Witam, mam problem, ponieważ na komputerze księgowej pojawił się wirus który koduje wszystkie pliki z programów księgowych, bazy danych towarów itp, nie można otworzyć żadnego programu, dearchwizacja również nie pomaga. Pojawia się komunikat na ekranie (nie można go zamknąć) który mówi że dopiero po zapłaceniu 1200zł pliki zostaną odszyfrowane, najgorsze że od kompa księgowej poszło na całą sieć i wszystkie stanowiska - biurowe, sprzedażowe są zablokowane. Wiecie może jak usunąć tego wirusa bez płacenia(bo nawet nie wiem czy to płacenie pomoże). Antywirus wyłapuje te trojany, usuwa je ale pliki jak były zaszyfrowane tak są nadal. POMOCY !

filecoder.di trojan

Wiecie może jak usunąć tego wirusa bez płacenia(bo nawet nie wiem czy to płacenie pomoże).

Takich typu wirusów jest pełno. To co należy robić to NIE PŁACIĆ. Eset przygotował ciekawy poradnik jak to usunąć całkiem (pliki lokalne + w AppData + rejestr) - Link

A aby odszyfrować pliki należy użyć takiego hasła:

PozdRAvLyAeM

Dobra ale gdzie mam użyć tego hasła ?? Gdzie mam je wpisać ??

Z tego co czytałem nie ma szans odszyfrować na dzień dzisiejszy.

No właśnie tego się obawiam, że nie da się tego zrobić. Kwestia zapłaty pozostaje, tylko nie wiem czy wtedy na pewno zostaną odblokowane te kompy, bo dane są bardzo ważne i właściciel firmy jest zdecydowany ponieść koszty - tylko ma to działać.

Pozdrawiam

Hehe jakie to typowe. I pewnie niema kopi danych bo po co. I tak ma dobrze, to tylko strata danych. Weselej jest jak z czyjegoś kompa handlują np. prochami albo rozsyłają zdjęcia nieletnich. 


No to tak. Kodu nie złamiesz. Danych, nie odzyskasz. Jak zapłacisz, raczej też nie. Niby dupa. Ale zawsze pozostanie odzyskać skasowane dane ( program najpierw koduje, potem kasuje oryginalny plik). Mając część danych zakodowanych i te same dane odzyskane (wszystkiego się nie odzyska bo diabelstwobnadpisuje) da się na podstawie tego odzyskać wszystko.  

Ale to tyle pracy i czasu, że jest "nieco" mało opłacalne. I nie musi się udać, bo nie wszystkie algorytmy kodowania są takie same i nie zawsze działają te same narzędzia. 

Dokładnie wiele firm nie zdaje sobie sprawy jak ważne jest regularne wykonywanie kopi danych. A tak z ciekawości chciałem zapytać, jaki był zainstalowany na tych kompach antywirus?

...i system operacyjny, i na czym sieć stoi.

Shadow copy (jeśli jest, nie wyłączone (i nie wycięte) ma niezaszyfrowane kopie. Ale to bardzo wątpliwa sprawa.

Tutaj antywirusowy wiele nie zdziała. Bo większość takich programów instaluje się jako niby nieszkodliwy dodatek do czegoś tam, a potem dopiero ściągają wirusa. (Pewnie pracują na administracyjnych LOL)

Najlepsze, że kodowanie zajmuje sporo czasu i jeśli mamy dysk do kopi podłączony na stałę, to i kopia będzie zaszyfrowana. Pomaga albo ręczne kopiowanie na dysk podłączany na chwilę, albo kopia wysyłana na np. serwer. Najlepiej linuksowy bo tam nawet jak skopiuje wirusa, to sobie może nabimbać.

Cały czas było powtarzane żeby robić kopie zapasowe.

Systemy operacyjne to : WinXP, Win7, Windows Server 2008.

Antywirus: Eset Nod32

Ten wirus wszedł poprzez maila - w którym było napisane że FV do zapłaty, a że to firma to Pani księgowa otworzyła maila.

Dobra to "

Ale zawsze pozostanie odzyskać skasowane dane ( program najpierw koduje, potem kasuje oryginalny plik)

Jak mam to zrobić - bo dane muszę odzyskać !.

Jak mam to zrobić - bo dane muszę odzyskać !.

z tego co wyczytałem z Twoich wypowiedzi to muisz to odzyskać z tych kopii zapasowych co się nie robią ;/

mieliśmy w "firmie" ten sam problem. Jedyne co pomaga to wykasowanie zaszyfrowanych plików (najlepiej format zainfekowanej stacji) i przywrócenie kopii zapasowej danych. Nic innego ci nie pomoże bo pliki są zaszyfrowane w "najnormalniejszy" sposób a deszyfracja nie wchodzi w grę.

stawiasz w firmie NASA z dwoma dyskami w raidzie do tego program do kopii zapasowej po sieci i wszystko zrzuca ci do archiwum nawet .zip i masz kopie na 3 mies wstecz. Czego więcej chcieć? Do tego skoro jesteś informatykiem w tej firmie zrób raz na pół roku szkolenie z tego jak postępować i jak się uchronić przed tego typu zagrożeniami. 

Wiesz, trzy miesiące temu gdy te zagrożenie się zaczęło pojawiać w PL i było o tym głośno pracownicy firmy zostali poinformowani o tym aby nie otwierać dziwnych maili. Kwestia taka była że pojawił się komunikat o tym aby nie otwierać załącznika, ale Pani była przekonana że wie lepiej i dlatego tak się stało jak się stało ;/

Procedura wygląda następująco. 

Skanujesz dyski softem od odzyskiwania skasowanych danych. 

Szukasz plików, które da się odzyskać niezakodowanych. 

Szukasz gotowego narzędzia które na podstawie niezakodowanego i zakodowanego pliku jest w stanie rozkodować resztę plików. (do niektórych odmian tego wirusa są już gotowe narzędzia).

Jeśli niema narzędzia to na podstawie grzebaniny w necie trzeba je sobie napisać lub zlecić. 

Czas trwania takich zabaw to w zależności od ilości danych i poziomu trudności z odzyskiwaniem danych od kilku dni do kilku miesięcy. Koszty są adekwatne do czasu.   





Windows XP. Można zarazić obecnie w kilka minut, żaden antywirus tutaj nic nie wskóra. Wystarczy spreparować odpowiednio stronę. 


Praca na kontach administratora w komputerach firmowych to zwykłe niedbalstwo. 

trzy miesiące temu gdy te zagrożenie się zaczęło pojawiać w PL

Te wirusy są znane od lat. A nie od 3 miesięcy. 

pracownicy firmy zostali poinformowani o tym aby nie otwierać dziwnych maili

Gdyby pracownicy nie pracowali na kontach administracyjnych i gdyby były wykonywane regularne kopie, to nie było by problemu. 

Hej

Na innym portalu (mam nadzieję, że mnie tu nie zlinczują:) ) znalazłem kiedyś taki artykuł: Locker Unlocker - narzędzie do odblokowywania plików zaszyfrowanych pr...

Sam tego nie próbowałem (na szczęście na razie nie musiałem), nie wiem też czy to nie jest jakiś dodatkowy crap. Ale na jakimś odizolowanym komputerze z kopią tych plików warto chyba powalczyć.

Jakbyś się podjął walki przy pomocy tego - daj znać, czy to się sprawdza.

--
Pozdrawiam,
Souls

Pracownicy nie pracują na kontach administracyjnych!. Także nie wiem o co Ci chodzi.

Wirus znany od lat to fakt - ale nasilenie ataków miało miejsce w PL ok 3 miesięcy temu.

Troszkę dziwne że NOD to przepuścił. W końcu ma moduł ochrony poczty i powinien takiego maila z zainfekowanym załącznikiem natychmiast wyłapać. Tym bardziej że nie jest to jakiś nowy wirus tylko zagrożenie znane od lat. 

Ciekaw jestem jakie rozszerzenie miał problematyczny załącznik?

NOD zakończył swoją świetność wiele lat temu. W chwili obecnej to program o średniej skuteczności. 


Nie sądzę aby winny był załącznik. To nie dzieje się tak, pewnie komputer był zainfekowany od dłuższego czasu. 
Kodowanie plików trochę trwa. 

Narzędzia które podlinkował SoulsMaster  mogą pomóc, ale nie muszą. Warto spróbować. Natomiast odmian wirusa jest tak wiele, że zazwyczaj trzeba i tak robić to samemu, bo nic nie pasuje. 

A ile konkretnie danych poleciało? Jeśli same np. bazy danych z programu księgowego czy podobne, to może wystarczy odzyska poprzednie wersje za pomocą programu do odzyskiwania danych. 


A niema jakichś poprzednich kopii? Naprawdę nikt nie wykonywał backupu danych w tej firmie? 

@D@nielo
Jakiś miesiąc temu była informacja, że w programach ESET wykryto bardzo poważną dziurę, która umożliwia bezproblemowy zdalny atak na komputer: LINK. Programy już załatano, ale ile czasu była w nich dziura nie wiadomo.

Nie sądzę aby winny był załącznik. To nie dzieje się tak, pewnie komputer był zainfekowany od dłuższego czasu. 
Kodowanie plików trochę trwa.

Tu się mylisz bo wyszło że gość kliknął na załącznik o niedostarczonej przesyłce, i dziwił się dlaczego eset to blokuje, pomyślał ze to błąd programu i dlatego zezwolił na otworzenie, po tym otwarciu zaczęły się kodować pliki (logi z eseta) i trwało to ok 30 dni aż pięknego dnia zakodowało wszystko. Wirus jest bardzo mądry bo jakikolwiek backup nawet starszy powoduje automatyczne kodowanie.

SoulsMaster - dzięki ale te sposoby nie działają.

Pozdrawiam