Recommended Posts

Witam. Czy posiada ktoś bardziej szczegółowe informacje na temat wyżej wymienionego ransomware? Bardziej szczegółowe informacje mam na myśli czy istnieje w ogóle szansa na zdekryptowanie tego (a może już jakiś dekryptor istnieje?), jeżeli nie zapowiada się na zdekryptowanie tego, to czy istnieje jakaś szansa na odzyskanie plików? Mam ponad 1TB danych z rozszerzeniem .losers, zdjęcia z okresu ostatnich 15 lat, mase ważnych danych i tak dalej. Mega zależy mi na odzyskaniu danych, ale z tego co wiem ten akurat ransomware jest stosunkowo nowy i ciężko znaleźć mi jakieś bardziej pożyteczne informacje na jego temat. Może znajdzie się tutaj jakaś mądra głowa, która wie coś więcej. Z góry dziękuję za rady.

PS: System operacyjny Windows 7 64-bit, nie korzystam z oprogramowania antywirusowego, ściągnąłem pare programow anti-ransomware, ale wiadomo z jakim skutkiem. Próbowałem też programów do przywracania plików, ale żaden z nich nie jest w stanie odkopać starszych wersji zenryptowanych plików, tylko te z formatem .losers. 

Share this post


Link to post
Share on other sites

Dobry Wieczór spdmiked55,

Dziękuję za kontakt ze wsparciem technicznym firmy Emsisoft.

Ransomware Losers jest stosunkowo nowym zagrożeniem i potrafi mieć kilka odmian. Czy byłaby możliwość przesłania jednego z zaszyfrowanych plików na portal ID Ransomware, tak abyśmy mogli zweryfikować z jakiego rodzaju Ransomware mamy do czynienia.
 
Proszę pobrać i zainstalować Emsisoft Emergency Kit oraz Farbar Recovery Scan Tool.
Oba skany należy przeprowadzić, w trybie normalnym, nie awaryjnym, oraz z zamkniętymi przeglądarkami.
 
Proszę pobrać i uruchomić Emsisoft Emergency Kit (EEK):
 
1. Proszę kliknąć  dwukrotnie na EmergencyKitScanner.exe i zainstalować EEK
2. Gdy instalacja się zakończy program się automatycznie uruchomi.
3. Proszę kliknąć  "Tak", aby Emsisoft Emergency Kit się zaktualizował. 
4. Następnie należy wybrać  "MALWARE SKAN" i skanowanie się rozpocznie.
WAŻNE: Nie należy poddawać kwarantannie ani nie usuwać wykrytych teraz zagrożeń. Potrzebny mi jest raport ze skanowania.
5. Po zakończeniu skanowania, proszę zapisać dziennik skanowania w łatwo dostępnym miejscu i załączyć go w kolejnym poście.
6. Można teraz bezpiecznie zamknąć Emsisoft Emergency Kit.

Będę potrzebować jeszcze drugiego logu:
(Należy pobrać program zgodny z posiadaną wersją Windows 32-bit lub 64-bit.)

Proszę pobrać i uruchomić Farbar Recovery Scan Tool (FRST)

1. Proszę kliknąć dwukrotnie, aby go uruchomić. 
2. Podczas uruchomienia wyskoczy okno z powiadomieniem, klikamy "Tak". 
3. Proszę kliknąć przycisk "Skanuj".
4. Farbar Recovery Scan Tool stworzy następujące dzienniki:
 
FRST.txt
Addition.txt
 
Uzyskane raporty proszę umieścić w kolejnym swoim poście, wybierając opcję "More Reply Options".

Share this post


Link to post
Share on other sites

Pytanie tylko, czy wyniki skanów cokolwiek pokażą, bo komputer jest po formacie i tak na prawdę po wirusie raczej ślad żaden nie został. Jedyne co zostało, to tak jak wspomniałem, 1 TB danych na osobnym dysku. Jeżeli rzeczywiście jest szansa, że te programy, które Pan wymienił coś pokażą, no to powrzucam te logi, proszę tylko dać znać, czy jest sens je robić w związku z formatem. 

Przesłałem jeden z plików na ID Ransomware, w odpowiedzi zwrotnej dostałem to, co w załączniku

Bez tytułu.jpg
Download Image

Share this post


Link to post
Share on other sites

Odmiana „Cry36” Ransomware Losers uniemożliwia odszyfrowanie danych.
W przypadku oprogramowania typu Ransomware, które wykorzystuje metodę „bezpiecznego szyfrowania”, które generuje każdorazowo nowe unikalne klucze dla każdego z osobna zainfekowanego komputera, zwykle nie ma możliwości odszyfrowania takich plików bez unikalnego klucza, udostępnionego przez twórców takiego Ransomware bez dokonania okupu.
Przed dokonaniem formatowania dysku twardego, była  możliwość podjęcia próby odzyskania danych z tzw. „Shadow Copy, przy użyciu darmowej aplikacji Shadow Explorer.  Niestety nawet w przypadku kiedy nie dokonałby Pan formatowania dysku z systemem, nie będziemy mieć nigdy gwarancji, że wspomniana wcześniej aplikacja pomoże, gdyż przeważnie oprogramowanie Ransomware usuwa kopie Volume Shadow. Aplikacja Shadow Explorer prawdopodobnie by tutaj za wiele nie pomogła. Nawet jeśli kopie woluminów w tle nie zostałyby usunięte, mogły by być prawdopodobnie „uszczuplone”, ponieważ system Windows normalnie używałby tych kopii by starać się uzyskać dostęp do zaszyfrowanych danych, co by od razu przekreślało szanse na podjęcie próby odzyskania danych w przyszłości. 

W przypadku, w którym kopie woluminów są usunięte, należy pamiętać, że Ransomware nie usuwa tych kopii w sposób dokładny i bezpowrotny, dzięki czemu jest możliwość spróbowania przywrócenia starych kopii woluminów, za pomocą aplikacji, służących do odzyskiwania skasowanych przypadkowo plików. Jeśli program do odzyskiwania danych odnalazłby kopie woluminów  następnie konieczne byłoby uruchomienie aplikacji  Shadow Explorer do odzyskania starszej wersji tych plików.  Niestety ta operacja nie jest prosta, (komputer musi być uruchomiony przy użyciu bootowalnego nośnika, aby uzyskać możliwość zapisywania informacji w folderze systemowym "Volume Shadow Copies"). 

W przypadku, chęci wypróbowania tej metody, zasugerowałbym kontakt z osobą znajomą, bądź z informatykiem, który będzie w stanie podjąć się próby wykonania powyższej operacji. Przykro mi, ale prawdopodobieństwo odzyskania danych jest bardzo małe.

Tutaj zamieszczam listę narzędzi służących do przywracania skasowanych danych., które służą przywróceniu danych.

W razie dodatkowych pytań, zapraszam do ponownego kontaktu.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now


  • Recently Browsing   0 members

    No registered users viewing this page.