Avatar billede Mathiaskruse Juniormester
28. august 2015 - 21:33 Der er 14 kommentarer

Cryptowall 3.0 - Kryptering af alle filer

Hej alle. Jeg har været så uheldig at jeg på en virksomheds PC fyldt med VIGTIG data har fået virus. Og igen, heldig, at virussen har valgt at kryptere ALLE mine filer med RSA-2048 kryptering.


Ifølge virussen selv, koster det 1000USD at låse filerne op igen, og man kan ifølge dem selv kun gøre det på denne måde.


Er der nogle af jer der har en fidus til hvordan jeg får mine filer igen?


Har ingen backup (Ja dumt...)
Avatar billede kurtba Ekspert
29. august 2015 - 00:04 #1
Det undersøgte jeg meget nøje for godt et halvt år siden, hvor jeg selv blev ramt af den.
Der er intet at gøre. Denne kryptering er så stærk, at den ikke kan brydes. I følge alt det jeg fandt frem til, vil betaling med stor sandsynlighed ikke føre til, at de fremsender nøglen til dekryptering til dig. De stopper bare pengene i lommen.
Så du er i en særdeles dårlig situation.
Avatar billede Slettet bruger
29. august 2015 - 10:27 #2
Kan du få adgang til computeren ( logge ind )
Avatar billede chalde Seniormester
29. august 2015 - 21:38 #3
Støtter op om #1. Der er intet at gøre uden backup.
Og hvis man er så heldig at få sine filer tilbage ved at betale dem, så er man med til at finansiere deres forretning og derved direkte med til udbredelsen af mere af denne slags.

Såfremt maskinen stadig er inficeret, så vil jeg på det kraftigste anbefale ikke at forbinde den til noget netværk eller eksterne medier.
Det meste ransomware har ikke orme-aktivitet (de spreder sig ikke til andre maskiner, men kan ske i nyere versioner), men de vil forsøge at kryptere netværksdrev (eg. filservere du er forbundet til, NAS etc.), USB drev mv.
Så isolér maskinen, rens den (personligt anbefaler jeg en fuld reinstallation, andre har sikkert et par bud til blot at fjerne malware), og fremadrettet hav daglig backup med versionering (en backup uden versionering kan potentielt overskrive den gamle backup med de nye krypterede filer).
Avatar billede kurtba Ekspert
30. august 2015 - 00:00 #4
Pixxel - hvad betyder det om han har adgang til computeren eller ej, når det er cryptowall?
Normalt vil Cryptowall aldrig hindre adgang til computeren, idet skiderikkerne jo så ikke kan komme af med deres budskab og anvise betalingsmetode.
De krypterer normalt kun data - aldrig systemfiler.
Det vil sige, at alle dokumenter, regneark, billedfiler osv. krypteres. Andet krypteres ikke.
Avatar billede Slettet bruger
30. august 2015 - 10:10 #5
Avatar billede chalde Seniormester
30. august 2015 - 10:31 #6
#5 Sandsynligheden for at den virker er meget lille, men det er da et forsøg værd.
Den er til CoinVault og er ikke opdateret længe (de fleste typer ransomware vil kontakte C&C for nyeste krypteringsnøgle).
Avatar billede Slettet bruger
30. august 2015 - 11:45 #7
Ofte er der tale om en fup kryptering. Den originale fil bliver Kopieret og krypteret. Den originale fil bliver slettet. Den originale kan man måske finde igen. Eventuelt igennem systemgendannelse ( hvis systempunkter ikke er slettet ) eller Recovery programmer som Shadow Explorer.

@mathiasdk start op i fejlsikret tilstand og hvis du / i kan gå i regersteringsdatabasen og finde Run og slet Cryptowall samt tømme indholdet i Temp mappen samt alt det andet som Britec09 sletter.

Se Britec09 video på youtube
https://www.youtube.com/watch?v=FoNTXTyly-s

Du har ikke fortalt hvilke styresystem du har ?
Avatar billede Slettet bruger
30. august 2015 - 12:09 #8
Avatar billede kurtba Ekspert
30. august 2015 - 19:27 #9
Pixxel.
Problemet med dit link til Kaspersky  er, at sidste forår havde FBI og andre succes med at få fat i nogen af dem, som krypterede filer.
De fik derfor også fat i de servere, som havde foretaget krypteringen, og på disse servere lå krypteringsnøglerne. Alle computere som de havde krypteret havde hver især sin egen krypteringsnøgle. Via Kaspersky  og andre steder gav man så adgang til, at dem som var blevet krypteret på daværende tidspunkt, kunne sende deres krypteringsoplysninger eller en inficeret fil, så ville de gratis sende den nøgle, som kunne dekryptere filerne, hvis de havde match i deres database.
Men de servere de fik fat i indeholdt jo kun krypteringsnøgler til pc.er, som indtil da var blevet krypteret, og det er kun disse som man kan have held med at få dekrypteret igen.
Der er ikke tilføjet nye dekrypteringsnøgler siden 29. april sidste år, så derfor kan Mathiasdk desværre ikke bruge det til noget, da han først lige er blevet inficeret - og formentlig af nogle helt andre personer.
For at dekryptere mathiasdk.s pc, skal man have fat i den server, som har foretaget krypteringen, og så skal man have fundet dekrypteringsnøglen, som passer lige præcis til hans pc.
Der findes ingen "master" dekrypteringsnøgle.
Spørg div. politimyndigheder, som heller ikke har kunnet dekryptere Cryptowall uden at finde nøgler.
Bl.a. i den store danske hackersag ang. kørekort m.m. lykkedes det ikke politiet at få adgang til alle de data, som de fandt hos hackerne.
Så for mig at se, ser det særdeles sort ud for for mathiasdk.
Avatar billede Slettet bruger
30. august 2015 - 20:28 #10
Der vil altid være usikkerhed om man kan redde filer der er krypteret.
Avatar billede Slettet bruger
30. august 2015 - 20:41 #11
Ok det er nok ikke linket til kaspersky der skal bruges.
Avatar billede ejvindh Ekspert
31. august 2015 - 20:01 #12
Det bølger jo lidt frem og tilbage mellem Cryptowall og dem, der bekæmper det. Men Cryptowall har godt nok i et stykke tid efterhånden haft overhånden.

Dette link plejer at have ret opdaterede oplysninger om infektionen, og ifølge den, ser det sort ud i øjeblikket:
http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information
Avatar billede Slettet bruger
01. september 2015 - 20:49 #13
Fra ejvindh link :

Method 2: File Recovery Software

When CryptoWall encrypts a file it first makes a copy of it, encrypts the copy, and then deletes the original. Due to this you can use file recovery software such as R-Studio or Photorec to possibly recover some of your original files.

Måske kan man finde den originale fil der ikke er krypteret. Der er ikke nogen garanti for et det lykkes.

Method 3: Shadow Volume Copies

As a last resort, you can try to restore your files via Shadow Volume Copies. Unfortunately, this infection will attempt to delete any Shadow Volume Copies on your computer, but sometimes it fails to do so and you can use them to restore your files.
Avatar billede Slettet bruger
14. september 2015 - 15:02 #14
Sker der noget
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester