Opublikowano
  • Autor
Opublikowano

Strasznie czepliwy jesteś. To, że ma być to format tylko partycji systemowej pozostawiłem w domyśle. Natomiast wyczyścić skryptem FRST, partycję C i D...

 

EDIT:

 

A żebyś się nie przyczepił za chwilę z pytaniem "Po co czyścić partycje C, skoro i tak idzie pod format?" - od razu odpowiem. Jak już muszę wyczyścić D, to i przy okazji mogę to samo zrobić z C. Chociażby po to, żeby mieć później ułatwione kopiowanie plików (bo kilka jakiś tam mniej ważnych dokumentów, też tutaj mam).

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skrypt do FRST. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CMD: attrib -r -h -s C:\*.vvv /s
CMD: attrib -r -h -s C:\how_recover* /s
CMD: attrib -r -h -s D:\*.vvv /s
CMD: attrib -r -h -s D:\how_recover* /s
CMD: del /q /s C:\*.vvv
CMD: del /q /s C:\how_recover*
CMD: del /q /s D:\*.vvv
CMD: del /q /s D:\how_recover*

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, przetwarzanie może trwać długo w zależności od liczebności śmieci. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Będzie ogromny, shostuj na jakiś zewnętrznym serwisie i podaj link do pliku.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Szybki rzut okiem na wyniki potwierdza poprawność zadania, w rozumieniu braku błędów. Czyli teraz wdrażasz główny plan: kopie zapasowe ważnych danych > format > programy zabezpieczające podałam wcześniej, uwaga też na wersje Adobe Flash i Java (TeslaCrypt głównie utylizuje exploity bazujące na przeterminowanym flashu). I chyba temat możemy zamknąć.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...