Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

Wirus zablokował .jpg .pdf .mp3 .word .excel

eric

Przez eric
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

eric

 

Nabrałam ponownie wątpliwości.... Otóż w tym temacie który linkowałam w ostatnich postach jest opisane podobne zjawisko, które sugerowałeś, tzn. cofnięcie stanu z kopii zapasowej do daty jakoby daleko sprzed infekcji, a mimo to infekcja szyfrująca zaatakowała ponownie lub "doszyfrowała" dane które wcześniej nie były zaszyfrowane. Tu nie jest wykluczone, że rzeczywista data infekcji była sfałszowana, tzn. infekcja była w systemie wcześniej niż się zorientowałeś (siedziała w uśpieniu) i odpaliła objawy dopiero określonego dnia. To by wyjaśniało dlaczego Przywracanie systemu nie miało skutków.

 

Sugeruję zrobić format dysku C dla bezpieczeństwa...

 

 

  Cytat

btw.- Rozumiem ,że a propos Unblockupc Ransomware forum będzie aktualizowało dane...?;)Pozostała mi tylko modlitwa... :ph34r: :wacko: :mellow: :confused:

Rozwiń  

 

Tak, zawsze dostarczam informacje, gdy zmienia się stan rzeczy.

 

 

 

kayabart

 

Zasady działu: KLIK. Każdy ma mieć osobny temat. Poza tym, dostarcza się raporty na okoliczość weryfikacji czy infekcja jest nadal aktywna.

 

 

  Cytat

a nie wiecie może, czy jak się zapłaci to odblokują pliki??

Rozwiń  

 

Kontakt z przestępcami nie jest polecany. Nie ma gwarancji, że otrzymasz sprawny dekoder lub że w ogóle go otrzymasz. Dla porównania niedawno były incydenty z infekcją szyfrującą CryptXXX - poszkodowani zapłacili i otrzymali niesprawny dekoder do innej wersji infekcji.

 

 

  Cytat

a sprawdzał ktoś może ten sposób?? hxxp://www.4-cybersecurity.com/pl/jak-usunac-unblockupc-ransomware/

Rozwiń  

 

Link uczyniony nieaktywnym. To opis wątpliwej reputacji, którego jedyny cel to wmanipulować w instalację lewego skanera SpyHunter. Pomijając że to skaner od którego należy trzymać się z daleka, żaden skaner nie pomoże. Dla zakodowanych plików nie ma ratunku.

 

Odnośnik do komentarza
eric

eric

Opublikowano
  • Autor
Opublikowano

picasso Znalazłem w necie teraz taki przekaz-co myślisz o tym ...?

 

 

  Pokaż ukrytą zawartość

 

 

ps.ja jestem w pracy i dopiero wieczorem będę mógł to zweryfikować... ;)?czy nie ma z czego się cieszyć? ;)

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Dane przesunięte do spoilera, by nie wprowadzać w błąd. Popatrz na datę posta i opis. To w ogóle nie ta infekcja. To co linkujesz to opis starej infekcji w MBR blokującej całkowicie dostęp do systemu (wyświetla się plansza z kodem do wpisania zamiast ekranu startu Windows). Jest masa infekcji szyfrujących, już chyba z kilkaset różnych wariantów. Nie można się odnosić do danych innych infekcji. U Ciebie był Unblockupc Ransomware. Podany przeze mnie na początku link do forum Bleeping to obecnie jedyny wiarygodny link.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Tak, rozumiem, że to paskudny przypadek i chwytasz się wszystkiego, ale jedyny wiarygodny temat to ten na Bleeping (tam są prawdziwi eksperci od szyfratorów danych) i obecnie nie znajdziesz nigdzie indziej żadnego wiarygodnego opisu. Jedyne co możesz zrobić, to zachować zaszyfrowane dane i sprawdzać regularnie podany temat na forum Bleeping. Na razie jest wiadome, że: przypuszczalna bomba czasowa odpalona z opóźnieniem 23 września (rzeczywista data infekcji prawdopodobnie zupełnie inna, by zaciemnić prawdziwe źródło i czas infekcji), nie wiadomo w jaki sposób uruchamia się infekcja (plik einfo.exe w starcie którego notabene już u Ciebie nie było, to tylko wyświetlanie planszy z okupem na Pulpicie po starcie, poza tym infekcje szyfrujące dane samoczynnie się kasują po wykonaniu zadania), zastosowane szyfrowanie AES-128 jest nie do złamania. Jest poszukiwany dropper infekcji, by zanalizować budowę infekcji.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat

Jeśli cokolwiek mogło by pomóc również innym osobom to mógłbym wysłać listę odwiedzanych stron z tego feralnego 23.09...pytanie czy to ma sens?

Rozwiń  

 

Z opisów mi wynika, że prawdopodobnie 23 wrzesień to nie była data infekcji, w rozumieniu że infekcja nastąpiła dużo wcześniej i opóźniła objawy, by zamaskować źródło infekcji. Tak więc strony odwiedzone tego dnia przypuszczalnie nie są związane z problemem.

 

 

  Cytat

Nie wiem czy to ma jakieś znaczenie ale tych notatek files encypted tym programem RansomNoteCleaner nie usunąłem-krzyczał,że odmowa dostępu...

Rozwiń  

 

Narzędzie utworzyło log, dostarcz go.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat

nie dałem rady zmienić tego z .log na .txt-coś mam chyba zablokowane a,że sie bardzo spieszę to wysłałem Ci na pw-za co przepraszam!

Rozwiń  

 

Jaki widzisz błąd?

 

Jeśli rzecz o dostarczonym logu, to on wykazuje że narzędzie wykasowało tylko pliki "Files encrypted.txt" od tej infekcji, nie ma uid.txt (może narzędzie tego po prostu nie kasuje?), a przy okazji to usunięte zostały pliki tekstowe które nie mają związku z tą infekcją. By dokasować te notki ransom:

 

1. Otwórz Notatnik i wklej w nim:

  

attrib -h -s C:\uid.txt /s
attrib -h -s "C:\Files encrypted.txt" /s
del /q /s C:\uid.txt
del /q /q "C:\Files encrypted.txt"
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako DEL.BAT

 

Prawoklik na plik i "Uruchom jako administrator".

 

2. Po wykonaniu zadania dla dysku C należy zedytować powyższy BAT i po kolei podstawiać kolejne litery dysków:

  

==================== Dyski ================================

Drive c: (SSD-win8) (Fixed) (Total:123.57 GB) (Free:62.8 GB) NTFS
Drive e: (samsung) (Fixed) (Total:259.03 GB) (Free:37.35 GB) NTFS
Drive i: (WD2) (Fixed) (Total:811.33 GB) (Free:83.79 GB) NTFS
Drive j: (WD.wim7.old) (Fixed) (Total:97.66 GB) (Free:62.91 GB) NTFS
Drive k: (WD1) (Fixed) (Total:488.28 GB) (Free:11.03 GB) NTFS
Drive o: (old.samsungXP) (Fixed) (Total:39.06 GB) (Free:3.56 GB) NTFS ==>[system z komponentami startowymi (pozyskano odczytując dysk)]
Drive p: (SSD-sysXP) (Fixed) (Total:100 GB) (Free:75.94 GB) NTFS ==>[system z komponentami startowymi (pozyskano odczytując dysk)]
Drive q: (maxtor.D) (Fixed) (Total:233.76 GB) (Free:35.18 GB) NTFS

 

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
  Cytat
nie mam mozliwości zmiany z .log na .txt-po prostu nie wiem gdzie to się zmienia albo w jaki sposób bo w tradycyjny nie idzie...;(

 

W Opcjach folderów musisz odznaczyć Ukrywaj rozszerzenia znanych typów plików. W eksploratorze będziesz widzieć pełną nazwę, i wtedy normalna próba zmiany nazwy  (zastąpienie .log przez .txt).

 

 

  Cytat
Zrobiłem obydwa kroki 1 i 2 i dalej mam na dyskach te files encypted...co nie jest jakoś uciążliwe..

 

Przepraszam. Literówka mi się zaplątała w jednej komendzie, tu miał być parametr /s (rekursywne usuwanie z całego dysku):

 

del /q /s "C:\Files encrypted.txt"

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...