PC-HELP.CZ

Dobrý den,

rád bych požádal o radu, co lze dělat v případě, že byl náš počítač napaden virem, který zašifroval většinu dokumentů v počítači uložených (doc, docx, xls, xlsx, pdf, jpg, mp3; nezašifroavné zůstaly např. ppt, pptx), přiřadil k nim příponu .CRYPTED a do každé složky vložil textový soubor nazvaný HOW TO DECRYPT FILES.txt s následujícím obsahem:

Attention!
Your files have been encrypted with 256-bit ecryption. This happend because you were infected with downloaded child porno.
To recover your files, you must send an email to llbfxhxgeaton@hotmail.com
We have a very quick decryption file, and of course we alone know the encryption key that has been used to encrypt your files. There will be a charge for our decryption software. More details in email. Have a good day.

Všechny programy, zdá se, běží normálně. Sice mám zálohovací systém, ale zálohy už byly z velké části těmi zašifrovanými soubory také přepsány.

IT technik, kterého příležitostně objednáváme na náročnější úkony správy našich počítačů v naší farní kanceláři, na záležitosti už tři dny pracuje, ale prý stále nemůže nalézt příslušný dešifrovací nástroj, kterým by zašifrované soubory znovu zprovoznil. Napadlo mě proto se zeptat zde, zda s tím nemá někdo zkušenosti.

Díky za každou radu,

Petr Hruška
farář Řk farnosti Cheb
www.farnostcheb.cz

Do sekce HiJackThis dejte log podle tohto návodu.

Ja bych skusil toto:

http://www.softdownload.cz/cs/software/ ... or+2.3.4.0

Malware of the family Trojan-Ransom.Win32.Xorist is designed for unauthorized modification of data on a victim computer. It makes computers uncontrollable or blocks its normal performance. After taking the data as a "hostage" (blocking it), a ransom is demanded from the user.

The victim is supposed to deliver the ransom to the pirate, who is promising to send in return a program which would release the data or restore normal performance of the computer.

ad the ProtoType: Dík za radu, udělal jsem ten scan a vložil na udané místo.

ad petr22: Sáhnul jsem si ten XoristDecrptor, aplikoval scan, navedl na jeden ze zašifrovaných souborů, scan běžel asi dvě minuty a zahlásil 0 nalezených souborů.

Dobře, teď jen čekejte na pokyny security teamu.

Jedine co jde najit je ze se to nejspis jmenuje Lorobot a je to z roku 2009, temer vsechny linky vedou na ruske weby

Tady je link na aplikaci ktera to udajne umi desifrovat:
http://www.zdnet.com/blog/security/new- ... ption/4748

Dalsi info:

http://support.kaspersky.com/viruses/so ... =208280932

Jediny zpusob jak me napada ze v roce 2013 takova vec jeste funguje jsou Windows XP bez antiviru a bez aktualizaci.... v kazdem pripade je nutne jako prvni znicit potvoru a pak resit jeji nasledky. V kazdem pripade Kaspersky je v tomhle pripade nejnpovolanejsi, protoze je to vetsinou jedina firma ktera poskytne aplikaci na desifrovani souboru (pokud to je technicky proveditelne).

Jeste bych prekontroloval jestli soubory nejsou pouze prejmenovane - ony tyhle trojaky potrebuji pracovat rychle, takze si obcas cinnost dost zjednodusuji.

Dík za další tip. Bohužel onen Gpcode.J.Decryptor, na který je v článku o Lorobotu odkazováno, na to také nefunguje. Jinak napadené PC je s Windows 7 a je chráněno systémem ESET.

B tom pripade asi jedine Kaspersky

Co se mi na tom vubec nelibi je tohle:

https://www.google.com/#hl=en&output=se ... 20&bih=868

Myslíte kontaktovat přímo firmu Kaspersky?

Té další poznámce nerozumím - co na tom není v pořádku?

V poradku na tom neni to, ze to vypada ze tenhle problem ma jediny clovek na svete

Aha, no to je pravda. Mně také bylo divné, že jsem tu adresu, nebo aspoň ten vydřidušský text v tomto znění, nikde nevygoogloval. Lze najít něco podobného, i s podobnými obraty, ale nikde jsem nenašel to spojení s dětskou pornografií. Že by ta hláška byla cíleně upravená pro církevní instituci?