Cryptowall

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Kako da uklonim CryptoWall 3.0 i povratim upotrebljivost fajlova?
Hvala

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uloguj se preko Facebooka da bi skinuo fajl:

Pozdrav 0kioki,

CW v3.0 je objavljen krajem 2014 godine kao napredna verzija CW v2.0.
[Link mogu videti samo ulogovani korisnici]

Ukloniti ga nije problem. Problem je enkripcija koju ovaj opaki ransom pravi na fajlove. Kod starijih varijanti i postoji nacini da se kriptovani fajlovi povrate ali kod novijih varijatni je to nemoguce, na zalost.

Malwarebytes 2.0 bi trebao da ga ciljaja bez problema. Takodje, mocan RogueKiller bi takodje trebao da ga uklanja. Mozemo ga uklniti i koristeci nas FRST alat. Ukloniti ga nije problem. Problem je steta koju alat nanosi.

Preporuka je da odmah uklonimo taj malware da spasimo ako ima sta da se spasava.





==== MBAM ====


Preuzmi instalaciju za Malwarebytes Anti-Malware (MBAM) ver.2.0 i instaliraj aplikaciju.
Dvoklik na mbam-setup.exe i prati uputstva za instalaciju. Instalacija je klasicna, "Next > I Agree . . > Next > Install" princip. Po zavrsenoj instalaciji, klikni Finish.
Napomena: 14 dana besplatna trail verzija je pre-selektovana. Mozes decekirati ovu opciju ako zelis.

- Po prvom pokretanju, MBAM ce zapoceti "Update" u nameri da preuzme najsvezije definicije.
Ili ... klik na 'Update Now >>' link ili dugme radi preuzimanja svezih definicija.

• Konfigurisati skener; Na 'Settings' tabu, Detection and Protection podesiti sledece opcije:
1. pod-tab Detection Options, cekirati kucicu za 'Scan for rootkits';
2. pod-tab Non-Malware Protection, za 'PUP detections', prostarati se da je selektovana 'Threat detections as malware' opcija.



• Izvrsiti 'Threat Scan';
Klik na Scan tab, zatim na 'Scan Now >>' da bi izvrsio skeniranje.
Ukoliko MBAM prijavi da je 'update' dostupan, klik na 'Update Now' a potom nastaviti do skeniranja.
Obavestenje: kod nekih teskih infekcija, moguce je dobiti sledecu poruku "Could not load DDA driver". U tom slucaju, klik Yes na tu poruku, dopustiti ucitavanje drajvera po restartu racunara, dozvoliti restart.
Potom, nastaviti sa ostatkom instrukcija.

• Po zavrsenom skeniranju, klik na Apply Action dugme ukoliko je pretnja detektovana. Sacekati da program zatrazi restart!
- Klik na Yes na poruku koja govori da ce se sistem restartovati.



• Postaviti izvestaj (export-ovati logfile) na uvid;
Ponovo pokrenuti MBAM, klik na History tab > Application Logs. Dvoklik na 'Scan Log' koji pokazuje vreme i datum upravo izvrsenog skeniranja.
1. U novom prozoru klik na 'Export' dugme, pa izabrati 'Text file (*.txt)';
2. Kada se pojavi Save File dialog, izabrati da se log sacuva na Desktop.
U tom istom prozoru, dole pod File name: upisi 'mbam' kao naziv izvestaja i klikni dugme Save.

- Po dobijenoj poruci ("Your file has been successfully exported") izvestaj koji si nazvao kao 'mbam' bice sacuvan na Desktop.



Okaci mbam.txt uz poruku koristeci opciju Prikači fajl.





==== RogueKiller ====

Preuzmi RogueKiller sa nekih od sledeceih linkova na Desktop


Link 1
Link 2


-Zatvori sve programe, ukloni ako imas bilo kakav USB ili externi drive i pokreni alat;
-Kada inicijalno skeniranje bude zavrseno, klik na Scan dugme;
-Kada skeniranje bude kompletnirano, klik na Delete dugme;

Kada bude stajao status 'Deleting Finished' klik na Report dugme i iskopiraj sadrzaj tog loga ovde u temu.



C:\ProgramData\RogueKiller\Logs\RKreport_DEL_mmddyyyy_hhmmss.log[/*]





==== CW Diagnostika ====

U ovom koraku zeleo bih da dobijem izvestaj od sledeceg programa.


Preuzmi Nathan-ov [url=https://www.mycity.rs/must-login.png alat sa sledeceg linka i sacuvaj ga na Desktop;

Alat ce biti zapakovan (zip/rar/7-zip), otpakovati ga u poseban folder.

Otvori direktorijum (folder) gde je IDTool sacuvan,i dvoklikom pokreni alat.
Za IDTool-ov rad potreban je Micorsoft .NET Framework te ce alat sam zatraziti njegovo instlairanje ako to bude bilo potrebno, dozvoli mu.

Sacekaj dok alat ne skupi potrebne podatke ...

Kada se glavna konzola ocita, pritisni Rescan Computer and Generate a New Report

Kada glavni bar obavesti da je skeniranje gotovo pritisni Generate Text Friendly Report for Forums

Prikaci sadrzaj tog loga ovde na forum koristeci Prikaci fajl opciju.. Takodje, zeleces da taj log zsacuvas i za sebe.



==== FRST ====

Postavi mi nas glavne FRST izvestaje.
[Link mogu videti samo ulogovani korisnici]

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uloguj se preko Facebooka da bi skinuo fajl:

Napisano: 24 Jan 2015 15:12

[Link mogu videti samo ulogovani korisnici]

[Link mogu videti samo ulogovani korisnici]

[Link mogu videti samo ulogovani korisnici]

Dopuna: 24 Jan 2015 17:13

[Link mogu videti samo ulogovani korisnici]

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

...ovo ce da ukloni neke ostatke.



1. Otvori Notepad (Text Document) i iskopiraj sledeći tekst unutar kod polja ispod:

CloseProcesses:
HKLM Group Policy restriction on software: %appdata%\*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.exe <====== ATTENTION
SearchScopes: HKU\S-1-5-21-1123561945-1532298954-1417001333-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CMD: for /d %f in (C:\Documents and Settings\sb\Local Settings\Temp\{*}) do rd /s /q "%f"
Reboot:

2. Sačuvaj notepad na Desktop pod nazivom fixlist.txt
To možes uraditi i iz notepad-a => klik na File potom na Save As i u novom prozoru, dole pod File Name: staviš za naziv fixlist.txt
Napomena: Važno je da se oba fajla, FRST i fixlist nalaze na istoj lokaciji jer u suprotnom fix nece raditi.

3. Ponovo pokreni FRST/FRST64, klikni jednom na dugme Fix i sačekaj.
Ukoliko alat zatraži restart sistema, dozvoli mu i postaraj se da alat kompletira fix nakon restarta sistema.



Alat će formirati log (Fixlog.txt) na Desktop-u. Potrebno je sadržaj tog loga iskopirati u poruku.
Napomena: Ukoliko te alat upozori da postoji novija verzija, postaraj se da preuzmes i koristiš ažuriranu kopiju FRST-a.




---------------------------------------



Preporuka da instlairas CryptoPrevent program. Jeste da je sada prekasno, ali za svaki slucaj.
[Link mogu videti samo ulogovani korisnici]

CryptoPrevent je aplikacija koja ce pokusati da spreci ove tipove malvare-a a koji kriptuje odredjene vrste fajlova koji se nalaze na disku, kao na primer CryptoWall, CryptoLocker and slicne klonove ove infekcija.

Vise informacija ovde:
[Link mogu videti samo ulogovani korisnici]


Sve sto mi znamo o CryptoWall varijantama kao i savetima je skupljeno na jedno mesto u sjajan topic koji je napisao Grinler, Head Administrator Bleeping Computer, naseg saveznicnog foruma:
[Link mogu videti samo ulogovani korisnici]

Na zalost, nemam vise saveta. Tvoj sistem je cist ali ja kriptovane fajlove ne mogu dekriptovati, takav alat jos ne postoji. Radi se na necemu slicnom od strane par labolatorija ali sve je jos prerano da govorim o tome.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uloguj se preko Facebooka da bi skinuo fajl:

Hvala puno na savetima i pomoci u vezi ovog pitanja. Na zalost, fajlovi su kriptovani pre reinstalacije windowsa i kao takvi su kopirani na diskove. Problemi su vidljivi na svim usb uredjajima koji su bili prikaceni na racunaru pre reinstalacije sistema. Moze da se ceka i nada da ce se naci resenje za dekriptovanje fajlova sa poslovima , slikama narocito i ostalim manje vaznim datotekama.
Vazno je da, posto ste u kontaktu i pratite razvoj aplikacija, a i sami razvijate aplikacije za pomoc u ovakvim i slicnim situacijama, stalno obavestavate zainteresovane o novostima.
Jos jednom, hvala puno.

[Link mogu videti samo ulogovani korisnici]

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Citat:Na zalost, fajlovi su kriptovani pre reinstalacije windowsa i kao takvi su kopirani na diskove.

Mozes da probas neke recovery programe kao na primer getdataback, ili recuva i slicne programe. Ako je samo pointer do originalnih fajlova sklonjen (to je kada prosto obrises sliku), a sam file ceka overwrite na disk sektoru, recovery je moguc.

Citat:Problemi su vidljivi na svim usb uredjajima koji su bili prikaceni na racunaru pre reinstalacije sistema.
Obavezno drzi MCShield aktivnim. On poseduje posebno razvijenu rutinu za ovaj vid malware-a.


Citat:Moze da se ceka i nada da ce se naci resenje za dekriptovanje fajlova sa poslovima , slikama narocito i ostalim manje vaznim datotekama.
Alat je trebao da se vec pojavi od strane jedne poznate i mocne AV kompanije ali neke stvari su se zakomplikovale. Licnog sam misljena da se alat nece jos skoro pojaviti jer ne moze da isprati razvoj malware-a

Procitaj link koji sam ti dao, tu su ponudjene neke metode koje ti mogu uliti nadu u to da se fajlovi povrate.

I zadnja stvar, mozes li molim te da se setis sta si to preuzeo sa interneta, instlairao kada si preuzeo CryptoWall v 3.0? Primerak bi nam dobro dosao. Informacije mozes da mi posaljes na PP jer ne zelimo da sirimo malware.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

I ja sam "zrtva" Cryptowall-a 3.0 od 23. januara. Iz ugla moje struke, moglo bi da se uporedi sa ebolom. Zahtev o "optkupu" se pojavio vec kada su svi fajlovi enkriptovani, takodje unisteni su i fajlovi na flesu koji je bio u racunarau, ali se nije dalje preneo na druge racunare, ni preko flesa, niti kroz mrezu. Virus je relativno lako uklonjen, ali je racunar posle toga uzasno sporo radio. Sistem je reinstaliran, ali sam za svaki slucaj ostecene podatke prethodno narezala. Nada umire poslednja, tj. mozda se jednog dana nadje resenje kako otvoriti fajlove.
Rec je o sluzbenom racunaru, koji se koristi iskljucivo za rad (Office uglavnom), odnosno nista nije skidano, niti su posecivani "sumnjivi" sajtovi pa je pitanje na koji nacin je virus upao.
Dobra stvar je da su slike u tiff. formatu netaknute, tako da znam sta da koristim ubuduce.
S punom paznjom pratim sta se desava sa CW 3.0 i verujem da ce uskoro biti pronadjen nacin za dekriptovanje.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pozdrav deniz,

Na zalost, male su sance da ce se uskoro pojaviti alat za dekripciju. Samo kriptovanje fajlova je veoma mocna a CryptoWall ver_3.0 je usavrsena varijanta vec dovoljno opasnog CryptoWall ver_2.0.

Vise informacija i korisnih linkova sve na jednom mestu ces naci u ovoj temi:
[Link mogu videti samo ulogovani korisnici]

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Hvala za link.

Sjedne strane, dobro je sto se virus relativno lako uklanja i sto postoje nacini da se sistem zastiti, mada se zastita obicno primenjuje nakon sto je steta vec napravljena, nazalost. Sistem ja kao bio zasticen nekim antivirus programom, ali bezuspesno. Nemam bckup za dobar deo podataka (od sada redovno pakujem sve sto je znacajno).

Mislim da je vrlo korisno znati koji tipovi fajlova su meta CW, pa mozda nije lose sacuvati podatke i u "paralelnom" formatu, npr. tiff ili png umesto jpeg, neki statisticki programi imaju paralelu sa Excelom i sl.

Pozz!