Elkaptam egy ransom. Spora nevezetű vírust, cryptelte az összes fájlom, tudok mit csinálni ellene?

A titkosítóvírusok legnagyobb problémája hogy olyan eljárással dolgoznak amit nem tudsz megkerülni és feltörni sem. Jobb esetben kapsz egy elérhetőséget ami által fizethetsz és megkapod a feloldókulcsot és visszakaphatod az elveszett dolgaid 100%-át. Csak a zsarolásnak engedni azt a folyamatot gerjeszti hogy még több ilyen vírus legyen, mert ha hajlandóak fizetni akkor megéri csinálni.

És persze nem is kevés pénzről van szó, 1 bitcoin valami 200 ezer forint felett van most.

Esetleg annak még utána tudsz nézni a neten hogy konkrétan ez a vírus mit csinál és hogyan oldható meg a probléma, mert régen ezek helyileg tárolták a feloldókulcsot és pár esetben vissza lehetett fejteni a generált kódot. Ma már az jellemző hogy a kulcsot kiküldi a netre a vírus, és a hozzáféréshez kell fizetni. Akkor pedig veszett a dolog, hacsak nem fizetsz.

Tanulságként engem még az érdekelne, hogy hogy lehet ilyet összeszedni? E-mail csatolmány, oldal-átirányítás, kamu web-összetevő frissítési felkérés, vagy nem is tudom...

Sajnos ismerős... Kedvesem futott bele ebbe a gusztustalan ransome vírusba. Egy közismert magyar pizzéria oldaláról kapta el. Az eredeti, és előtte többször használt rendelő oldal helyett egy szétesett CSS szerű oldalt hozott be. Semmi "más linkre irányítás" nem történt, a szerver hordozója lehet a vírusnak. Felhívtam őket hogy tudjanak a problémáról, nehogy más is így járjon. Ami érdekesség, hogy az oldal pár percel később hibátlanúl tette a dolgát, más gépről is rendesen működött (a vállalati gépem nagyon magas szinten védet és backupolt, bátorkodtam menézni vele).

A következmények: írás védetté tette mindkét meghajtót és minden azon létező adatát (családi fotók, videók, dokumentumok, tananyagok, szakdolgozat, minden de minden...)

Deep-web kutakodás után maga a vírus eltávolítása nem okozott különösebb problémát, de az enkriptált adatok visszafejtése kvázi lehetetlen. Rendszerprogramozóként azt mondom, ez az 1024 bites AES RSA titkosítás amit a kód használ az enkriptáláshoz, belátható időn belül nem visszafejthető. A public key megtalálható a gépen percek alatt de önmagában semmit nem ér.

Külön érdekesség hogy nincs szüksége internet kapcsolatra ahhoz hogy tegye a dolgát miután bekaptad. Az oldal ahol a váltságdíjat fizethetjük be, különösen kifinomúlt, ha lehet ilyet mondani esetünkben, profi munka. Online chat-elhetsz a támadókkal, és különféle csomagokat ajánlanak különféle árakon az áldozatoknak. 70.000 Ft-ért oldják fel, ezt 7 naponta 30.000 Ft-al emelik. Őrület!

Magyar cikk:

[link]

A vírust itt kivesézték szakemberek működés szempontjából:

[link]

Ha belefutottál akkor itt vannak a teendők, de ezek csak akkor érvényesek ha van backup és visszaállítási pont beállítva a windows-ban:

[link]

[link]

[link]

Ha nincs backup, jelen esetben 3 lehetőség van:

- Hibáztak a kóddal valahol az alkotók, és ez alapján egy nagy vállalat (Kaspersky többek között példáúl sokat foglalkozik ilyennel) visszafejti majd közzéteszi a megoldást

- Megkönyörülnek a támadók és közzéteszik maguktól a kódot (volt már rá példa, de sokkal inkább soha nem törtéink meg)

- Lecsapnak rájuk és a lefoglalt/feltört gépek alapján teszik közre a kódokat

Mind három lehetőséghez idő kell, és kicsi az esély. Nagyon sajnálom és együtt érzek veled, nem egyszerű dolog ez. Ha esetleg találok valamit még akkor azt megosztom szívesen.

Végül egy jótanács a többieknek: "Always have backup before you fuckup!" (Mindíg legyen biztonsági másolatod mielőtt rába**ol!)

#5 válaszoló: HTML kiterjesztésű volt a font, nem exe.

"Google Chrome Font Pack updated" néven jött.

Cikk:

[link]