Zlovolně zašifrované soubory (.CRYPTED)

[agas]

Dobrý den,

rád bych požádal o radu, co lze dělat v případě, že byl náš počítač napaden virem, který zašifroval většinu dokumentů v počítači uložených (doc, docx, xls, xlsx, pdf, jpg, mp3; nezašifroavné zůstaly např. ppt, pptx), přiřadil k nim příponu .CRYPTED a do každé složky vložil textový soubor nazvaný HOW TO DECRYPT FILES.txt s následujícím obsahem:

Attention!
Your files have been encrypted with 256-bit ecryption. This happend because you were infected with downloaded child porno.
To recover your files, you must send an email to llbfxhxgeaton@hotmail.com
We have a very quick decryption file, and of course we alone know the encryption key that has been used to encrypt your files. There will be a charge for our decryption software. More details in email. Have a good day.

Všechny programy, zdá se, běží normálně. Sice mám zálohovací systém, ale zálohy už byly z velké části těmi zašifrovanými soubory také přepsány.

IT technik, kterého příležitostně objednáváme na náročnější úkony správy našich počítačů v naší farní kanceláři, na záležitosti už tři dny pracuje, ale prý stále nemůže nalézt příslušný dešifrovací nástroj, kterým by zašifrované soubory znovu zprovoznil. Napadlo mě proto se zeptat zde, zda s tím nemá někdo zkušenosti.

Díky za každou radu,

Petr Hruška
farář Řk farnosti Cheb
www.farnostcheb.cz

[Reklama]

[the ProtoType]

Do sekce HiJackThis dejte log podle tohto návodu.

[petr22]

Ja bych skusil toto:

http://www.softdownload.cz/cs/software/ ... or+2.3.4.0

Malware of the family Trojan-Ransom.Win32.Xorist is designed for unauthorized modification of data on a victim computer. It makes computers uncontrollable or blocks its normal performance. After taking the data as a "hostage" (blocking it), a ransom is demanded from the user.

The victim is supposed to deliver the ransom to the pirate, who is promising to send in return a program which would release the data or restore normal performance of the computer.

[agas]

ad the ProtoType: Dík za radu, udělal jsem ten scan a vložil na udané místo.

ad petr22: Sáhnul jsem si ten XoristDecrptor, aplikoval scan, navedl na jeden ze zašifrovaných souborů, scan běžel asi dvě minuty a zahlásil 0 nalezených souborů.

[the ProtoType]

Dobře, teď jen čekejte na pokyny security teamu.

[petr22]

Jedine co jde najit je ze se to nejspis jmenuje Lorobot a je to z roku 2009, temer vsechny linky vedou na ruske weby

Tady je link na aplikaci ktera to udajne umi desifrovat:
http://www.zdnet.com/blog/security/new- ... ption/4748

Dalsi info:

http://support.kaspersky.com/viruses/so ... =208280932

Jediny zpusob jak me napada ze v roce 2013 takova vec jeste funguje jsou Windows XP bez antiviru a bez aktualizaci.... v kazdem pripade je nutne jako prvni znicit potvoru a pak resit jeji nasledky. V kazdem pripade Kaspersky je v tomhle pripade nejnpovolanejsi, protoze je to vetsinou jedina firma ktera poskytne aplikaci na desifrovani souboru (pokud to je technicky proveditelne).

Jeste bych prekontroloval jestli soubory nejsou pouze prejmenovane - ony tyhle trojaky potrebuji pracovat rychle, takze si obcas cinnost dost zjednodusuji.

[agas]

Dík za další tip. Bohužel onen Gpcode.J.Decryptor, na který je v článku o Lorobotu odkazováno, na to také nefunguje. Jinak napadené PC je s Windows 7 a je chráněno systémem ESET.

[petr22]

B tom pripade asi jedine Kaspersky

Co se mi na tom vubec nelibi je tohle:

https://www.google.com/#hl=en&output=se ... 20&bih=868

[agas]

Myslíte kontaktovat přímo firmu Kaspersky?

Té další poznámce nerozumím - co na tom není v pořádku?

[petr22]

V poradku na tom neni to, ze to vypada ze tenhle problem ma jediny clovek na svete

[agas]

Aha, no to je pravda. Mně také bylo divné, že jsem tu adresu, nebo aspoň ten vydřidušský text v tomto znění, nikde nevygoogloval. Lze najít něco podobného, i s podobnými obraty, ale nikde jsem nenašel to spojení s dětskou pornografií. Že by ta hláška byla cíleně upravená pro církevní instituci?