Jump to content


Photo

cryptowall


  • Please log in to reply
4 replies to this topic

#1 OFFLINE   HellScream

HellScream

    Addict

  • Astra Member
    • Member ID: 1,664
  • 386 posts
  • Tara :

Posted 08 January 2016 - 17:39 PM

Salut. Vad ca a revenit moda cu recompensele, pe la copii rai de pe net.

Cryptowall, este un virus, care cripteaza toate fisierele din PC, si ca sa le deblochezi, trebuie sa platesti o suma de bani. E varianta mai evoluata a virusului Politia Romana, daca stiti despre ce vb. 

 

Cum ne infecteaza, simplu. Dam un ok aiurea la o instalare si ne-am ars. Luam ceva de pe net, un programel ceva, nu suntem atenti si lasam bifata o casuta. Hop si crypto se instaleaza.... Exact cum e magaria de la Adobe. Daca nu esti atent te trezesti cu Mcafee instalat. Desi tu nu ai nici o treaba cu prastia aia.....In fine....cum ne revenim, aici vroiam sa ajung.

 

In primul moment, cand am gasit ceva criptat....POWER OFFF....DIRECT, nu tu shutdown, etc....POWER OFFF.....scoti pc-ul din priza....sau apesi intrerupatorul la tripla....

De ce? foarte simplu, ala se propaga in pc, si cat inchizi tu aplicatii, si sistem de operare, ala distruge fisiere. 

 

Bun, l-am blocat. Nici un program nu ruleaza cu pc-ul inchis. LOGIC!. Acum. Trecem pe latop, sau sunam un prieten, si facem rost de o distributie de linux, in forma Live CD. Retineti LINUX, NU WINDOWS. 

Ideea e simpla. jucaria aia stie sa lucreze doar pe Windows. Noi intram cu un alt sistem de operare. Salvam Stergem fisierele criptate. formatam partitia cu windows-ul....si repunem sistemul. 

Asa, am salvat fisierele care nu au fost afectate. Cu cat asteptati mai mult, cu atat va doare mai tare. Antivirusul este INUTIL la faza asta. Practic softul nu cauta informatii confidentiale, sau are caracter periculos. El doar da Rename la fisiere. Problema e ca nu mai stii ce erau. 

 

Am incercat sa fiu cat mai scurt. Sper ca ati inteles cate ceva. Eventual revin cu lamuriri daca este necesar.


  • ingineru, serialmapper, gelu and 5 others like this

#2 OFFLINE   geno

geno

    New Member

  • Members
    • Member ID: 3,437
  • 1 posts
  • Tara :

Posted 08 January 2016 - 17:52 PM

Eu am patit-o cu Politia Romana , format direct am dat ...eu l-am luat dand instal la Adobe Flash Player dar defapt nu era adobe, dorind sa vizualizez un film online !!! 


  • Hipsy ♥ Absinth likes this

#3 OFFLINE   The Blur

The Blur

    Admin Astramania

  • Astra Admin
    • Member ID: 2,474
  • 2,223 posts
  • Tara :

Posted 08 January 2016 - 21:51 PM

Eu sunt patit acu recent.
Am dezinfectat cu un antimalware si bitdefender 16. Mi-a criptat cateva poze(sub100) si cateva discografii de muzica + documente.

Bine ca mi-au scapat discografiile rock. :D

 

acum pun intrebari :D

 

1.Sa ma grabesc cu o formatarea,mai pot sta cateva zile asa? 

2.Sa ma risc sa salvez fisierele criptate pe un hdd extern? se poate sa il compromit pe acesta ? Poate apare intre timp soft pt. decriptare.

3.Daca am facut curatarea mai exista sanse sa se cripteze si altele? Desi am obs ca nu a mai facut asta.


  • Hipsy ♥ Absinth likes this
My Signature

Posted Image

Posted Image


#4 OFFLINE   HellScream

HellScream

    Addict

  • Astra Member
    • Member ID: 1,664
  • 386 posts
  • Tara :

Posted 09 January 2016 - 08:31 AM

Iti raspund "in ordinea nr. de pe tricou"
1- astepti pe riscul tau. ala nu stie de "pauza".
2- LA firma unde lucrez, am efectauat o analiza a ultimei variante si a reiesit ca nu e un simplu maleware, ci mai mult o "hydra". fiecare fisier criptat este un virus in sine. Partea proasta e ca am gasit doua fisiere cryptate identic pe acelasi hdd. deci partea cu decryptare cade. Nu ma intelege gresit, noi am decriptat cateva fisiere dar am facut totul " manual. in condittile in care stiam care si ce erau fiaierele originale. a durat cam 12 ore pt o poza si o melodie.

3- odata sters OS-ul programul sau virusul nu se mai activeaza. singura versiune care e prinsa de antivirusi,etc, e vatianta 2.0 in ultima varianta 3.5 nu mai ai ce prinde.
  • Hipsy ♥ Absinth likes this

#5 OFFLINE   dani/xYz

dani/xYz

    Member

  • Astra Member
    • Member ID: 2,184
  • 160 posts
  • Tara :

Posted 19 January 2016 - 00:57 AM

Foarte util sfatul tau, desi putin au curajul "sa traga heblul", daca pateste ceva 'bijuteria

 

Insa, daca nu esti la pc atunci cand incepe sa "rasneasca" crypto-ul (se misca in releuare si-ti iar 1 minut sa lansezi vreo aplicatie, iar pe desktop ti-au disparul pozele doc-urile xls-urile si pdf-urile - sunt redenumite si e schimbata extensia, zic de desktop ca-i cel mai vizibil) si nu ai un back-up la poze (marea pierdere, muzica o iei din nou,doc-urile le refaci) ce faci?

Situatia asta e cel mai intanita la laptopuri: omu' lucra ceva (eventual s-a infectat), a vrut sa laseze ceva, "si se tot gandea" laptopul, s-a dus sa-si ia o cafea, si pana s-a intors laptopul a stins display-ul, si l-a uitat asa pana si-a teminat cafeaua si si-a adus aminte ca vroia sa laneze nu's ce aplicatie....

Sa scapi de el e relativ simplu mai greu e cu recuperatul datelor.

Am dat peste 3 tipuri de cryptowall 3.x (de 2.0 nu vb. ca-i o joaca deja)

1. cripteaza si-ti baga ai cu bitcoin-ul, varianta veche si "cumintica" sanse mari de recuperare, mai ales ca s-a creat o baza de date pe baza acelui bitcon de key-uri de decriptare.Zic cumintica caci daca ai doar o partitie reusesti sa recuprerezi datele cu shadowexplorer.

2. cripteaza si la final iti un cont si un email, iti dezactiveaza systemrestor-ul

3. la fel ca 2 insa mai urat iti face systemrestor-ul 0b (nu mai poti recupera nici cu undelete,getdataback&etc.)

Daca la primele 2 mai poti face diverse artificii, caci in prima faza systemrestor-ul e oprit de virus ca sa nu se pastreze versiunile anterioare de fisiere, poti totusi face o restaurare manuala si ulterior o montare a lor ca sa poti vedea ceva cu shadowexplorer, la a-3 varianta....

Daca stii ca-i cryptowall si esti avansat singura sansa in cazul asta e sa lasi pc-ul asa in lucru si printre picaturi/wait-uri sa reusesti sa salvezi key-ul de criptare, acu' ce nume are fisierul si pe unde se gaseste...e ca la pescuit...ca punct de plecare de vazut cu msconfig (win7&xp)taskmanager->startup(win8&up) de vazut ce "ciudatenii' se lanseaza si de "sapat" in locatiile respective.

 

Marea majoritate aveti peste 2 partitii, systemrestore-ul, by default, e activat doar pe partitia cu s.o., deci, ca sfat, activati-l pe toate partitiile unde va tineti diverse, aveti o sansa de recuperare, chiar daca asa cosnumati ceva spatiu.

 

Toate vesiunile intalnite de mine sunt doar virusi ci nu din categoria hydra, probabil (ma refer la situatia dublei criptari) ati identificat procesul cu pricina, oprit/sters/curatat si ati uitat sa curatati si browser-ul, toate variantele intalnite de mine iti modificau homepage-u&search-ull si te reinfectai instantaneu si din pacate cu un alt key de incriptare (caci procesul/virusul initial nu mai exista).


  • Hipsy ♥ Absinth likes this