|
Poslao: 23 Jan 2015 16:32
|
offline
- 0kioki
- Novi MyCity građanin
- Pridružio: 23 Jan 2015
- Poruke: 6
|
Kako da uklonim CryptoWall 3.0 i povratim upotrebljivost fajlova?
Hvala
|
|
|
|
|
|
|
Poslao: 23 Jan 2015 16:58
|
offline
- magna86
- Anti Malware Fighter
Rank 2
- Pridružio: 21 Jun 2008
- Poruke: 6103
|
Pozdrav 0kioki,
CW v3.0 je objavljen krajem 2014 godine kao napredna verzija CW v2.0.
http://www.bleepingcomputer.com/virus-removal/cryp.....ryptowall3
Ukloniti ga nije problem. Problem je enkripcija koju ovaj opaki ransom pravi na fajlove. Kod starijih varijanti i postoji nacini da se kriptovani fajlovi povrate ali kod novijih varijatni je to nemoguce, na zalost.
Malwarebytes 2.0 bi trebao da ga ciljaja bez problema. Takodje, mocan RogueKiller bi takodje trebao da ga uklanja. Mozemo ga uklniti i koristeci nas FRST alat. Ukloniti ga nije problem. Problem je steta koju alat nanosi.
Preporuka je da odmah uklonimo taj malware da spasimo ako ima sta da se spasava.
==== MBAM ====
 Preuzmi instalaciju za Malwarebytes Anti-Malware (MBAM) ver.2.0 i instaliraj aplikaciju.
Dvoklik na mbam-setup.exe i prati uputstva za instalaciju. Instalacija je klasicna, "Next > I Agree . . > Next > Install" princip. Po zavrsenoj instalaciji, klikni Finish.
Napomena: 14 dana besplatna trail verzija je pre-selektovana. Mozes decekirati ovu opciju ako zelis.
- Po prvom pokretanju, MBAM ce zapoceti "Update" u nameri da preuzme najsvezije definicije.
Ili ... klik na 'Update Now >>' link ili dugme radi preuzimanja svezih definicija.
• Konfigurisati skener; Na 'Settings' tabu, Detection and Protection podesiti sledece opcije:
1. pod-tab Detection Options, cekirati kucicu za 'Scan for rootkits';
2. pod-tab Non-Malware Protection, za 'PUP detections', prostarati se da je selektovana 'Threat detections as malware' opcija.
• Izvrsiti 'Threat Scan';
Klik na Scan tab, zatim na 'Scan Now >>' da bi izvrsio skeniranje.
Ukoliko MBAM prijavi da je 'update' dostupan, klik na 'Update Now' a potom nastaviti do skeniranja.
Obavestenje: kod nekih teskih infekcija, moguce je dobiti sledecu poruku "Could not load DDA driver". U tom slucaju, klik Yes na tu poruku, dopustiti ucitavanje drajvera po restartu racunara, dozvoliti restart.
Potom, nastaviti sa ostatkom instrukcija.
• Po zavrsenom skeniranju, klik na Apply Action dugme ukoliko je pretnja detektovana. Sacekati da program zatrazi restart!
- Klik na Yes na poruku koja govori da ce se sistem restartovati.
• Postaviti izvestaj (export-ovati logfile) na uvid;
Ponovo pokrenuti MBAM, klik na History tab > Application Logs. Dvoklik na 'Scan Log' koji pokazuje vreme i datum upravo izvrsenog skeniranja.
1. U novom prozoru klik na 'Export' dugme, pa izabrati 'Text file (*.txt)';
2. Kada se pojavi Save File dialog, izabrati da se log sacuva na Desktop.
U tom istom prozoru, dole pod File name: upisi 'mbam' kao naziv izvestaja i klikni dugme Save.
- Po dobijenoj poruci ("Your file has been successfully exported") izvestaj koji si nazvao kao 'mbam' bice sacuvan na Desktop.
Okaci mbam.txt uz poruku koristeci opciju Prikači fajl.
==== RogueKiller ====
Preuzmi RogueKiller sa nekih od sledeceih linkova na Desktop
Link 1
Link 2
-Zatvori sve programe, ukloni ako imas bilo kakav USB ili externi drive i pokreni alat;
-Kada inicijalno skeniranje bude zavrseno, klik na Scan dugme;
-Kada skeniranje bude kompletnirano, klik na Delete dugme;
Kada bude stajao status 'Deleting Finished' klik na Report dugme i iskopiraj sadrzaj tog loga ovde u temu.
C:\ProgramData\RogueKiller\Logs\RKreport_DEL_mmddyyyy_hhmmss.log[/*]
==== CW Diagnostika ====
U ovom koraku zeleo bih da dobijem izvestaj od sledeceg programa.
Preuzmi Nathan-ov [url=https://www.mycity.rs/must-login.png alat sa sledeceg linka i sacuvaj ga na Desktop;
Alat ce biti zapakovan (zip/rar/7-zip), otpakovati ga u poseban folder.
Otvori direktorijum (folder) gde je IDTool sacuvan,i dvoklikom pokreni alat.
Za IDTool-ov rad potreban je Micorsoft .NET Framework te ce alat sam zatraziti njegovo instlairanje ako to bude bilo potrebno, dozvoli mu.
Sacekaj dok alat ne skupi potrebne podatke ...
Kada se glavna konzola ocita, pritisni Rescan Computer and Generate a New Report
Kada glavni bar obavesti da je skeniranje gotovo pritisni Generate Text Friendly Report for Forums
Prikaci sadrzaj tog loga ovde na forum koristeci Prikaci fajl opciju.. Takodje, zeleces da taj log zsacuvas i za sebe.
==== FRST ====
Postavi mi nas glavne FRST izvestaje.
http://www.mycity.rs/Ambulanta/Kako-otvoriti-temu-u-Ambulanti.html
|
|
|
|
|
|
|
|
|
Poslao: 24 Jan 2015 19:04
|
offline
- magna86
- Anti Malware Fighter
Rank 2
- Pridružio: 21 Jun 2008
- Poruke: 6103
|
...ovo ce da ukloni neke ostatke.
1. Otvori Notepad (Text Document) i iskopiraj sledeći tekst unutar kod polja ispod:
CloseProcesses:
HKLM Group Policy restriction on software: %appdata%\*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.exe <====== ATTENTION
SearchScopes: HKU\S-1-5-21-1123561945-1532298954-1417001333-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CMD: for /d %f in (C:\Documents and Settings\sb\Local Settings\Temp\{*}) do rd /s /q "%f"
Reboot:
2. Sačuvaj notepad na Desktop pod nazivom fixlist.txt
To možes uraditi i iz notepad-a => klik na File potom na Save As i u novom prozoru, dole pod File Name: staviš za naziv fixlist.txt
Napomena: Važno je da se oba fajla, FRST i fixlist nalaze na istoj lokaciji jer u suprotnom fix nece raditi.
3. Ponovo pokreni FRST/FRST64, klikni jednom na dugme Fix i sačekaj.
Ukoliko alat zatraži restart sistema, dozvoli mu i postaraj se da alat kompletira fix nakon restarta sistema.
Alat će formirati log (Fixlog.txt) na Desktop-u. Potrebno je sadržaj tog loga iskopirati u poruku.
Napomena: Ukoliko te alat upozori da postoji novija verzija, postaraj se da preuzmes i koristiš ažuriranu kopiju FRST-a.
---------------------------------------
Preporuka da instlairas CryptoPrevent program. Jeste da je sada prekasno, ali za svaki slucaj.
http://www.foolishit.com/vb6-projects/cryptoprevent/
CryptoPrevent je aplikacija koja ce pokusati da spreci ove tipove malvare-a a koji kriptuje odredjene vrste fajlova koji se nalaze na disku, kao na primer CryptoWall, CryptoLocker and slicne klonove ove infekcija.
Vise informacija ovde:
http://www.mycity.rs/Zastita/Ransomware-kriptovira.....oWall.html
Sve sto mi znamo o CryptoWall varijantama kao i savetima je skupljeno na jedno mesto u sjajan topic koji je napisao Grinler, Head Administrator Bleeping Computer, naseg saveznicnog foruma:
http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information
Na zalost, nemam vise saveta. Tvoj sistem je cist ali ja kriptovane fajlove ne mogu dekriptovati, takav alat jos ne postoji. Radi se na necemu slicnom od strane par labolatorija ali sve je jos prerano da govorim o tome.
|
|
|
|
|
|
|
Poslao: 24 Jan 2015 20:22
|
offline
- 0kioki
- Novi MyCity građanin
- Pridružio: 23 Jan 2015
- Poruke: 6
|
Hvala puno na savetima i pomoci u vezi ovog pitanja. Na zalost, fajlovi su kriptovani pre reinstalacije windowsa i kao takvi su kopirani na diskove. Problemi su vidljivi na svim usb uredjajima koji su bili prikaceni na racunaru pre reinstalacije sistema. Moze da se ceka i nada da ce se naci resenje za dekriptovanje fajlova sa poslovima , slikama narocito i ostalim manje vaznim datotekama.
Vazno je da, posto ste u kontaktu i pratite razvoj aplikacija, a i sami razvijate aplikacije za pomoc u ovakvim i slicnim situacijama, stalno obavestavate zainteresovane o novostima.
Jos jednom, hvala puno.
mycity.rs/must-login.png
|
|
|
|
|
|
|
|
|
Poslao: 05 Feb 2015 22:27
|
offline
- deniz
- Novi MyCity građanin
- Pridružio: 05 Feb 2015
- Poruke: 2
|
I ja sam "zrtva" Cryptowall-a 3.0 od 23. januara. Iz ugla moje struke, moglo bi da se uporedi sa ebolom. Zahtev o "optkupu" se pojavio vec kada su svi fajlovi enkriptovani, takodje unisteni su i fajlovi na flesu koji je bio u racunarau, ali se nije dalje preneo na druge racunare, ni preko flesa, niti kroz mrezu. Virus je relativno lako uklonjen, ali je racunar posle toga uzasno sporo radio. Sistem je reinstaliran, ali sam za svaki slucaj ostecene podatke prethodno narezala. Nada umire poslednja, tj. mozda se jednog dana nadje resenje kako otvoriti fajlove.
Rec je o sluzbenom racunaru, koji se koristi iskljucivo za rad (Office uglavnom), odnosno nista nije skidano, niti su posecivani "sumnjivi" sajtovi pa je pitanje na koji nacin je virus upao.
Dobra stvar je da su slike u tiff. formatu netaknute, tako da znam sta da koristim ubuduce.
S punom paznjom pratim sta se desava sa CW 3.0 i verujem da ce uskoro biti pronadjen nacin za dekriptovanje.
|
|
|
|
|
|
|
|
|
Poslao: 05 Feb 2015 23:09
|
offline
- deniz
- Novi MyCity građanin
- Pridružio: 05 Feb 2015
- Poruke: 2
|
Hvala za link.
Sjedne strane, dobro je sto se virus relativno lako uklanja i sto postoje nacini da se sistem zastiti, mada se zastita obicno primenjuje nakon sto je steta vec napravljena, nazalost. Sistem ja kao bio zasticen nekim antivirus programom, ali bezuspesno. Nemam bckup za dobar deo podataka (od sada redovno pakujem sve sto je znacajno).
Mislim da je vrlo korisno znati koji tipovi fajlova su meta CW, pa mozda nije lose sacuvati podatke i u "paralelnom" formatu, npr. tiff ili png umesto jpeg, neki statisticki programi imaju paralelu sa Excelom i sl.
Pozz!
|
|
|
|
|
|
