Kvag ransomware

Kvag ransomware

offline
  • Pridružio: 29 Apr 2017
  • Poruke: 12

Pozdrav svima kao sto u naslovu stoji potrebna mi je bilo kakva pomoć -

Prije 4 dana sam "slucajno" skinio neki s*it sa interneta i kojem je bio taj neki virus koji mi je sve moje datoteke prebacio u neki .kvag format koje je nemoguce otvoriti .

Ostavio sam kop upaljen dok je bila skinuta neka random stvarcica sa neke ocigledo nepozdane stranice i par minuta nakon kad sam se vratio google chrome je sam otvarao nake reklame nesto sve nemoguce se je samo insliralo i tu sam skuzio da sam donji .. pošto doslovice nisam mogao da uradim ništa , odradio sam novi sistem na disku , a disk gdje su ostale datoteke je i dalje ostalo vjerovatno "zarazen" s tim da je sve i dalje u .kvag formatu

Btw u svakom folderu je neki file od tog virusa pod imenom (_readme) slika dolje ispod :



Jel postoji neko riješenje za ovo da mi ostalnu te moje "datoteke" citave..

Btw: svaki put kad palim pc ako je taj drugi "zarazeni" disku prikopcan prije pokretanje samog sitema dolazi do neke obavjesti ako u roku 10sec ne stisnem bilo koju tipku on ce poceti da brise sve sa tog diska , zbog toga je i danas iskopcan ...



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Milan
  • Pridružio: 17 Dec 2007
  • Poruke: 14248
  • Gde živiš: Niš

Nabasao si na ransomware. To je jedna vrsta malicioznog softvera napravljena sa ciljem iznuđivanja novca od, pa hajde da kažemo najblaže - nepažljivih korisnika računara. Ne znam da li ti je jasno objašnjenje iz fajla, ali ideja je da ti alat šifrira podatke koristeći ključ koji napadači poseduju, te da bi bio u mogućnosti da dešifruješ svoje podatke moraš da otkupiš ključ po ceni koja piše u fajlu sa objašnjenjem.

Ovakva vrsta malicioznog softvera u poslednjih par godina uzima maha, a iskustva u vezi sa dešifrovanjem podataka su različita. Neki su platili i uredno dobili alat i ključ za dešifrovanje, ali ima i onih koji su platili a nisu dobili ni ključ ni alat za dešifrovanje. Neki su pak razbijeni od strane antimalaware boraca, pa su alati za dešifrovanje objavljeni javno. Neki nikada nis razbijeni.

Što se ovog konkretnog tiče, prva strana na Google-u daje sveže rezultate - sve je iz perioda od prethodnih nekoliko dana. Dakle izgleda da je u pitanju nešto novo. Javno dostupan alat za dešifrovanje ne postoji koliko vidim.

Šta ti je činiti - proceni sam. Na netu se može naći mnogo informacija, pa probaj...



offline
  • Miroljub Čeperković
  • mašinska
  • Pridružio: 20 Mar 2012
  • Poruke: 2071
  • Gde živiš: Vrnjačka Banja

Ljudi kažu ne treba mi antivirus, znam ja kako da se zaštitim i posle se desi ovo što i tebi, pa posle kukaju po netu

no da pređem na stvar
Da bi ransomware mogao da odradi posao prvo je morao da razoruža antivirus, zatim da se prikači na sistem u kom se nalazi alat za kriptovanje i onda tek da počne kriptovanje
Na https://cfoc.org/remove-kvag-virus-rasnoware-files/ sam našao uputstvo kako da se oslobodiš ransomwarea, sumnjam da alat koji su dali za dekripciju može vratiti fajlove ali tebe ne košta ništa da probaš

Zbog ovakvih stvari uvek treba raditi redovan backup bitnih fajlova na cloud, cd/dvd, externi hdd, usb memorije ...

offline
  • mrmr  Male
  • Super građanin
  • leon
  • elektronicar
  • Pridružio: 07 Mar 2008
  • Poruke: 1048
  • Gde živiš: Medakovic 3 Beograd

Imao sam takav slučaj ,ali sa CRAB - om ... jedina i najsigurnija opcija je reinstal ,pre toga obavezno format celog harda,jer ako otane bilo gde , na bilo kojoj particiji harda , ti fajlovi su neupotrebljivi.....

offline
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6062

Napisano: 23 Sep 2019 22:04

Pozdrav mralmiir,

Ne znam da li kasno pisem, tek sada videh poruku. Verovatno jedva od varijanti STOP (DJVU) Ransomware softvera.
Znaci malware.... a taj malware formira sledece extenzije;
Citat:.STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks, .promorad, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope, .kropun, .charcl, .doples, .luces, .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .forasom, .berost, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidon, .heroset, .myskle, .boston, .muslat, .gerosan, ,vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .vusad, .herad, .berosuce, .gehad, .gusau, .madek, .tocue, .darus, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, prandel, .zatrov, .masok, .brusaf, londec, .krusop, .mtogas, .coharos, .nasoh, .nacro, .pedro, .nuksus, .vesrato, .masodas, .stare, .cetori, .carote, .shariz, .gero, .hese, .geno, .seto, .peta, .moka, .meds, .kvag, .domn or .karl izvor: https://id-ransomware.blogspot.com/2017/12/stop-ransomware.html
by: Andrew Ivanov


Stop ransomware kada ucini stetu otvara ti nasumicni notes. Starije varijante ostavljaju sledece nazive notepad-a;
 !!!YourDataRestore!!!.txt, !!!RestoreProcess!!!.txt, !!!INFO_RESTORE!!!.txt, !!RESTORE!!!.txt, !!!!RESTORE_FILES!!!.txt, !!!DATA_RESTORE!!!.txt, !!!RESTORE_DATA!!!.txt, !!!KEYPASS_DECRYPTION_INFO!!!.txt, !!!WHY_MY_FILES_NOT_OPEN!!!.txt, !!!SAVE_FILES_INFO!!!.txt and !readme.txt
Ova tvoja je cini se novija varijanta, ona stavlja _openme.txt, _open_.txt ili _readme.txt nazive. Tvoj naziv notepad-a je ovaj zadni... Sad





Bilo kako bilo, kolege sa bleeping computer foruma i analisti rade na ovome, i ako se validni decript alat i pojavi objavice se u ovom topic-u, te ga zaprati.
https://www.bleepingcomputer.com/forums/t/671473/s.....ort-topic/


Pazi sad. Utvrdi da li su tvoji fajlovi kriptovani sa tkz. offline ili online kljucevima. Koliko vidim, obicno ransomware koristi obe varijante, no cini se da se kriptovani fajlovi sa offline kljucem (i personal ID koji se zavrsava sa t1) mogu pokusati dekriptovati.

Znaci preuzmi STOPDecrypter v2.2.0.0 i ona skenira sve kriptovane t1 fajlove.
Ako ih detektuje, ti fajlovi se mozda mogu dekriptovati (vratiti u originalno upotrebljivo stanje) koristeci ovaj alat;
https://wetransfer.com/downloads/6e8920cbec4915666.....617/949e58

Arrow Detaljno uputstvo kako da utvrdis imas ovde;
https://www.bleepingcomputer.com/forums/t/671473/s.....try4872678
Arrow Prouci i sledece;
https://www.bleepingcomputer.com/forums/t/671473/s.....try4682102


Jos jednom, zaprati ovaj thread na BC forumu, pricitaj njihov pravilnik, FAQ, slobodno napravi tamo nalog, pitaj ih ako ti nesto nije jasno i tako ...
https://www.bleepingcomputer.com/forums/t/671473/s.....ort-topic/

Na zalost, ovakve stvari su dosta zeznute, sam malware nije problem ubiti, Malwarebytes je u vecini slucajeva dovoljan, ali kriptovane fajlove vratiti, e to je vec dosta zeznuto. Cuvaj kriptovane fajlove, backup-uj ih, paznjivo sa njima ... do jednog dana.

Wink

Dopuna: 23 Sep 2019 22:17

--------------------


PS: sigurno si preuzimao i pokretao c_rr_a_c_kk, jedan od najpolularnijih piratskih softvera za validaciju Windows 10 OS? Samo sto si to uradio sa pogresnog linka?

Ako imas izvor infekcije, molim te arhiviraj je nekim softverom (zip ili rar), bez sifre, upload-uj je preko sledece forme;
https://www.mycity.rs/ambulanta-upload.php

Evo kako to da uradis;

Desnim tasterom miša klini na folder ili file koji je izvor infekcije, i izaberi opciju Add to archive... kao na slici;



Kao Archive format izaberi RAR5 ili RAR
Za Compression method odaberi Best
U polje Split to volumes, bytes unesi 5000000 (slovima: pet miliona)
Na desnoj strani označi opciju Create Solid Archive (pogledaj sliku dole)



Klikni na OK
Kada WinRAR završi sa kompresovanjem, dobijene fajlove uploaduj (jedan po jedan) na:
https://www.mycity.rs/ambulanta-upload.php

offline
  • Pridružio: 29 Apr 2017
  • Poruke: 12

Pozdrav @magna86 ,

Jeste skinio sam piratskih softvera za validaciju Windows , i to mi se odbilo od glavu kako kazu ..

STOPDecrypter v2.2.0.0 mi neće pomoći jer moj "personal ID" ne završava na "t1" nego "bV"

Fazon je jer taj disk koji trenutno koristim je čist (bar se nadam da jeste jer je nov sistem uradjen) a ovaj zarazeni disk kopcam jedino kad pokušavam da se rijesim tog virusa ili te enkripcije ali sve dosad bezuspjesno jer ne znam sta da radim doslovno haha tuga Sad razmisljam da napisem temu na ovaj forum gdje ste mi Vi rekli da se obratim pa cemo vidjeti

Btw nemam izvor infekcije da bih ga mogao Vama uplodovati ...

offline
  • _Sale 
  • Prijatelj foruma
  • Pridružio: 30 Jul 2010
  • Poruke: 11769
  • Gde živiš: Z-moon

Legalan ključ za W10 je 5 dolara, ili manje.
Sledeći put - pamet u glavu.

offline
  • mrmr  Male
  • Super građanin
  • leon
  • elektronicar
  • Pridružio: 07 Mar 2008
  • Poruke: 1048
  • Gde živiš: Medakovic 3 Beograd

Evo i šta reći skini to i to ,a to i to košta debelo...kao spyhanter koji neće ništa obrisati ili povratiti ako ne platiš , zato ako nemate neki free program nemojte ga reklamirati...toliko od mene...

offline
  • System administrator
  • Pridružio: 19 Jul 2010
  • Poruke: 360
  • Gde živiš: Golubinci

Ako ne upali savet koji ti je dao magna86, odradi low level format diska i reinstaliraj operativni sistem. Poseti Ebay, kao što je neko već rekao ključevi su baš jeftini, kupovinom jednog rešavaš sebe potencijalnih problema poput ovog koji si sada pokupio (predlog: Windows 10 Pro Instant Delivery ). Podatke ubuduće čuvaj na dve ili više lokacija: interni izvor, eksterni izvor, cloud...
Legalan operativni sistem i solidna backup strategija su ti dobra osnova za početak. Windows Backup, Easeus Todo Backup, Macrium Reflect, imaš besplatnih backup rešenja koliko želiš. Kada ostaneš bez jedne kopije podataka, uvek je tu rezerva koja glavu čuva. Wink

Ko je trenutno na forumu
 

Ukupno su 674 korisnika na forumu :: 25 registrovanih, 1 sakriven i 648 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 2413 - dana 03 Okt 2019 05:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: 4channer, 8u47, aleksandar_tatic, antosky, Bane san, brundo65, Dava, dragon986, dule10savic, Ehinacea, Eyes Wide Shut, Gama, Iwo Jima, Kule, m0nstrum_, Marko Marković, mercedesamg, metemma, Mihajlo2, pavle_pzs2, SsssssNOVI, Stanlio, Taso2, vuk.994ns, YU-UKI