CTB-Locker, cryptolocker i inne...

Witam!

Ja sami wiecie coraz częściej mamy do czynienia z tego typu sprawami, zarówno ja jak i firmy z którymi współpracuję rozkładają ręce.
Pojawia się jednak światełko w tunelu.

http://pclab.pl/news63275.html
https://decryptcryptolocker.com/
https://noransom.kaspersky.com/

Czytając artykuły można odnieść wrażenie, iż walka z tymi zagrożeniami dopiero się zaczyna.
W związku z powyższym proponowałbym stworzenie chmury, FTP'a lub innego wirtualnego dysku na którym umieścimy sample zaszyfrowanych danych.
W momencie kiedy pojawi się nowe narzędzie do deszyfracji danych, możemy próbować sobie pomóc.
Warunkiem jest jak najdokładniejsze określenie rodzaju oprogramowania szyfrującego - np. CTB-Locker.

Na tą chwilę próby odzyskania danych sprawdzają się w niewielkim procencie i sprowadzają się do użycia programów do odzyskiwania usuniętych danych typu Photorec, r-studio itp. ShadowCopies lub jak kto woli "poprzednie wersje" są już przez niektóre zagrożenia skutecznie usuwane. To samo dotyczy punktów przywracania systemu, w których mogłyby zachować się jakieś ważne dane.

Obecnie klientom proponujemy zarchiwizowanie zaszyfrowanych danych i niestety czekanie na cud, który może się zdarzy

Jakie macie doświadczenia w temacie?

Właśnie dostałem maila od G-Data :
http://us6.campaign-archive1.com/?u=c55 ... cb4b04f06c

Temat zbieżny, bo także chodzi o ransomware - tutaj piszą akurat o Crypt0L0cker.
Ja akurat już otrzymałem takie maile, których nadawcą rzekomo była Poczta Polska - ale że nie były wiarygodne, to zostały od razu usunięte.

Co do doświadczenia - znikome
Raz miałem komputer zainfekowany tym "czymś" - z odliczającym zegarem na środku ekranu.
Pofarciło się, bo klient miał niedawno wymieniany dysk i zgodnie z zaleceniem odebrał i zachował "stary" (trochę bad sektorów).
Dlatego lwią część danych odzyskałem z tego dysku.
Ale teraz "po nauczce" klient ów często robi kopię bezpieczeństwa.

Ja miałem ostatnio Crypt0L0cker i czekam, dane klienta mam na serwerze.
https://decryptcryptolocker.com/ stronka ta, na razie tego nie łyka.
Ważna rzecz, aby prywatne serwery do backupów, nie mapować jako dysk pod Windows-em. Te trojany obsługują tylko na szczęście, w nieszczęściu systemy okienek.

Ciekawe na ile wiarygodne są te informacje ?
http://www.dobreprogramy.pl/Locker-Unlo ... 63456.html

Niestety nie mam żadnych zaszyfrowanych plików...

http://www.bleepingcomputer.com/forums/ ... -released/

link do programu, ponoć deszyfrującego lockera

U mnie aplikacja z linku wyżej nie trawi plików zaszyfrowanych Crypt0L0cker-em. Po użyciu funkcji Brute BTC i wskazaniu pliku, program się zawiesza. Maszyna na systemie Windows 7x64.
Muszę jeszcze sobie poszukać adres bitcoina, bo kiedyś zakładałem i sprawdzę jeszcze raz, a jak to nie pomoże, to czekam dalej.

Kaspersky na swojej stronie https://noransom.kaspersky.com/ dodał ponad 14 000 nowych kluczy deszyfrujących.

To tak informacyjnie...

Po kolei będziemy sprawdzać czy pasuje któryś?

Witam,

Wczoraj dostałem pacjenta z najnowszą wersją z 16/01/2016 croyptolocker-a z rodziny ransomware. TeslaCrypt3.0. szyfruję kluczem RSA-4096 i zamienia rozszerzenia prywatnych plików na *.MICRO. Oczywiście wszystkie dyski w lokalnej sieci jak i komputery zostały zainfekowane, w mojego klienta przypadku dysk sieciowy 2Tb. ;( Będę próbował odzyskać dane na próbę z laptop ale wątpię by to coś dało. Puki co backup danych i cierpliwe czekanie na rozwój sytuacji.

Tutaj link do obecnych prac nad rozpracowaniem tej wersji, poprzednie ponoć już do odszyfrowania.

http://www.bleepingcomputer.com/news/se ... xtensions/

EDIT:

Narzędzie do odszyfrowywania plików wcześniejszych wersji TeslaCrypt: http://download.bleepingcomputer.com/Bl ... ecoder.zip

Udało się koledze odszyfrować pliki zaszyfrowane nową wersją tesli?

W DE jest tego bardzo dużo, szczególnie rozpowszechnia się TeslaCrypt z rozszerzeniem .vvv.
zamieszczam jeden plik zaszyfrowany.

Plik ( zdjęcie ) spakowane WinRar-em.

CIMG4004.JPG.rar

Do mnie trafiają regularnie takie przypadki. Ostatnio nowa wersja Tesli. Rozszerzenia plików to *.micro.

Odszyfrowywałem Tesle v2 z rozszerzeniem .vvv wg informacji z 9 postu i udało się.
Klucz generował się około 13 godzin na 8 wątkowym i7.

Witam.
Właśnie dostałem laptopa z zaszyfrowanymi plikami .locky. Udało się komuś w jakiś sposób to ruszyć?

http://www.welivesecurity.com/2016/05/1 ... ansomware/

Deszyfrator dla teslacrypt v3 i v4.