Skocz do zawartości

Zaszyfrowane pliki Blokada komputera


Rekomendowane odpowiedzi

Potrzebuje pomocy z komputerem w którym większość plików została zaszyfrowana Vortex ransomware AES -256. Czy jest możliwość odszyfrowania tych plików.

Przesyłam także skan programu FRST:

 

FRST.txt

Addition.txt

Shortcut.txt

Z tego co udało mi się ustalić straciłem wszystkie punkty przywracania systemu.

Wiem że temat nie należy do łatwych ale głównie chodzi mi oto czy

Istnieje choć cień nadziei na odkodowanie tych plików.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Teoretycznie rozszerzenie .aes wskazuję, że to ransomware Vortex, ale pokuszę się jednak o analizę, która to potwierdzi. 

 

Wybierz zaszyfrowany plik lub notatkę ransomware i wyślij ją na serwer usługi ID Ransomware, momentalnie otrzymasz analizę - dostarcz ją w postaci screena. 

Kiedy dostane analizę powiem co robimy dalej i czy istnieje możliwość odzyskania plików.

Odnośnik do komentarza

To mamy jasność sytuacji. Najpierw zajmiemy się sprzątaniem systemu z resztek / notatek Ransomware, a na końcu zajmiemy się (o ile będzie to możliwe) deszyfracją. 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
Folder: C:\ProgramData\Keyboard
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X]
Task: {396A36E8-A742-4F66-A200-F7C4937F7E03} - System32\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} => C:\ProgramData\cisFC86.exe 
C:\ProgramData\cisFC86.exe
C:\Users\Dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TradeHub Aukcje sklepy.lnk
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

3. Uruchom RansomNoteCleaner. Z opcji Select Ransomware(s) wybierz tylko pozycje Vortex. Do skanowania (opcja Search for Ransom Notes) ustaw cały dysk C:\ i D:\. Dostarcz wynikowy log. 

 

4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

5. Dziennik zdarzeń pokazuje niepokojące alerty dot. dysku, musimy je zweryfikować. Dostarcz raport z CrystalDiskInfo.

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Nie radzę usuwać notek.

Załatali wszystkie błędy w tym ransomware już kilka miesięcy temu nie odzyskasz plików bez kupna klucza.

Tutaj więcej w temacie miałem taki przypadek u klientki:

https://www.bleepingcomputer.com/forums/t/642013/vortex-aes-ransomware-help-support-odzszyfruj-danetxt/

EDIT:

Sprawdzałeś czy program napewno uruchomił się z prawami administratora i usunął pliki z shadow copy ?

Edytowane przez Miszel03
Pomoc bez uprawnień, ale zostawiam. //Miszel03
Odnośnik do komentarza

Diabelski,

 

zgodnie z zasadami działu pomocy udzielać mogą tylko moderatorzy działu. Post wyjątkowo nie zostanie skasowany.

 

Nie radzę usuwać notek.

 

To jest komponent infekcji, co prawda nieszkodliwy, ale infekcji. Ta notatka nie będzie potrzebna. Po pierwszy gdyby autor zdecydował się zapłacić okup to notatki dostępne są w Internecie (przestępcy nie podaj numeru konta, a jedynie kontakt), a po drugie nie ma kompletnie żadnej pewności, że pliki zostaną odkodowane. 

 

EDIT:

 

Sprawdzałeś czy program napewno uruchomił się z prawami administratora i usunął pliki z shadow copy?

 

Niestety, ale ten wariant kasuje kopie Shadow podczas procesu szyfracji. 

 


 

Stan dysku jest dobry, ale proszę go kontrolować co jakiś czas. 

 

Dziwne, że RansomNoteCleaner nie znalazł notatek, no cóż, te widoczne z poziomu logu skasuję przez skrypt.

Gdybyś chciał jednak zachować sobie jedną to znajdzie się ona w C:\FRST\Quarantine tak samo jak log z szyfracji (C:\ProgramData\Keyboard). Rozszerzania wystarczy będzie zmienić z .vir na .txt

 

1. Zagrożenia wykryte przez Malwarebytes możesz dać do kasacji, ewentualnie RiskWare.Tool.CK możesz pominąć - jeśli z niego korzystasz (crack).

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CreateRestorePoint:
C:\ProgramData\Keyboard
C:\Users\Dell\Downloads\!!$ O D Z Y S K A J   P L I K I.txt
C:\Users\Dell\!!$ O D Z Y S K A J   P L I K I.txt
C:\Users\Dell\Desktop\!!$ O D Z Y S K A J   P L I K I.txt
C:\Users\Dell\Documents\!!$ O D Z Y S K A J   P L I K I.txt

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

3. Uruchom CryptoSearch. W sekcji wyboru wariantu wybierz Vortex, a następnie kliknij Search Computer. Po zakończeniu wybierz Archive Files i przenieść pliki w dowolne miejsce (najlepiej na dysk zewnętrzny, np. pendrive).

 

4. Podsumuj obecny stan systemu.

Odnośnik do komentarza

Możesz mi wytłumaczyć czemu zawzięcie każesz mu najpierw usunąć te pliki txt z jedyną drogą do odzyskania danych w czym to pomoże?

Po pierwsze w tym dokumecie TXT jest id komputera unikalne dla każdej infekcji po tym ID dopasowywane jest hasło z ich bazy danych.

Bez tego ID nikt mu już nie pomoże, więc nie może użyć czyjejś notatki.

Po drugie ten ransomware zaraził ostatnio wiele ludzi zapłaciliśmy i odzyskaliśmy dane i nie tylko my w internecie są inne opisy.

https://www.elektroda.pl/rtvforum/topic3387447.html

Udzielasz porad wogóle nie czytając czegoolwiek na temat zagrożenia gratuluję!
 

Niestety, ale ten wariant kasuje kopie Shadow podczas procesu szyfracji.

 

Tak ma taką funkcję wbudowaną w kodzie ale działa ona tylko, jeśli program został uruchomiony z prawami administatora wykorzystują do tego skrypt JAVASCRIPT/BAT  i uruchamiają program z komendą -ExecutionPolicy Bypass

Jedna ostatnio zarażali zupełnie inaczej https://zaufanatrzeciastrona.pl/post/uwaga-na-nowy-atak-na-prawnikow-wykorzystujacy-najnowsza-sztuczke-z-wordem/

Przez sztuczkę z wordem i dokument hta, jeden z plików hta nie uruchamiał programu z odpowiednimi uprawnieniami.

 

Do tego usunięcie kopii działa z pewnym opóźnieniem, jeśli komputer został by zrestartowany zaraz po infekcji, to program uruchomi się ponownie i rozpocznie szyfrowanie ale już bez praw administratora i nie usunie kopii.

Dlatego warto to zbadać w przypadku tego zagrożenia.

Odnośnik do komentarza

 Miszel03:

A możesz się wypowiedzieć na temat szans odzyskania plików po takim szyfrowaniu. Cudów się nie spodziewam ale może jakaś mała nadzieja pozostanie. 

Na razie wykonuje kopie tych plików.  stan obecny 

 

Ten ransomware jest prosty jak budowa cepa, wysyła zapytanie do ich serwera po hasło.

Dostaje ciąg znaków zwykle od 250 do 350 znaków.

Następnie wysyła do ich serwera to co masz pliku TXT jako dane identyfikacyjne ID=xxxx IP= xxxx i Data=xxxx + hasło

I zaczyna szyfrowanie.

Możesz napisać do nich z prośbą o odszyfrowanie, 2 plików jeśli mogą je odszyfrować to znaczy że mają nadal dostęp do serwera z hasłami lub zanim został zablokowany, skopiowali co trzeba z baz danych na swój dysk.

Na pewno nie płać w sytuacji gdyby nie mogli odszyfrować plików testowych bo to by znaczyło że zwyczajnie nie mają już dostępu do haseł.

Odnośnik do komentarza

Bardzo dziwne zjawisko wystąpiło po skanowaniu CryptoSearch z opcją na Vortex nie znalazł niczego. A moim zdaniem jeżeli sie nie mylę to powinien wszystkie pliki  z roz *.aes  zrobic ich kopie zapasową na dowolnym urządzeniu a on stwierdził że takich plików niema. 

Zamieszczam screena na potwierdzenie mojej uwagi:

post-1194-0-44330000-1509808885_thumb.png

Stan systemu :

Internet ok

Prędkość działania systemu OK

Na Dyskach pełno plików z ext *.aes

Odnośnik do komentarza

Diabelski, jeden post skasowałem. Nie prowadzisz pomocy i nie masz do tego uprawnień - to jest moje ostatnie ostrzeżenie przed założeniem blokady na posty.
Naprawdę zapłaciłbyś kilkaset złoty w ciemno? Przypominam Ci, że to są przestępcy i nie masz żadnej pewności, że to pieniądze rzeczywiście skłonią ich do deszyfracji. Płacąc przy każdej infekcji przestępcom kręcisz ich biznes! 
 
Zapytaj może najpierw użytkownika czy w ogóle jest skłonny tyle zapłacić w ciemno, zresztą czy ja kasuję jakieś dane dot. możliwości uiszczenia haraczu?! Zapoznaj się ze strukturą działania FRST i przeczytaj moje posty ze zrozumieniem.
Dlaczego mam zostawiać w systemie elementy infekcji? Główne moje zadanie to wyizolować infekcję.   
 



 
Atasuke, muszę zgłosić problem z tymi narzędziami, ale najważniejsze, że sobie poradziłeś.  
 



Miszel03:
A możesz się wypowiedzieć na temat szans odzyskania plików po takim szyfrowaniu. Cudów się nie spodziewam ale może jakaś mała nadzieja pozostanie. 
Na razie wykonuje kopie tych plików.  stan obecny

 
Próba łamania klucza jest praktycznie awykonalna. 
Szansa, na to, że ktoś stworzy dekoder jest, ale mała. 
 
Jutro spróbujemy kilku sztuczek, które być może coś wskórają.

Odnośnik do komentarza
  • 1 miesiąc temu...

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...