Zaszyfrowane pliki Windowsa 7/8.1 przez wirus

[weCzarek]

Tak jak w temacie, jeden z moich komputerów został zainfekowany wirusem typu "ransomware". PC zainfekował się gdzieś w 2016r, jednak po bezskutecznych próbach naprawienia go i usunięcia wirusa poddałem się. Dzisiaj  ponownie staram się go naprawić. Nie wiem czym zaszyfrowane są pliki, ale mają skrót .enc i są to pliki tylko na dysku D (Dysk C nie został zainfekowany ). No i teraz pustka. Nie wiem co robić, nie wiem jak usunąć tego wirusa, nie wiem jak odzyskać pliki, i czy wgl je odzyskam. Pomoże ktoś? Nawet najmniejsze próby pomocy nagrodzę like'ami

 

#edit

Ten ransomware nazywa się TrueCrypter. Szyfrowanie plików to rsa-2048

[Ktosiu]

Najlepiej to postaraj sie o tego samego wirusa i zawirusuj znowu kompa. Problem tylko w tym że nie będzie miał takiego samego klucza więc trochę jesteś w dupie z odszyfrowaniem ale zawsze możesz liczyć na szczęście że będzie identyczny.   

 

Nie ma problemu odszyfrować ale to kosztuje od kilku do kilkunastu stów jak nie więcej. 

[Przepraszam]

zrób format ziomuś, szkoda zachodu 

[weCzarek]

zrób format ziomuś, szkoda zachodu 

 

Tysiące zdjęć, dokumentów. Nie dam rady już ich odzyskać? :/

[Gol342]

Wejdz w instalke windowsa i wpisz format c: wyczysci ci wirusy

 

//JacoH - nie róbcie tego.

[Randan]

Tylko format pomoże bo tego wirusa jest bardzo ciężko usunąć. Albo w ogóle się nie da,

[Ktosiu]

Umiecie czytać ze zrozumieniem treść tematu?  

 

Chłopak nie chce usuwać  wirusa bo to nie jest żaden problem go usunąć , chce ODSZYFROWAĆ pliki zaszyfrowane przez wirusa.

Do tego potrzebuje oryginalnego wirusa by odzyskać dane. W czasie działania wirusa można odczytać zaszyfrowane pliki. 

[weCzarek]

Umiecie czytać ze zrozumieniem treść tematu?  

 

Chłopak nie chce usuwać  wirusa bo to nie jest żaden problem go usunąć , chce ODSZYFROWAĆ pliki zaszyfrowane przez wirusa.

Do tego potrzebuje oryginalnego wirusa by odzyskać dane. W czasie działania wirusa można odczytać zaszyfrowane pliki. 

 

Dokładnie. Wirus jeszcze pewnie jest na kompie - nie usunełem go w 100%. Wiem, jaki to wirus i jakie ma szyfrowanie, więc czy skoro znam dane, to istnieje jakijś program/sposób aby odszyfrować pliki? Czy tylko pozostaje serwis, żeby odzyskać pliki?

 

Tak jak wspominałem jest  to TrueCrypter "Szyfrowanie plików RSA 2048"

[weCzarek]

@ref

[kamil2321]

Tak jak w temacie, jeden z moich komputerów został zainfekowany wirusem typu "ransomware". PC zainfekował się gdzieś w 2016r, jednak po bezskutecznych próbach naprawienia go i usunięcia wirusa poddałem się. Dzisiaj  ponownie staram się go naprawić. Nie wiem czym zaszyfrowane są pliki, ale mają skrót .enc i są to pliki tylko na dysku D (Dysk C nie został zainfekowany ). No i teraz pustka. Nie wiem co robić, nie wiem jak usunąć tego wirusa, nie wiem jak odzyskać pliki, i czy wgl je odzyskam. Pomoże ktoś? Nawet najmniejsze próby pomocy nagrodzę like'ami

 

#edit

Ten ransomware nazywa się TrueCrypter. Szyfrowanie plików to rsa-2048

A teraz tak, skąd wiesz że truecrypter? 

Za mało informacji podałeś, jak wirus i ransomware to jako jedyny z nielicznych oberwałem CryptoLockerem z tego roku, który wyszedł w lutym. 

Zbyt mało informacji podałeś, a Ci amatorzy, którzy tutaj piszą nie robią z dnia na dzień w sekcji zabezpieczeń jak i nie znają pojęć kryptograficznej.

 

W folderze D, masz 2 bądź więcej notatników, stworzonych przez tego wirusa, zwykle nazwy są "Your Files are locked!.txt" bądź "how to decrypt your files" itd, więc proszę sprawdź czy masz, jak masz to nie wstawiaj tego tutaj, bo to będzie samobój jeśli masz Your files are locked, to będzie kiepsko, jeśli zaatakował Cie starszy ransomware to się ciesz bo wielka szansa na odzyskanie plików.

 

 

Najlepiej to postaraj sie o tego samego wirusa i zawirusuj znowu kompa. Problem tylko w tym że nie będzie miał takiego samego klucza więc trochę jesteś w dupie z odszyfrowaniem ale zawsze możesz liczyć na szczęście że będzie identyczny.   

 

Nie ma problemu odszyfrować ale to kosztuje od kilku do kilkunastu stów jak nie więcej. 

Pierdolnij się za przeproszeniem w ten j****y pusty łeb. Co ty tu k***a bredzisz to ja nie wiem, stary bez jaj ale takie wyjście jest samobójstwem.. 

Szyfrować coś co jest szyfrowane = nigdy nie odzyskane 100% w strukturze danych.

Ja znam się bardzo dobrze na tym  

 

 

zrób format ziomuś, szkoda zachodu 

 

Tysiące zdjęć, dokumentów. Nie dam rady już ich odzyskać? :/

 

Zależy, jak wspomniałem, jak masz starszego wirusa to sie ciesz.

 

Umiecie czytać ze zrozumieniem treść tematu?  

 

Chłopak nie chce usuwać  wirusa bo to nie jest żaden problem go usunąć , chce ODSZYFROWAĆ pliki zaszyfrowane przez wirusa.

Do tego potrzebuje oryginalnego wirusa by odzyskać dane. W czasie działania wirusa można odczytać zaszyfrowane pliki. 

Ty tez umiesz czytać ze zrozumieniem? 

Właśnie wyżej jako pierwszy dałeś mu debilne rozwiązane, które zagraża całemu kompowi, a Twoja wiedza na temat wirusów jest bardzo niska.

Pracuję w różnych sekcjach zabezpieczeń oraz zwalczania wirusów więc wiem co i jak  

A chłopacy z firmy się z Ciebie śmieją i z Twoich rozwiązań dawkę humoru z rana, dzięki!

 

 

Umiecie czytać ze zrozumieniem treść tematu?  

 

Chłopak nie chce usuwać  wirusa bo to nie jest żaden problem go usunąć , chce ODSZYFROWAĆ pliki zaszyfrowane przez wirusa.

Do tego potrzebuje oryginalnego wirusa by odzyskać dane. W czasie działania wirusa można odczytać zaszyfrowane pliki. 

 

Dokładnie. Wirus jeszcze pewnie jest na kompie - nie usunełem go w 100%. Wiem, jaki to wirus i jakie ma szyfrowanie, więc czy skoro znam dane, to istnieje jakijś program/sposób aby odszyfrować pliki? Czy tylko pozostaje serwis, żeby odzyskać pliki?

 

Tak jak wspominałem jest  to TrueCrypter "Szyfrowanie plików RSA 2048"

 

I git, nie ruszaj ;p 

 

Awięc tak, żeby nie było że kłamię że miałem najnowszą wersję CryptoLockera:

https://scr.hu/XNm5m4

skan wirusa: https://virustotal.com/pl/file/71a93a074beb6906409cca4f75c61b8d52e4db3572ee6cf7c8465a46ae1ff5be/analysis/

I na fejsie też posta dałem

 

A teraz do rzeczy, @weCzarek weź proszę daj mi informacje:

-> Sprawdź na dysku D czy istnieją 2 bądź więcej .txt, dla przykładu u mnie mam "Your files are locked" i tylko CryptoLockera którego ja oberwałem nie da się przywrócić plików, z powodu pięcio zaawansowanego szyfrowania aesa, blowfisha, rsa i itd.. pięciokrotny szyfr jednego pliku = 55% utraty struktury całego pliku jak waży ponad 400mb, przy wadze do 400mb struktura plików uszkodzeń jest do 40% w związku z czym pliki mogą działać.

 

-> Jeśli będziesz miał te txt, proszę wyślij mi na PW ich zawartość ale nie wklejaj je na wklej.org czy coś, ze względu bezpieczeństwa, najlepiej zapakować z hasłem i wysłać mi

-> proszę przeskanuj plik zaszyfrowany w skanerze online:  https://virustotal.com a zostanie dołączony raport o wirusie dla tych, którzy nie posiadają jeszcze go zabezpieczonego a dla mnie informacja będzie MD5 wraz z strukturą. 

-> Jak odlicza czas, to napisz ile zostało czasu

 

Lecz muszę Ci powiedzieć ostatnią ważną rzecz, w 100% nie odzyskasz wszystkich plików z poprawną strukturą, nawet firmy zewnętrzne nie potrafią do dnia dzisiejszego odszyfrować w strukturze 100% wszystkich danych.

 

Polecam zabezpieczyć się, polecałem tutaj na forum wiele programów, przetestowanych przeze mnie z sekcji zabezpieczeń ale wielokrotnie mnie wyśmiewano, ja ciągle tutaj na tym dziale nalegam, trzeba się chronić i łatać a nie same łatanie.

Takich osób jak Ty, jest więcej, nie martw się nie tylko Tobie staram sie pomóc

Ze względu na otrzymywane raporty od użytkowników takich jak Ty, inne firmy mogą stworzyć deszyfr kodów.

 

Jeśli chcesz mieć stałą, dobrą ochronę, polecam MBAMa, oczywiście mam licencje do większość programów i to licencje w postaci kodów otrzymywane wiadome od kogo, od firm  

Każda firma antywirusowa chce mieć ludzi, więc potrzebuje też kogoś, kto będzie sprawdzał zabezpieczenia jak i znajdował nowe zagrożenia, a w nagrodę idzie za to współpraca z firmami i wiele licencji

 

Do moderatorów:

Kiedyś tu pisałem w dziale, że trzeba się zabezpieczać, olewaliście to teraz takich osób będzie o wiele więcej niż wam się wydaje.

 

Najnowszy wirus Cryptolocker działa ogólnie w sieci fejsbuga i Microsoftu, ja oberwałem z Fejsbuga, oczywiście zgłosiłem to i okazało się że jednak ich sieć padła ofiarą wystarczyło wejść przez przeglądarkę internet explorer, albo edge bądź chrome starsze wersje.

 

No nic, to tyle, idę spać.

Jutro jadę na konferencję do Lichenia, będę wieczorem to odpiszę.

[weCzarek]

@kamil2321 

 

Więc tak przeczytałem twoją wiadomość, i zabieram się do postępowania według twoich kroków. Gdy skończę, napiszę wszystkie informacje edytując TEN post

 

• Sprawdziłem zaszyfrowany dysk D: jednak nie znalazłem na nim żadnego pliku "Your files are locked" czy coś w tym stylu. Prawdopodobnie już ich nie ma, bo wszystkie pliki związane z wirusem zostały usunięte.
• Nie jestem szczególnie rozwinięty w tym temacie, ale mam wrażenie, że pliki zostały zaszyfrowane tylko RSA-2048. W komunikacie, który pamiętam, tylko o tym była mowa. Poniższy screen nie jest z mojego komputera, znalazłem go gdzieś w internecie.
• 
• Zauwazyłem, że jest mowa o jakimś potrzebnym kluczu, aby odzsykać pliki. Więc tak jak piszą, klucza "Za darmo" nie mogłem odzyskać. Nie wiem, czy im wierzyć, że potrzebny jest ten klucz, aby odzyskać pliki.
• https://www.youtube.com/watch?v=V8FlItOKtU4 Tutaj też znalazłem film, gdzie mogą/mogłby znajdować się pliki tego wirusa. Niestety żadnego nie znalazłem. 
• Nie mam już tego programu, czy też żadnych plików z nim związanych :/

[weCzarek]

@ref

[kamil2321]

 

@kamil2321 

 

Więc tak przeczytałem twoją wiadomość, i zabieram się do postępowania według twoich kroków. Gdy skończę, napiszę wszystkie informacje edytując TEN post

 

• Sprawdziłem zaszyfrowany dysk D: jednak nie znalazłem na nim żadnego pliku "Your files are locked" czy coś w tym stylu. Prawdopodobnie już ich nie ma, bo wszystkie pliki związane z wirusem zostały usunięte.
• Nie jestem szczególnie rozwinięty w tym temacie, ale mam wrażenie, że pliki zostały zaszyfrowane tylko RSA-2048. W komunikacie, który pamiętam, tylko o tym była mowa. Poniższy screen nie jest z mojego komputera, znalazłem go gdzieś w internecie.
• 
• Zauwazyłem, że jest mowa o jakimś potrzebnym kluczu, aby odzsykać pliki. Więc tak jak piszą, klucza "Za darmo" nie mogłem odzyskać. Nie wiem, czy im wierzyć, że potrzebny jest ten klucz, aby odzyskać pliki.
• https://www.youtube.com/watch?v=V8FlItOKtU4 Tutaj też znalazłem film, gdzie mogą/mogłby znajdować się pliki tego wirusa. Niestety żadnego nie znalazłem. 
• Nie mam już tego programu, czy też żadnych plików z nim związanych :/

 

 

Okej.. 

Szkoda, że nie masz tego "wirusa" bo teraz się nie da odzyskać, TrueCrypter ma wadę, jedynie odzyskać można wtedy, kiedy on jest a tak to teraz pogorszyłeś sytuację.. 

 

TrueCrypter ma wadę taką, że wystarczyło kliknąć na "Okup" czy jakoś tak po Angielsku nie wiem jak to tam się nazywało, no i potem wystarczyło poczekać i coś by tam wyskoczyło a następnie wyskoczy z prawami adma coś i wystarczyło dać TAK i ogólnie miałbyś odzyskane pliki lecz nie wszystkie.

Nie wiem co skłoniło albo kto skłonił Cie do usuwania tegoż wirusa, ale na przyszłość będziesz wiedział, żeby nie odinstalowywać wirusa ransomware szyfrującego dane, żadnego ransomware szyfrującego dane nie powinno się odinstalowywać.

 

RSA złamanie kodu wymaga około 100 lat.

 

No ale jeśli skonfigurowałeś w zakladce Ochrona Systemu przywracanie na dysku D, to jest nadzieja na odzyskanie plików.

Druga metoda to odzyskanie plików poprzez Data Recovery.

Trzecia metoda, oddać do np. Katowic dysk do firm:

Kroll Ontrack

RCS z linku http://www.rcs.biz.pl/odzyskiwanie-danych.html

Bądź innych firm, które mają laboratoria i rozszyfrowywanie danych, na google znajdziesz jeśli interesuje Cie konkretne miejsce.

 

Lecz wiąże się to z kosztami, w przedziale od 500zł do 1500zł na dysk 1TB

 

Innych metod skutecznych nie znajdziesz.

[weCzarek]

 

 

@kamil2321 

 

Więc tak przeczytałem twoją wiadomość, i zabieram się do postępowania według twoich kroków. Gdy skończę, napiszę wszystkie informacje edytując TEN post

 

• Sprawdziłem zaszyfrowany dysk D: jednak nie znalazłem na nim żadnego pliku "Your files are locked" czy coś w tym stylu. Prawdopodobnie już ich nie ma, bo wszystkie pliki związane z wirusem zostały usunięte.
• Nie jestem szczególnie rozwinięty w tym temacie, ale mam wrażenie, że pliki zostały zaszyfrowane tylko RSA-2048. W komunikacie, który pamiętam, tylko o tym była mowa. Poniższy screen nie jest z mojego komputera, znalazłem go gdzieś w internecie.
• 
• Zauwazyłem, że jest mowa o jakimś potrzebnym kluczu, aby odzsykać pliki. Więc tak jak piszą, klucza "Za darmo" nie mogłem odzyskać. Nie wiem, czy im wierzyć, że potrzebny jest ten klucz, aby odzyskać pliki.
• https://www.youtube.com/watch?v=V8FlItOKtU4 Tutaj też znalazłem film, gdzie mogą/mogłby znajdować się pliki tego wirusa. Niestety żadnego nie znalazłem. 
• Nie mam już tego programu, czy też żadnych plików z nim związanych :/

 

 

Okej.. 

Szkoda, że nie masz tego "wirusa" bo teraz się nie da odzyskać, TrueCrypter ma wadę, jedynie odzyskać można wtedy, kiedy on jest a tak to teraz pogorszyłeś sytuację.. 

 

TrueCrypter ma wadę taką, że wystarczyło kliknąć na "Okup" czy jakoś tak po Angielsku nie wiem jak to tam się nazywało, no i potem wystarczyło poczekać i coś by tam wyskoczyło a następnie wyskoczy z prawami adma coś i wystarczyło dać TAK i ogólnie miałbyś odzyskane pliki lecz nie wszystkie.

Nie wiem co skłoniło albo kto skłonił Cie do usuwania tegoż wirusa, ale na przyszłość będziesz wiedział, żeby nie odinstalowywać wirusa ransomware szyfrującego dane, żadnego ransomware szyfrującego dane nie powinno się odinstalowywać.

 

RSA złamanie kodu wymaga około 100 lat.

 

No ale jeśli skonfigurowałeś w zakladce Ochrona Systemu przywracanie na dysku D, to jest nadzieja na odzyskanie plików.

Druga metoda to odzyskanie plików poprzez Data Recovery.

Trzecia metoda, oddać do np. Katowic dysk do firm:

Kroll Ontrack

RCS z linku http://www.rcs.biz.pl/odzyskiwanie-danych.html

Bądź innych firm, które mają laboratoria i rozszyfrowywanie danych, na google znajdziesz jeśli interesuje Cie konkretne miejsce.

 

Lecz wiąże się to z kosztami, w przedziale od 500zł do 1500zł na dysk 1TB

 

Innych metod skutecznych nie znajdziesz.

 

 

Zrozumiałem postaram się spróbować, ale... co jeżeli posiadam dwa systemy operacyjne? Win 7 i Windows 8? Na obu mam użyć recovery czy jak..

[Ktosiu]

No i proszę , jaśnie wielmożny pan chwalipięta teraz potwierdza moją diagnozę w 100%!

Najpierw zgnoić osobę która napisze coś sensownego, potem wymyślić sobie swoje teorie a potem dokładnie słowo w słowo stwierdzić że jedyny dobry sposób jest ten co... wcześniej zgnoił i mieszał z błotem.

Poducz sie chłopie i zacznij pisać normalne posty jak się bierzesz za pomoc komuś, przynajmniej zorientuj się w temacie działania i sposobu leczenia danego wirusa.   

 

 

weCzarek

Podaj okres zarażenia, sprawdzę czy w serwisie u znajomych  mają klucze z tego okresu do odszyfrowania.  Sam mam tylko dostępne dla wersji z grudnia poprzedniego roku, styczeń -marzec tego.

Nie wiem czy da się to zrobić bez dostępu do oryginalnego wirusa , zwykle z oryginałem wirusa  działało odszyfrowywanie w 100% 

[weCzarek]

@Ktosiu

 

No kurde, okres zarażenia... no tutaj to Ci w życiu dokładnie nie powiem. Jednak jeśli moja pamięć nie zawodzi, był to rok 2015. Tak, 2 lata temu... Dokładnej daty nie pamiętam, ale jutro (raczej jeszcze dziś) sprawdzę ostatnie modyfikacje moich plików. Możliwe, że na moich plikach (tych zaszyfrowanych .enc) data modyfikacji zmieniła się na właśnie datę zarażenia wirusem.

 

#edit Faktycznie na zaszyfrowanych plikach jest ta sama data (wszystkich). Jest 2016-04-26 (26 kwietnia 2016r.)

hahahah akurat dokładnie, JUTRO! mija rok od zaszyfrowania. Cóź za zbieg okoliczności

[Ktosiu]

Znajdź kilka plików tekstowych ( koniecznie musi to być CZYSTY tekst, w ostateczności  dokumenty   ) , nie muszą być duże ok 1 -5 kb . Mało ważne gdzie są mogą być jakieś readme czy infa o programach, najlepiej by były w języku angielskim. Najlepiej daj te co  masz zaszyfrowane  w katalogu windowsa itp systemowe. 

 

podeślij na PM