CryptoWall problem

T

Tomas

Pripravnik

6. avg 2007

527

15

18

• 30. nov 2015

• #1

Pri stranki sem naletel na Cryptowall. Nima sicer nobenih pomembnih stvari, nekaj mailov in naslove, ostalo ima na drugih particijah. Ali je komu uspelo rešiti kriptizirane file?

 

T

tony

Guru

23. jul 2007

9.678

1.488

113

• 30. nov 2015

• #2

Uporabi google, če so ga slučajno že razbili.

Predvsem pa poskrbi, da boš preprečil okužbe v prihodnosti. Ena od rešitev, ki se za to uporablja so boljše požarne pregrade.

 

erikson

Guru

25. avg 2007

22.398

6.166

113

• 1. dec 2015

• #3

Trenutno je edina rešitev plačilo odkupnine. Eno datoteko lahko odkodiraš brezplačno.

SI-CERT 2015-04 / Val prijav okužb z izsiljevalskim virusom TeslaCrypt 2.0

Izogibajte se odpiranju priponk, ki so jih poslali neznanci, ali pa ne poznate razloga, zakaj ste priponko prejeli. Če ste v dvomih in pošiljatelja poznate, se prej pozanimajte, ali je res on pošiljatelj.

Uredite si izdelovanje varnostnih kopij računalnika, ali ročno občasno skopirajte podatke na zunanjo enoto, ki ni stalno priklopljena.

Odšifriranje datotek brez zasebnega ključa, ki ga imajo v lasti le storilci, ni mogoče. Podatke lahko povrnete iz varnostnih kopij, storilci pa v dokaz, da res posedujejo šifrirni ključ, omogočajo odšifriranje ene izbrane datoteke.

 

N

ngc2392

Guru

4. okt 2007

2.177

512

113

kranj

• 1. dec 2015

• #4

sem bral nekaj dni nazaj na eni strani, da ga še niso razvozlali

sem imel podoben primer, le da ni najnovejši crypto...

 

D

Daniel

Guru

21. dec 2007

5.717

3.333

113

• 1. dec 2015

• #5

Ravno zadnjič sem dobil mail od človeka, ki ga ne poznam. Prazna stran, samo datum zapisan in priponka love.zip. Romalo direktno v koš, me pa zanima če je kateri od drugih prejemnikov odprl (jih je bilo kar nekaj navedenih).

 

M

mckmck

Fizikalc

20. mar 2013

525

200

43

• 1. dec 2015

• #6

Zadeva je trenutno nerešljiva. Pri rešitvi ti pomaga le:
- Backup
- Lastna pamet kaj odpirati in kaj ne

 

T

tony

Guru

23. jul 2007

9.678

1.488

113

• 1. dec 2015

• #7

Citat:
Uporabnik ngc2392 pravi:
sem bral nekaj dni nazaj na eni strani, da ga še niso razvozlali

sem imel podoben primer, le da ni najnovejši crypto...

Klikni za razširitev

Ja, tako je to. Internet je vsak dan bolj nevaren plac. Jamranje nam tu ne bo veliko pomagalo...

Če imaš v računalnikih zapisane stvari, ki so ovrednotene s zaresnim denarjem, je modro razmisliti o preventivi.

Prava preventiva za cryptolockerje je orodje, ki pregleduje ves tvoj promet v internet (tudi z SSL inšekcijo), zazna botnet promet cryptolockerjev in ustavi njegovo komunikacijo, še preden ta s spleta naloži šifrirne ključe s katerimi hoče zašifrirati podatke.

 

N

ngc2392

Guru

4. okt 2007

2.177

512

113

kranj

• 1. dec 2015

• #8

hudič je, ker ne vem, kje ga stakneš (oziroma ga stranke staknejo...). sumim pač (kot berem) preko starejšega java vtičnika, flash vtičnika, e-pošte...ne vidim enega vzorca.
drugače naj bi bil za trotl zaščito tudi programček crypto prevent, ki zaščiti ključne datoteke sistema pred "prevzemom" s strani virusa. poročajo, da je uspešen oz. zadovoljivo ščiti računalnik. seveda, lastna pamet še vedno največ pripomore k zaščiti. čeprav včasih tudi to ne pomaga.
magična beseda bo vedno bolj backup.

 

T

tony

Guru

23. jul 2007

9.678

1.488

113

• 1. dec 2015

• #9

Staknejo ga preprosto zato, ker so neuki uporabniki in povezani v internet.

Lažje je vmes dati škatlo, ki nesnago ustavi, kot pa userje naučiti pameti...

 

erikson

Guru

25. avg 2007

22.398

6.166

113

• 1. dec 2015

• #10

Citat:
Uporabnik Daniel pravi:
Ravno zadnjič sem dobil mail od človeka, ki ga ne poznam. Prazna stran, samo datum zapisan in priponka love.zip. Romalo direktno v koš, me pa zanima če je kateri od drugih prejemnikov odprl (jih je bilo kar nekaj navedenih).

Klikni za razširitev

To je to.

V zipu je datoteka info.js, ki sname program za kriptiranje.

Danes se širi nova verzija s priponko img.zip in vsebuje image.js.

 

erikson

Guru

25. avg 2007

22.398

6.166

113

• 1. dec 2015

• #11

Slaba polovica programov ga zazna.

 

F

Fusion

Fizikalc

1. okt 2007

13.448

3

38

• 2. dec 2015

• #12

1. če zaklene tudi slike, katere imaš recimo backupirne v oblak, drugi disk... Ali bo backup program zanal sprememebe v fajlu in še te zaklenjene začel backupirat? Po možnosti prepisovat stare backupe?

2. kako preprečit, da uporabnik sploh ne more zagnat .exe? Ker virus je danes v zipu, jutri bo v powerpointu... Pošiljatel pa bo tudi kmalu ratal znana oseba... tko da ne uke uporabnike učit kaj lahko in kaj ne je kr malo ne mogoče.

 

MrDaco

Guru

11. sep 2007

11.781

5.932

113

• 2. dec 2015

• #13

V priponki je samo link do strani, iz koder se zažene Java skript, ki zgenerira .exe file... Torej uporabniku ne moreš preprečit da klikne exe file ker ga ne more in ga ne. Klikne samo na link.

 

F

Fusion

Fizikalc

1. okt 2007

13.448

3

38

• 2. dec 2015

• #14

ampak te exe se mora prenest na pc in sam sebe zagnat?

 

MrDaco

Guru

11. sep 2007

11.781

5.932

113

• 2. dec 2015

• #15

Ne prenese se na PC ampak se na njem zgenerira. Kriptirni postopek pa je del Windowsov zato imajo veliko antivirusov s temi kriptolocki problem.
Ne vem kako se obnaša zadnji build Win10, kjer so kriptiranje izklopili (razen če si imel pred updejtom namensko aktivnega na katerem od diskov).
Na mizi imam notebook, za posodoblenim Sophosom, ki je by the way označen z zeleno kljukico na zgornji tabeli in ga je uporabnik vseeno fasal. Tako da močno dvomim v zgornjo tabelo.
Moj predlog je samo... usb disk za backup podatkov in priklopljenim samo takrat ko se backapira, in ne non stop. Ni druge.... sledi pa seveda frišna instalacija windowsov.

 

Nazadnje urejeno: 2. dec 2015

erikson

Guru

25. avg 2007

22.398

6.166

113

• 2. dec 2015

• #16

Zelena kljukica pomeni, da ga program ne prepozna (ga ima za varnega).

 

erikson

Guru

25. avg 2007

22.398

6.166

113

• 2. dec 2015

• #17

Citat:
Uporabnik Fusion pravi:
1. če zaklene tudi slike, katere imaš recimo backupirne v oblak, drugi disk... Ali bo backup program zanal sprememebe v fajlu in še te zaklenjene začel backupirat? Po možnosti prepisovat stare backupe?

Klikni za razširitev

Zaklenjene datoteke so preimenovane (dobijo podaljšek s tremi črkami), tako da jih ne povozi.

Problem je lahko sinhronizacija - ker datotek ni več, se lahko ob sinhronizaciji pobrišejo tudi v oblaku.

 

T

tin01

Pripravnik

31. okt 2007

418

17

18

• 2. dec 2015

• #18

Nekaj se je dalo resit s Shadow Explorerjem. Predvsem prejsnje verzije (2.0, 3.0). Ne vem kako je z novo verzijo (4.0). Se en nasvet : pri Shadow Explorerju moras "restavrirat" direktorij po direktorij - ne celega diska naenkrat ! Sam malware pa odstanis s Hitmanom ali Malwarebytes.

http://www.shadowexplorer.com/downloads.html

Tin

 

T

tin01

Pripravnik

31. okt 2007

418

17

18

• 2. dec 2015

• #19

Se malo branja za tole tezavo

http://deletemalware.blogspot.si/2015/01/how-to-remove-cryptowall-30-virus-and.html

 

I

igi

Guru

13. okt 2007

5.608

1.207

113

Celje

• 2. dec 2015

• #20

OK, ampak a se se da kaj narediti v primeru, da uporabljam OneDrive od MIcrosofta (poslovni paket je radodaren s prostorom) in imam dokumente sinkane v oblak in še na 2 drugi mašini? Se da kakšno verzioniranje vklopiti?

Itak uporabljam USB disk spravljen v omari, vendar sem malce prelen in zadnje podatke imam dejansko samo na mašini in v oblaku...