Šifrovací ransomware, aneb vir který znepřístupní data

Každý vir má jiné chování, proto nelze doporučit ideální postup jak se při nákaze zachovat. Lze jen snížit riziko a zmenšit škody. Nakonec se budete muset rozhodnout co je v daném okamžiku menší zlo. Každá z operací může způsobit nenávratné poškození dat. Všechny úkony provádíte na vaše vlastní riziko a odpovědnost. Stránka obsahuje odkazy na webové stránky provozované třetími stranami, není v našich silách kontrolovat obsah.

V článku najdete popis jednotlivých virů, odkazy na stránky věnující se problematice ransomware a rady pro odšifrování souborů.

Obecné doporučení

Neklikat na podezřelé přílohy v emailu a vyhnout se podezřelým stránkám (warez, porno). Jak postupovat v případě, že obdržíte emailem podezřelou přílohu se dočtete v článku Doporučení při otevírání zavirovaných emailových příloh.

V případě, že jste rozklikli podezřelý soubor, tak jej otestujte pomocí služby www.virustotal.com. Pokud služba vyhodnotí soubor jako bezpečný, ještě nemusí být vyhráno. Pokud jste v první vlně šíření viru. tak nemusí antiviry detekovat nový ransomware.

Pokud v PC pozorujete jakoukoliv podezřelou činnost budete se muset rozhodnout jestli PC vypnete nebo necháte běžet. V případě vypnutí PC zabráníte dalšímu šifrování dat. Zároveň tím znemožníte případnému obnovení šifrovacího klíče z paměti počítače. Ideálně by bylo vhodné před vypnutím udělat výpis paměti do souboru. Nebo PC uvést do režimu spánku.

Odpojit PC od počítačové sítě aby nedošlo k nakažení dalších počítačů.

Svěřit nakažený PC do odborných rukou.

Koupit nový disk a obnovit na něj data ze zálohy (ideálně offline záloha). Starý HDD nechat pro případnou obnovu pomocí dekryptoru. V případě, že nemáte zálohu bezpečně překopírovat neinfikované a nezašifrované soubory na nový disk.

Před spuštěním decryptoru, ať zakoupeného od útočníků nebo zdarma od antivirových společností zazálohovat šifrované data.

Nespoláhat na testování podezřelých souborů ve virtuálním prostředí nemusí být vždy účinné. Některé viry detekují procesy, které jsou jedinečné ve virtuálního prostředí. Pokud tyto procesy naleznou, tak se nemusí aktivovat škodlivé funkce viru.

Jaký antivirový program jste měli nainstalovaný při napadení cryptolockrem?

View Results

Nahrávání ... Nahrávání ...

Aktualizace 28.7. 2017

Webová služba pomocí které dokážete přesně identifikovat ransomware. Stačí nahrát zašifrovaný soubor na stránku https://id-ransomware.malwarehunterteam.com/

Aktualizace 24.5. a 15.5. 2017 – WanaCrypt0r

Popis zneužité chyby virem WanaCrypt0r a odkazy na stažení aktualizací pro MS nepodporované operační systémy WinXP, Server 2003.

Pokud nerestartujete PC, měly by jít soubory dekódovat pomací návodu na těchto stránkách:
http://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html
https://blog.malwarebytes.com/cybercrime/2017/05/wannadecrypt-your-files/

Údajně se firmě QuarksLab podařilo zjistit šifrovací klíč a nyní testuje dekomprimátor na Wanna Cry s názvem WannaKey. Dokud nebude dokompilátor zveřejněn, tak bych na tyto prohlášení moc nedal.

Další odkazy:
https://www.viry.cz/masivni-ofenziva-ransomwaru-wanacrypt0r/
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx?f=255&MSPPError=-2147217396
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Aktualizace 15.3. 2017 – Crysis

Dekryptor pro ransomware Crysis od společnosti Eset. V článku najdete popis použítí aplikace https://servis.eset.cz/Knowledgebase/Article/View/635/0/jak-pouzit-nastroj-eset-crysis-decrypter-pro-desifrovani-dat?utm_source=newsletter&utm_medium=mailing&utm_campaign=np99&utm_content=crysis#.WMl4U6KmmM_

 

Aktualizace 11.10. 2016 – Polyglot

Nové utility pro bezplatné dešifrování dat:
https://www.helpnetsecurity.com/2016/10/04/polyglot-ransomware-decryption-tool-released/ (článek)
https://noransom.kaspersky.com/ (odkaz na stránku s dekryptory)
https://www.nomoreransom.org/decryption-tools.html (odkaz na stránku s dekryptory)
http://media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.zip (verze Polyglot)
http://support.kaspersky.com/viruses/utility

Aktualizace 20.5. 2016

Nová verze šifrovacího viru http://www.servis-zlin.eu/clanky/cryptlocker-aneb-varianta-makler199011gmail-com/

Byl zveřejněn master klíč pro šifrování souborů virem ransomware Teslacrypt. Díky tomu jsou dostupné decodery:

http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/

http://www.welivesecurity.com/2016/05/18/eset-releases-decryptor-recent-variants-teslacrypt-ransomware/

Aktualizace 13.4. 2016

Další verze šifrovacího viru s názvem Petya. Tentokrát nešifruje soubory, ale zakóduje celou tabulku MFT. Zašifrované data lze bezpaltně obnovit pokud zadáte 512 byte ze sektoru 55 a 8 byte ze sektoru 54 do formuláře na stránce https://petya-pay-no-ransom-mirror1.herokuapp.com/

Více informací na:
http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
http://www.viry.cz/petya-virus-nesifruje-jen-dokumenty-sifruje-rovnou-cely-disk/

Aktualizace 4.4. 2016

Firma Bitdefender zveřejnila nástroj pro prevenci před nakažením nejznámějšími variantami šifrovacích virů jako jsou  Locky, CTB-Locker a TeslaCrypt. Více informací najdete na stránce výrobce https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vaccine-released/

Odkaz na návod, který u některých starších virů typu Ransomware může pomoct s dešifrováním souborů http://malwarefixes.com/remove-locky-ransomware-and-decrypt-files/

Aktualizace 25.2. 2016

Nová verze cryptovacího viru. Tentokrát přepíše obvyklé soubory na příponu MP3. Více informací zatím nemáme.

Vir Locky aneb další vir z rodiny filecoder. Více informací o něm se dočtete na adrese http://www.viry.cz/supervirus-locky-co-zase-tak-super-neni/

Na soubory zakódované staršími verzemi Cryptolockeru můžete vyzkoušet decryptovací program od firmy Kaspersky, který je ke stažení na adrese https://noransom.kaspersky.com/.

Aktualizace 13.10. 2015

Vyšla další varianta vymahačského softwaru. Tentokrát se cena vyšplhala na cca 4000 Euro. Komunikace probíhá na kontaktních schránkách sos@decryptfiles.com, zuza@protonmail.com a BitMessage BM-NBemdRuEEVcaEgSenoQGVZpC9dm8Ycxn, což schránky s vysokou anonimitou. Pro představu o anonymitě služby protonmail najdete na adrese:
http://www.spajk.cz/protonmail-bezpecny-a-sifrovany-email/#more-181

Pokud se někomu podařilo odhalit, jakým způsobem se podařilo útočníkovi napadnout počítač a spustit na něm šifrování, prosím o podělení se s touto informací přes kontaktní formulář. Případně se v anketě podělte, jaký jste měli nainstalovaný antivirový program.

Pokud máte ve Windows zaplé Shadow kopie a zároveň je vir nesmazal, tak pro obnovu dat můžete použít stejně jako u předchozích verzí program:
http://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe

Více informací najdete na adrese:
www.comment-supprimer.com/sosdecryptfiles-com/

Původní článek k ransomware Cryptolocker

Už několik dní se vyskytuje česká varianta viru Cryptolocker.

Tento vir se vyznačuje tím, že zašifruje na všech lokálních, síťových (serverech, datových uložištích) i USB discích dokumenty (office, txt), databázové soubory (db, dbi, dbx), obrázky (jpg, cdr, psd, raw), CAD soubory, certifikáty a mnoho dalších formátů.

U této verze nejde použít nástrojů pro dešifrování. Proto lze data obnovit pouze ze zálohy, nebo pomocí recovery programů na smazaná data.*  U recovery programů není zajištěna 100% obnova dat. Autoři viru nabízejí po zaplaceni necelých 11 000Kč obnovu dat. Bohužel nikde není psané, že dešifrovací klíč dostanete a navíc sponzorujete vývoj tohoto viru. Další problém s obnovou vznikne, pokud dojde k odstranění zavirovaného souboru antivirovým programem. Následná obnova dat nemusí být možná ani po obdržení kódu.

Cryptologer napodobuje email o sledování zásilky českou poštou. Odkaz směřuje na podvrženou stránku cs-posta24.org napodobující web České pošty. Po vyplnění formuláře stránka nabídne stažení souboru zip, ve kterém je infikovaný soubor.

Pokud se vám podaří infikovaný soubor otevřít okamžitě vypněte PC a odvirujte počítač. Tím omezíte škody na minimum. Samotné odvirování počítače není složíté a zvládne i pokročilý uživatel.

Obzvlášť v kombinaci s blížícími se vánočními nákupy je riziko otevření zavirované přílohy mnohonásobně vyšší. Kdo by nechtěl vědět kde se toulá objednaný Vánoční dárek.

Proto nikdy neotvírejte přílohy s příponou EXE, CRS, COM, BAT pokud si nejste jisti její pravostí.

* Recovery programy naleznou smazané soubory, ale ty jsou již v zašifrované podobě. Od zobrazených zašifrovaných souborů se liší tím, že na konci souboru jsou přidaná další data. Pravděpodobně jde veřejný klíč.

Novější informace o šifrovacím viru najdete v článku http://www.servis-zlin.eu/clanky/cryptlocker-aneb-varianta-makler199011gmail-com/

Vytvoření bitcoinové peněženky a přeposlání platby

Pokud se rozhodnete zaplatit, tak zde najdete návod jak nejjednodušeji založit Bitcoinovou peněženku a převést do ní peníze. Před platbou doporučuji (spíše považuji za nutnost) vyzkoušet rozšifrovat soubor na stránkách útočníků. Tím si ověříte že opravdu vlastní klíč pro dešifrování souborů. Pokud tuto možnost útočníci nenabízí, riziko nezískání dešifrovacího programu se výrazně zvyšuje. Při převodu z CZK na BTC nezapomeňte vyměnit zhruba o 10Kč navíc na poplatek za převod. U peněženky Electrum je minimální poplatek 0.0002BTC což je při dnešním kurzu zhruba 2Kč.

2014_electrum_07

Stažení dešifrovacího programu

Po provedení převodu na peněženku útočníka dojde v řádu sekund ke spárování platby. Poté stačí kliknout na stránkách útočníka na tlačítko „Ověřte platby“. Následně stránka nabídne ke stažení program. Po spuštění staženého programu dojde k dešifrování dat.

Více informací:
http://www.viry.cz/sledovani-zasilky-ceske-posty-aneb-nova-havet/
http://www.zive.cz/bleskovky/cerv-cryptolocker-vam-zasifruje-soubory-a-pokud-nezaplatite-smaze-klic/sc-4-a-171005/default.aspx
http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99&tabid=2
http://www.symantec.com/connect/articles/recovering-ransomlocked-files-using-built-windows-tools
http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/
http://www.welivesecurity.com/2013/12/19/cryptolocker-2-0-new-version-or-copycat/

Utility pro starší verze:
https://www.decryptcryptolocker.com/
https://www.decryptcryptolocker.com/Decryptolocker.exe
http://download.bleepingcomputer.com/Nathan/TorrentUnlocker.exe

Odkazy na odeslání podezřelého vzorku:
https://secure.avg.com/submit-sample
https://servis.eset.cz/Tickets/Submit/RenderForm/22

Pomohl Vám článek a chcete nás odměnit? Pošlete nám platbu přes paypal nebo na BTC peněženku 1bBr5iNS337NVzWjkvvH31bjmDvH4kfGb