Šta je novo?

Virus promenio ekstenziju svih fajlova ! Pomoc!

dejan2311

Cenjen
Učlanjen(a)
13.11.2010
Poruke
128
Poena
170
Dakle, svi fajlovi u racunaru bilo da su slike, dokumenta, filmovi , muzika bilo sta iza svog predhodnog naziva imaju dodatak [[email protected] or [email protected]]-id-17FC.

Npr ovo su neki drajveri 81_85_FORCEWARE_WINXP2K_INT.EXE.[[email protected] or [email protected]]-id-17FC . Nista ne mogu da pokrenem, oborio sam sistem, instaliralo novi i sada kada npr skinem ili ubacim neku sliku , dokument... bilo sta on zadrzava svoju ekstenziju bez promena, dok sa starim fajlovima nista ne mogu da radi. Znaci nove ne pretvara kao sto je uradio sa starim fajlovima... Gledao po netu i ne mogu da resim problem. Ako neko imao iskustva, zamolio bi ga da mi pomogne.
 
Ransomware je u pitanju, svi podaci su ti kriptovani i, koliko mi je poznato, osim da platiš (što ne bih preporučivao), nema načina da se vrate podaci.
 
Uploaduj jedan enkriptovani fajl ovde (https://id-ransomware.malwarehunterteam.com/) i napisi koji je ili okaci screenshot. Nakon toga ce neko proveriti da li postoji dekripter za njega.

Ukoliko imas backupove bitnih podataka (slika, dokumenata), a dekripter ne postoji, onda mozes i da formatiras sve i krenes iznova. :D
 
Nemoj odustajati i, imao sam isti problem i istu preporuku. Napravio sam kopiju svih datoteka i imao sreće da se pojavi dekriptor i sve sam povratio u trenu. Uradi i ti tako, sačekaj neko vreme i nadaj se najboljem.
 
Nema reverzibilnog procesa kod ozbiljnih ransomware virusa. Ne postoji, napravljen je jednosmerno. Onaj ko se upeca, bacio je pare.
Oprosti se od fajlova i ubuduće pamet u glavu.
 
Poslednja izmena:
Hvala svima na pomoci, imam dovoljno mesta na hard disku pa cu da ih odvojim ili cu da ove kriptovane fajlove posaljem na meil pa ako se pojavi dekriptor da ih mozda nekada povratim. Eto nisam ni znao da postoje takvi programi , vise se pribojavao da mi ne crkne hard disk pa sam srecom deo fajlova ranije sebi poslao na meil tako da deo mogu da koristim i dalje :) .
 
@dejan
Imaš li predstavu kako si se zarazio - neki nelegalan softver, zaražen sajt ili nešto treće? Čisto da znamo čega da se čuvamo?
 
Uglavnom su neki Word dokumenti sa nepoznatih, po nekad i sa relativno poznatih, mail-ova.
 
Ugasite macro u Office... A za backup koristi neki cloud, ne email.
 
Tačno je da je ransomware uglavnom ovako zarazi računar. Treba ugasiti auto macro, ali nekima trebaju, ne mogu skroz da ih isključe. Bitno je paziti sa kog mail-a stiže, čak i ako je domen na izgled pouzdan. Pogotovo je bitan i sam sadržaj mail-a. Ako je na engleskom (npr.) ili vam ne deluje smisleno, a po domenu je neki domaći (čak i iz iste firme ili državne ustanove) odmah znaš da nešto nije u redu. One sa srećnim dobitnikom, nasledstvom, FBI i slično samo brisanje, mada njih Google uglavnom ubaci u nepoželjnu.
 
Kako ste podesili 1, 2, ili 3?

lQOjcfk.png
 
@dejan2311, da li si koristio neku antivirusnu zaštitu ?
 
@makiacaveki: 2 oduvek.

Uključi ili isključi opciju, šta već nije podrazumevano podešavanje, da ne prikazuje ekstenzije poznatih tipova fajjlova u exploreru.
Nema šta da gledaš kada ti neko nepoznat nešto prikači, obrišeš odmah i momentalno. Ma čak i poznat.
Klinac je pre možda godinu-dve, primio sliku ili slično preko Skypa od drugara. Glupi skype podrazumevano primao datoteke a ovaj odmah da vidi šta je.
Neki sličan rusvaj je pravio ali samo na desktopu ako se ne varam. Uglavnom, brzo se čistilo, obojica pri ruci da ih izlemaš... :) Mislim da danas ne sme to, da ih izlemaš, na to mislim :D
 
Poslednje verzije ramsomwera stizale su većinom preko mejlova.
Šta više, čak nisu postojali ni atačmenti, ni linkovi, jednostavno je celo blanko polje u mejlu bilo aktivno. Pa kada klikneš na prazan prostor ili da sroluješ kroz tekst aktivira se zlonamerni kod koji odradi svoje. Zaraza je išla remote. Postojale su i još par varijacija na ovu temu.
 
@makiacaveki
Tako, isključeno sa notifikacijom. Preko nje možeš da pokreneš.

Problem je što u puno uputstva imaš korak Enable all. Primer, majka mi je računovođa u jednoj državnoj instituciji i par puta sam joj setovao neke aplikacije koje koriste i Office dokumente i u svakom uputstvu pajseri iz ministrarstva stavljaju korak (bez objašnjenja/upozorenja) da postaviš Enable all macros i Trust access to the VBA project object model...

@BokiPK
Ima i toga, ali takvu situaciju bi antivirus trebalo da registruje i blokira.
 
Poslednja izmena:
Nije registrovao nijedan AVP. Nijedan. Posle prvog udara i reakcije malo sam eksperimentisao. Pratio sam u izolovanim uslovima kako se ponaša. Niti je detektovao kompanijski fajervol.
To je dovelo do uvođenja dodatnog, prilično skupog nivoa zaštite koji je mnogo mnogo restriktivniji.
 
Firewall ne može tu ništa, konekcije (ako već nije sve spakovano u mail) idu preko regularnih programa, ali antivirus bi trebao da detektuje maliciozni kod.Koji antivirusi su bili u pitanju?
 
Fajevol bi morao da detektuje neželjeni saobraćaj. AVP - Symantec korporativni.
Eksperimentisao sam na jednom netbuku sa aktiviranim MalwareBytesom (konstantno) u kombinaciji sa Avastom, pa Kasperskim, pa Comodom...pa kombinacijom...
Situacija je bila dosta ozbiljna, srećom što je predupređeno na vreme - fizičkim prekidom konekcije i momentalnim gašenjem računara.
 
Imam CryptoPrevent instaliran cisto kao prva linija zastite pored ESET Smart Security i Pande za fleske, ali ovo mi nije palo na pamet.

Koristim Word 2003 iz navike, pa posto ne postoji disable svega, pretpostavljam da ovo radi isti posao?

31312.jpg
 
I tako, ali onda ako koristiš neki makro treba da uključiš-isključiš ... zaboravio sam tačno :)
Untitled-1.jpg

Ima na TED talk-u predavanja, James Lyne iz Sophosa, i starijih i novijih datuma... u jednom se dotiče i ransomware.
 
@BokiPK
Preuzimanje (ako ceo malware nije već bio na mail-u) se tu vrši iz samog browser-a na klik, zato nema neželjenog saobraćaja i fw ne prijavljuje ništa. Antivirus bi trebao da tu zaštiti, meni se dešavalo da Bitdefender blokira takve stranice. Ovo je naravno za situacije kada se koristi webmail, ali i za zaseban mail klijent bi trebalo da bude isto. Očekivao sam da će i Kaspersky to da blokira. Moguće je i da je to bio neki novi slučaj koga još nije bilo u bazi.
 
Samo što se pojavio, varijanta Zepto. Bio je manje od tri nedelje aktuelan na svetskom nivou.
 
Ne , nisam imao nikakav antivirus. Brze mi radi racunar bez njega , e sad da li bi i koliko to pomoglo da sam imao ne znam, ali u svakom slucaju nebi sigurno odmoglo...
 
Ljudi ovo mi se upravo desilo...Cryptuje mi foldere i menja ekstenszije slika fajlova i td. Nemam pojma o cemu je rec molim za hitan savet!
Hvala unpared.
Slike su u pitanju to mi je najvaznije ovo sve drugo manje vise.
 
Nazad
Vrh Dno