Pokud se rozhodnete odstranit tiskárnu ze systému Windows a po jejím odebrání se tiskárna opět objeví mezi tiskárnami tak jednou z možností, jak se jí zbavit je vymazáním ji z registrů.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Printers
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\ - tady musíš najít správné třídy podle názvu tiskárny
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Environments
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum - opět hledat podle názvu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles - zase hledat podle názvu
HKEY_CURRENT_CONFIG\SYSTEM\CurrentControlSet\Control\Print\Printers

Odstranění souborů ve složce spool (tiskové fronty)

Zastavte Služba zařazování tisku. Otevřete složku %WINDIR%\system32\spool\printers a smažte všechny soubory v ní obsažené.

Případně přes příkazový řádek s oprávněním správce:

net stop spooler
del /Q /S c:\windows\system32\Spool\Printers\*.*
net start spooler

Odstranění ovladačů ze systému

Spustit příkazový řádek cmd s administrátorskými právy. Spustit příkaz

 printui /s /t2

a potvrdit klávesou enter. Ze seznamu vybrat požadovaný ovladač a vybrat Odebrat ovladač a balíček. Potvrďte všechny hlášky a zavřete Tiskový server. Tím jste dokončili odebrání ovladačů. Pokuzd by ovladač nešel odstranit, tak ovladač používá jiná tiskárna nebo jste tiskárnu zapomněli odebrat ze seznamu zařízení.

Případně, lze vyzkoušet odebrat ovladače pomocí postupu pokud nelze nainstalovat ovladač pro tiskárnu HP.

Každý vir má jiné chování, proto nelze doporučit ideální postup jak se při nákaze zachovat. Lze jen snížit riziko a zmenšit škody. Nakonec se budete muset rozhodnout co je v daném okamžiku menší zlo. Každá z operací může způsobit nenávratné poškození dat. Všechny úkony provádíte na vaše vlastní riziko a odpovědnost. Stránka obsahuje odkazy na webové stránky provozované třetími stranami, není v našich silách kontrolovat obsah.

V článku najdete popis jednotlivých virů, odkazy na stránky věnující se problematice ransomware a rady pro odšifrování souborů.

Obecné doporučení

Neklikat na podezřelé přílohy v emailu a vyhnout se podezřelým stránkám (warez, porno). Jak postupovat v případě, že obdržíte emailem podezřelou přílohu se dočtete v článku Doporučení při otevírání zavirovaných emailových příloh.

V případě, že jste rozklikli podezřelý soubor, tak jej otestujte pomocí služby www.virustotal.com. Pokud služba vyhodnotí soubor jako bezpečný, ještě nemusí být vyhráno. Pokud jste v první vlně šíření viru. tak nemusí antiviry detekovat nový ransomware.

Pokud v PC pozorujete jakoukoliv podezřelou činnost budete se muset rozhodnout jestli PC vypnete nebo necháte běžet. V případě vypnutí PC zabráníte dalšímu šifrování dat. Zároveň tím znemožníte případnému obnovení šifrovacího klíče z paměti počítače. Ideálně by bylo vhodné před vypnutím udělat výpis paměti do souboru. Nebo PC uvést do režimu spánku.

Odpojit PC od počítačové sítě aby nedošlo k nakažení dalších počítačů.

Svěřit nakažený PC do odborných rukou.

Koupit nový disk a obnovit na něj data ze zálohy (ideálně offline záloha). Starý HDD nechat pro případnou obnovu pomocí dekryptoru. V případě, že nemáte zálohu bezpečně překopírovat neinfikované a nezašifrované soubory na nový disk.

Před spuštěním decryptoru, ať zakoupeného od útočníků nebo zdarma od antivirových společností zazálohovat šifrované data.

Nespoláhat na testování podezřelých souborů ve virtuálním prostředí nemusí být vždy účinné. Některé viry detekují procesy, které jsou jedinečné ve virtuálního prostředí. Pokud tyto procesy naleznou, tak se nemusí aktivovat škodlivé funkce viru.

Aktualizace 28.7. 2017

Webová služba pomocí které dokážete přesně identifikovat ransomware. Stačí nahrát zašifrovaný soubor na stránku https://id-ransomware.malwarehunterteam.com/

Aktualizace 24.5. a 15.5. 2017 – WanaCrypt0r

Popis zneužité chyby virem WanaCrypt0r a odkazy na stažení aktualizací pro MS nepodporované operační systémy WinXP, Server 2003.

Pokud nerestartujete PC, měly by jít soubory dekódovat pomací návodu na těchto stránkách:
http://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html
https://blog.malwarebytes.com/cybercrime/2017/05/wannadecrypt-your-files/

Údajně se firmě QuarksLab podařilo zjistit šifrovací klíč a nyní testuje dekomprimátor na Wanna Cry s názvem WannaKey. Dokud nebude dokompilátor zveřejněn, tak bych na tyto prohlášení moc nedal.

Další odkazy:
https://www.viry.cz/masivni-ofenziva-ransomwaru-wanacrypt0r/
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx?f=255&MSPPError=-2147217396
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Aktualizace 15.3. 2017 – Crysis

Dekryptor pro ransomware Crysis od společnosti Eset. V článku najdete popis použítí aplikace https://servis.eset.cz/Knowledgebase/Article/View/635/0/jak-pouzit-nastroj-eset-crysis-decrypter-pro-desifrovani-dat?utm_source=newsletter&utm_medium=mailing&utm_campaign=np99&utm_content=crysis#.WMl4U6KmmM_

 

Aktualizace 11.10. 2016 – Polyglot

Nové utility pro bezplatné dešifrování dat:
https://www.helpnetsecurity.com/2016/10/04/polyglot-ransomware-decryption-tool-released/ (článek)
https://noransom.kaspersky.com/ (odkaz na stránku s dekryptory)
https://www.nomoreransom.org/decryption-tools.html (odkaz na stránku s dekryptory)
http://media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.zip (verze Polyglot)
http://support.kaspersky.com/viruses/utility

Aktualizace 20.5. 2016

Nová verze šifrovacího viru http://www.servis-zlin.eu/clanky/cryptlocker-aneb-varianta-makler199011gmail-com/

Byl zveřejněn master klíč pro šifrování souborů virem ransomware Teslacrypt. Díky tomu jsou dostupné decodery:

http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/

http://www.welivesecurity.com/2016/05/18/eset-releases-decryptor-recent-variants-teslacrypt-ransomware/

Aktualizace 13.4. 2016

Další verze šifrovacího viru s názvem Petya. Tentokrát nešifruje soubory, ale zakóduje celou tabulku MFT. Zašifrované data lze bezpaltně obnovit pokud zadáte 512 byte ze sektoru 55 a 8 byte ze sektoru 54 do formuláře na stránce https://petya-pay-no-ransom-mirror1.herokuapp.com/

Více informací na:
http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
http://www.viry.cz/petya-virus-nesifruje-jen-dokumenty-sifruje-rovnou-cely-disk/

Aktualizace 4.4. 2016

Firma Bitdefender zveřejnila nástroj pro prevenci před nakažením nejznámějšími variantami šifrovacích virů jako jsou  Locky, CTB-Locker a TeslaCrypt. Více informací najdete na stránce výrobce https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vaccine-released/

Odkaz na návod, který u některých starších virů typu Ransomware může pomoct s dešifrováním souborů http://malwarefixes.com/remove-locky-ransomware-and-decrypt-files/

Aktualizace 25.2. 2016

Nová verze cryptovacího viru. Tentokrát přepíše obvyklé soubory na příponu MP3. Více informací zatím nemáme.

Vir Locky aneb další vir z rodiny filecoder. Více informací o něm se dočtete na adrese http://www.viry.cz/supervirus-locky-co-zase-tak-super-neni/

Na soubory zakódované staršími verzemi Cryptolockeru můžete vyzkoušet decryptovací program od firmy Kaspersky, který je ke stažení na adrese https://noransom.kaspersky.com/.

Aktualizace 13.10. 2015

Vyšla další varianta vymahačského softwaru. Tentokrát se cena vyšplhala na cca 4000 Euro. Komunikace probíhá na kontaktních schránkách sos@decryptfiles.com, zuza@protonmail.com a BitMessage BM-NBemdRuEEVcaEgSenoQGVZpC9dm8Ycxn, což schránky s vysokou anonimitou. Pro představu o anonymitě služby protonmail najdete na adrese:
http://www.spajk.cz/protonmail-bezpecny-a-sifrovany-email/#more-181

Pokud se někomu podařilo odhalit, jakým způsobem se podařilo útočníkovi napadnout počítač a spustit na něm šifrování, prosím o podělení se s touto informací přes kontaktní formulář. Případně se v anketě podělte, jaký jste měli nainstalovaný antivirový program.

Pokud máte ve Windows zaplé Shadow kopie a zároveň je vir nesmazal, tak pro obnovu dat můžete použít stejně jako u předchozích verzí program:
http://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe

Více informací najdete na adrese:
www.comment-supprimer.com/sosdecryptfiles-com/

Původní článek k ransomware Cryptolocker

Už několik dní se vyskytuje česká varianta viru Cryptolocker.

Tento vir se vyznačuje tím, že zašifruje na všech lokálních, síťových (serverech, datových uložištích) i USB discích dokumenty (office, txt), databázové soubory (db, dbi, dbx), obrázky (jpg, cdr, psd, raw), CAD soubory, certifikáty a mnoho dalších formátů.

U této verze nejde použít nástrojů pro dešifrování. Proto lze data obnovit pouze ze zálohy, nebo pomocí recovery programů na smazaná data.*  U recovery programů není zajištěna 100% obnova dat. Autoři viru nabízejí po zaplaceni necelých 11 000Kč obnovu dat. Bohužel nikde není psané, že dešifrovací klíč dostanete a navíc sponzorujete vývoj tohoto viru. Další problém s obnovou vznikne, pokud dojde k odstranění zavirovaného souboru antivirovým programem. Následná obnova dat nemusí být možná ani po obdržení kódu.

Cryptologer napodobuje email o sledování zásilky českou poštou. Odkaz směřuje na podvrženou stránku cs-posta24.org napodobující web České pošty. Po vyplnění formuláře stránka nabídne stažení souboru zip, ve kterém je infikovaný soubor.

Pokud se vám podaří infikovaný soubor otevřít okamžitě vypněte PC a odvirujte počítač. Tím omezíte škody na minimum. Samotné odvirování počítače není složíté a zvládne i pokročilý uživatel.

Obzvlášť v kombinaci s blížícími se vánočními nákupy je riziko otevření zavirované přílohy mnohonásobně vyšší. Kdo by nechtěl vědět kde se toulá objednaný Vánoční dárek.

Proto nikdy neotvírejte přílohy s příponou EXE, CRS, COM, BAT pokud si nejste jisti její pravostí.

* Recovery programy naleznou smazané soubory, ale ty jsou již v zašifrované podobě. Od zobrazených zašifrovaných souborů se liší tím, že na konci souboru jsou přidaná další data. Pravděpodobně jde veřejný klíč.

Novější informace o šifrovacím viru najdete v článku http://www.servis-zlin.eu/clanky/cryptlocker-aneb-varianta-makler199011gmail-com/

Vytvoření bitcoinové peněženky a přeposlání platby

Pokud se rozhodnete zaplatit, tak zde najdete návod jak nejjednodušeji založit Bitcoinovou peněženku a převést do ní peníze. Před platbou doporučuji (spíše považuji za nutnost) vyzkoušet rozšifrovat soubor na stránkách útočníků. Tím si ověříte že opravdu vlastní klíč pro dešifrování souborů. Pokud tuto možnost útočníci nenabízí, riziko nezískání dešifrovacího programu se výrazně zvyšuje. Při převodu z CZK na BTC nezapomeňte vyměnit zhruba o 10Kč navíc na poplatek za převod. U peněženky Electrum je minimální poplatek 0.0002BTC což je při dnešním kurzu zhruba 2Kč.

Stažení dešifrovacího programu

Po provedení převodu na peněženku útočníka dojde v řádu sekund ke spárování platby. Poté stačí kliknout na stránkách útočníka na tlačítko „Ověřte platby“. Následně stránka nabídne ke stažení program. Po spuštění staženého programu dojde k dešifrování dat.

Více informací:
http://www.viry.cz/sledovani-zasilky-ceske-posty-aneb-nova-havet/
http://www.zive.cz/bleskovky/cerv-cryptolocker-vam-zasifruje-soubory-a-pokud-nezaplatite-smaze-klic/sc-4-a-171005/default.aspx
http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99&tabid=2
http://www.symantec.com/connect/articles/recovering-ransomlocked-files-using-built-windows-tools
http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/
http://www.welivesecurity.com/2013/12/19/cryptolocker-2-0-new-version-or-copycat/

Utility pro starší verze:
https://www.decryptcryptolocker.com/
https://www.decryptcryptolocker.com/Decryptolocker.exe
http://download.bleepingcomputer.com/Nathan/TorrentUnlocker.exe

Odkazy na odeslání podezřelého vzorku:
https://secure.avg.com/submit-sample
https://servis.eset.cz/Tickets/Submit/RenderForm/22

Povolení nebo zakázání pokročilého startu WIndows přes klávesu F8

Pomocí bcdedit vypíšeme obsah BCD. Z výpisu nás zajímá proměnné default, identifier a description.

výpis BCD
bcdedit
pokud je BCD na jiném disku
bcdedit E:\boot\BCD /enum
nastavení zobrazení nabídky
bcdedit /set {identifier} bootmenupolicy Legacy
kde identifier nahradíme aktuálním identifikátorem např.
bcdedit /set {current} bootmenupolicy Legacy
na jiném disku
bcdedit /set {default} bootmenupolicy Legacy /store E:\boot\BCD
nabídku F8 zakážeme
bcdedit /set {current} bootmenupolicy Standard

Více na https://www.tenforums.com/tutorials/22455-enable-disable-f8-advanced-boot-options-windows-10-a.html

Případně pokud kliknete na Vypnout/Restartovat společně se stisklou klávesou SHIFT.

Pomocí příkazu msconfig.exe, kde na záložce Spuštění počítače (Boot) zaškrkneme v Možnostech spuštení (Boot options) hodnoty Bezpečné spuštění (Safe boot) a Minimální (Minimal) .

Windows 10 při chybném standartním spuštění se automaticky přepnou do nabídky ve které vyberete odstranit potíže a následně kliknete na nouzový režim. Čili tvrdé vypnutí počítače během spuštění Windows. Toto řešení může spůsobit více problémů než užitku.

Některé počítače notebooky mají speciální tlačítko pro spuštění nouzového režimu případně občas funguje po startu podržet tlačítko reset.

Pokud systém využívá UEFI BIOS & SSDs tak nefunguje stisknutí klávesy F8 a je nutné použít některý z předešlých postupů.

Zobrazení startovacího menu (výběr instance)

Spustit s Administrátorským oprávněním příkazový řádek. Zadat příkaz:

//zobrazit startovací menu (výběr OS)
Bcdedit /set {bootmgr} displaybootmenu yes

//zakázat zobrazení menu
Bcdedit /set {bootmgr} displaybootmenu no

Potvrdit klávesou Enter na klávesnici. Potřebujete-li zrušit výzvu a zadat možnosti při spuštění, stačí místo Yes zadat No.  Kliknout pravým tlačítkem myši na Tento počítač. Vybrat Vlastnosti>Upřesnit vlastnosti systému.

V záločce Upřesnit ve Spouštění a zotavení systému kliknout na Nastavení a v možnosti spouštění systému zaškrknout Doba zobrazení seznamu operačních systémů a nechat hodnotu na 30 sekundách.

http://support.microsoft.com/kb/2809468/cs
https://servis.eset.cz/knowledgebase/article/View/74/0/jak-spustit-system-windows-v-nouzovem-rezimu#win8

Spuštění nouzového režimu z příkazové řádky

Nouzový režim - Enable Safe Mode:
bcdedit /set {default} safeboot minimal

Nouzový režim se sítí - Enable Safe Mode with Networking:
bcdedit /set {default} safeboot network

Nouzový režim s příkazovým řádkem - Enable Safe Mode with Command Prompt:
bcdedit /set {default} safeboot minimal
bcdedit /set {default} safebootalternateshell yes

Ukončení nouzového režimu - Disable Safe Mode
bcdedit /deletevalue {default} safeboot

Pokročilé spuštění Windows pomocí příkazu shutdown

//rozšířené spuštění
shutdown /r /o /t 0
//po restartu se spustí BIOS UEFI
shutdown /fw /r /t 0

Výpis bcd z jiného disku

bcdedit /store E:\boot\BCD /enum

Uživatelé, kteří si zakoupili Windows 8/8.1 ve verzi Pro, můžou provést downgrade na verzi Windows 7 Pro.

Co budeme potřebovat a musíme udělat:

1) Mít nainstalovaný operační systém Windows 8/8.1 Pro na počítači na kterém budeme provádět downgrade
2) Opsat si ID produktu z nainstalovaných Windows 8/8.1 Pro
3) Instalační médium Windows 7 Pro a instalační klíč (zajišťuje si uživatel sám)
4) Zavolat na aktivační linku Microsoft 800 100 074 nebo 225 990 844

Pro splnění licenčních podmínek musí při aktivaci doložit ID Windows 8/8.1 Pro, produktový klíč Windows 7 Pro, produktový klíč Windows 7 Pro,

Kde najdu ID systému

Pravým tlačítkem klikneme na ikonu „Tento počítač“ a vybereme „Vlastnosti“, případně Start>Ovládací panely>Systém a zabezpečení>Systém. Úplně dole na této obrazovce najdeme ID produktu.

http://www.sevenforums.com/tutorials/91738-windows-update-reset.html