A CTB-Locker vagy Critroni nevű trójai vírus aminek a hivatalos neve Win32/Filecoder.DA.GEN 2015.01.19-én bukkant fel és azóta sorra szedi áldozatait. A vírus egy igen erős, AES 256 bites katonai kódolást használ (ECC: Elliptikus Görbéken Alapuló Titkosítást, bővebben itt: LINK) ami titkosítja a fájlainkat. Jelenleg a következő fájlokat teszi olvashatatlanná:

.7z*, .3fr, .accdb, .ai*, .arw, .av*, .bay, .bkf, .cdr, .cer, .cr*, .dbf, .dcr, .ddrw, .der, .djvu, .dng, .do*, .dwg, .dx*.eps, .era, .erf, .gif, .gpg, .ico, .ind, .jp*, .kd*, .mbx, .md*, .nef, .pmg, mrw, .mp*, .nef, .nrw, .od*, .orf, .pl2, .p7b, .p7c, .pas, .pd*, .pe*, .pfx, .php, .potx, .pp*, .ps*, .ptx, .r3d, .ra*, .rtf, .rw*, .sda, .sfx, .sld, .sql, .sr*, .text, .wallet, .wb2, .wp*, .xl*, .zip

A vírus első példánya 2013 szeptemberében került fel az internetre akkor még gyengébb titkosítást használt, amire a PANDA Security Vírusírtó cég készített egy visszafejtő programot, ami annál a verziónál még működött. A jelenlegi típus már annyira mélyen kódolja a fájlokat, hogy helyreállító kulcs nélkül esélytelen lesz visszaállítani a fájlokat. Akinek fontosak az adataik, megpróbálhatják befizetni a “váltságdíjat”mely után az esetek többségében elküldik a visszafejtő programot, de itt van egy kis csavar. Miután megkapjuk a vírust, elkezd visszaszámolni, ami annyit jelent, hogy a képernyőn látható ideig őrzik meg a kulcsot. Magyarul annyi időnk van befizetni a pénzt. Amennyiben ezt elmulasztjuk, semmi lehetőségünk sem lesz a dekódolásra. Korábban kiderült, hogy az Amerikai Rendőrség is megkapta ezt a vírust és ők kénytelenek voltak fizetni a dekódolásért. Részletesebben:

Sokan nem vesznek tudomást a vírus komolyságáról, ezért felhívjuk mindenki figyelmét, hogy ha ez az ablak megjelenik a képernyőn, azonnal húzzák ki a konnektorból a gépet! Hangsúlyozzuk, hogy NEM LEÁLLÍTANI, hanem áramtalanítani kell a gépet, mivel amint feljön az ablak, elkezdi sorra kódolni a fájlokat, ami meghajtóról meghajtóra megy.

Egy gyors áramtalanítással rengeteg dokumentumot menthetünk meg. Áramtalanítás után célszerű elvinni a gépet egy szervizbe, ahol megfelelő körülmények között leirtják a vírust , anélkül, hogy további fájlokat kódolna. Ezt a vírusirtást mi is vállaljuk szervizünkben,  (1132 Budapest, Visegrádi utca 58/B.) amennyiben módjában áll elhozni a számítógépét, de igény esetén helyszínen is meg tudjuk oldani.

Akinek mégse jelenne meg az ablak akkor a vírus valószínű , hogy a háttérből fut. Néhány előjel megfigyelhető például hirtelen lelassul a gép , nagyon sokat tölt a gép (hallani ahogy dolgozik a HDD a háttérben). Továbbá megtudtuk , hogy többnyire exe formában jön be a gépre vagy zip vagy rar archívumban néhány esetben PDF fájlnak álcázva magát ( pl:számla.pdf.exe). A legutóbbi források alapján a TEK nevével küld egy e-mailt amihez csatol egy zip fájlt és abban van a vírus. Legfrissebb csatolmány kiterjesztések amiben a vírus van : cab, scr, ttf, zip

Ismert csatolmányok:

  • UpdateFlashPlayer_<számsor>.exe
  • Court_Notice_Print_Document_Date_<nap-hónap-év>.exe
  • BestBuy_Order.exe
  • <13 darab szám>.scr
  • payment_81274_pdf.scr
  • FaxMessage69831_82741-84712.scr
  • candelabra.zip
  • niederkircher_str_6_365785.cab
  • 12312878.exe
  • inveigle.zip
  • temp_cab_5869123.cab
  • j_petera_and_cie_kg.cab
  • <8 darab betű>_<4 darab betű>_<3 darab betű>.cab

Amit még érdemes megjegyezni , hogy vírus általában nem a központi meghajtókat támadja hanem először az USB-n felcsatolt eszközöket (Pendrive , külső HDD, SD kártya). Ezekkel ha végzett úgy sorra jönnek a fő meghajtók C:\ D:\ E:\

Megelőző intézkedések

  • Ne kövesse a kéretlen internetes hivatkozásokat e-mail üzenetekben vagy olyan dolgokat amik velük kapcsolatosak. Pl.: (“nézd találtam rólad egy képet a neten”)
  • Legyen óvatos, amikor kinyitja az e-mail mellékleteket.
  • Figyelje az operációs rendszerek és szoftverek, beleértve a vírusvédelmet, up-to-date és a legújabb javításokat.
  • Ajánlatos becsomagolni a fontosabb dokumentumainkat rar vagy zip fájlba , majd átnevezni a kiterjesztését olyanra amit nem kódol a vírus például (mentes.12345 vagy mentes.mentes).
  • Végezzen mindig adatmentést vagy külső HDD-re, vagy írható DVD-re ami írásvédett.
  • Total Commander segítségével rakjuk át a fájlainkat (csak olvasható attribútumba) így a vírus nem tud hozzájuk férni mivel írásvédettek lettek.

Van egy új amolyan védelmi program ami megvédi az adatainkat , hogy ne lehessen kódolni ennek a hivatalos neve CryptoPrevent. Létezik belőle ingyenes illetve prémium termék is.

Az ingyenes verzió tartalmazza:

  • CryptoLocker, CopyCAT, és más Ransomware védelem (malware, amely titkosítja a fájlokat)
  • Védelem a hamis fájl kiterjesztések és egyéb trójai alapú malware ellen. (fájlnév.jpg.coonbha)
  • Csaknem 200-adatvédelmi szabály hozható létre, hogy blokkolja a rosszindulatú futtatható beállításoktól függően választott programot.
  • Eseménynapló , hogy vissza tudjuk nézni hogy melyik fájlban történt változás
  • Kézi frissítése az alkalmazásnak és a definíciós fájloknak

Informatika biztonsági kutatók szerint az otthoni és a céges hálózatokban használt NAS Szerverek sem kivételek a vírus elől, mivel az összes felcsatolt hálózati meghajtókra is átterjed a vírus, majd ott is kódolja az adatokat.

Egy magyar csapat már elkezdett dolgozni egy dekódoló programon, ami egy hibás, illetve egy helyreállított fájlt vizsgál meg és a kettő közti különbségből fejti meg a kódot.

Részlet egy programozó (arpi_esp) megjegyzéséből: 2015.01.22

“Kaptam ma pár minta filet, azokban vannak ilyen ismétlődések (néha sok 100 soron át!), valószínűleg ott, ahol eredetileg 00-ak voltak:

00000980 99 89 8C 13 | 4C 40 98 0D | C4 04 7E EC | 69 1D CC 3C
00000990 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90
000009A0 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90
000009B0 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90
000009C0 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90
000009D0 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90

ebből 2 dolog következik: 256 bites block kódolást használ, és legalábbis fileon belül végig ugyanaz lehet a kulcs. Szerintem ennyiből a dekódoló kulcs (az adott filera legalább) kitalálható.

A probléma azokkal lesz, ahol nem ismerjük az eredeti tartalmat részben sem, de azért a gyakoribb típusoknál (ms office, pdf stb) azért vannak állandó részek mindig.”

 

Részlet egy másik programozó (Nagy Péter) megjegyzéséből: 2015.01.23

“Leírok pár dolgot, amit már megfejtettem, hogy ha esetleg más is dolgozik a dekódolón, vagy van ötlete, akkor több szem többet lát alapon jól jöhet némi infó:

– A kódoló azonos adattartalmú fájlokat egyazon könyvtárban is más-más állománnyá kódolja (kódolatlanul bitre azonos fájlok kódolva teljesen máshogy néznek ki)
– Különböző könyvtárban lévő teljesen azonos fájlok (név is azonos) esetén sem egyeznek a kódolt fájlok egymással (ugyanolyan nevű fájl azonos adattartalommal más-más könyvtárban kódolva különbözik)
– A kódolás egyik lépése tömörítés (4096 bájtnyi azonos betűt tartalmazó fájlt >100 bájt méretre konvertál, tömörítet állományok esetén jelentéktelen a méretcsökkenés)
– Teljesen offline gépen (hálókártya nélkül), lefuttatva is sikeresen kódol. A weboldalon begépelve a program által a fenyegető üzenetekbe tett “publikus kulcs”-al, és a kódolt fájlal az egy ingyenesen kérhető dekódolást meg tudja csinálni helyesen a weboldal (tehát a publikus kulcs elegendő a dekódoláshoz).
– a Publikus kulcs, amit ad pl.:
APREQFO-FD3CFJK-OO56DS5-XCCGGEJ-33HD5ZV-ACQ6DGW-EPDDANB-ZLGHOIY
SSZIH56-S2Z7HWS-ZKWHSHZ-SJPVYDT-QBW4JQS-MGQDAFR-WSZQFDL-4EXGRQ6
RT3FGC2-VIG4344-WDHAMAG-H4CEZGP-ANOJ4WW-DIVR25N-EZ33TS7-22KB7JT

– Ennek a kulcsnak a végét átírva is helyes kódot kapunk, és szintén sikeresen lehet dekódolni vele.
pl. Ezzel szintén sikeresen dekódolható az a fájl, ami az előzővel:
APREQFO-FD3CFJK-OO56DS5-XCCGGEJ-33HD5ZV-ACQ6DGW-EPDDANB-ZLGHOIY
SSZIH56-S2Z7HWS-ZKWHSHZ-SJPVYDT-QBW4JQS-MGQDAFR-WSZQFDL-4EXGRQ6
RT3FGC2-VIG4344-WDHAMAG-H4CEZGP-ANOJXXX-XXXXXXX-XXXXXXX-XXXXXXX

(Minden fájlhoz viszont csak a hozzá tartozó “publikus kulcsot” fogadja el a program! – Aki nem fizetett, és nem is fog, ezt a kulcsot tegye el, mert szinte biztos, hogy kelleni fog majd)
– A kódolás folyamán a fájlok első 48 karakterét írja ki először, majd csak utána kezd neki a fájl tartalmi részét kiírni. Valószínű, hogy az első 48 bit a kulcs része.
– A kódolás megkezdésének ideje kinyerhető a fájlok kiterjesztéséből (szinte azonos időben, azonos környezetben induló két kódolás kiterjesztése hasonló vagy azonos)”

2015.01.26 (Nagy Péter)

Rossz hír mindenkinek, hogy sikerült az egész programot visszafejtenem, és sajnos nem sok esély van rá, hogy visszanyerjünk adatokat fizetés nélkül. (csak ha sikerül a szerverükről ellopni a privát kulcsot)

A titkosítás, amit használ, eltér az eddigiekétől.
A régebbi változatok úgy működtek, hogy a mi gépünkön generáltak egy privát és egy publikus kulcsot, majd a publikusat meghagyták nálunk, a privátot pedig elküldték a szerverre, úgy, hogy az a gépünkön sosem lett lementve. Itt azonban ezt tovább gondolták.

A privát és a publikus kulcsot egy példányban hozták létre, a privát kulcs ebből sosem került ki a kezeik közül, a publikus pedig a programba van építve.
A program a gépen lefutva a publikus kulcshoz generál egy úgynevezett “közös titkot”, amellyel párban kódolja az állományokat. A dekódoláshoz pedig a privát kulcsra, és a közös titokra van szükség. A közös titok az abban a számsorban van, amit ők publikus kulcs néven emlegetnek a programban, és teljesen véletlenszerű, a gépen generált adat.

A Fájlokat szimmetrikus AES kódolással kódolja csak le, viszont mindegyik állományt egyedileg, és az AES kuclsot az állományok elejére írja. Csak hogy ne legyen könnyű dolgunk, a fájlok elején lévő AES kulcsot titkosítja csak le a publikus kulcs és a közös titok párosával, amit viszont nem tudunk dekódolni. Így két lehetőségünk van.
Vagy kitaláljuk az AES kulcsot, ami minden általa kódolt állományra egyedi, tehát minden fájlra külön kell kitalálni, vagy megszerezzük a privát kulcsot a szerverükről, amelyet a saját gépünkön letárolt közös titokkal együtt felhasználva tudjuk dekódoljuk a fájlok elején lévő AES kulcsokat, és utána az így dekódolt AES kulcsokkal dekódoljuk a fájlokat.

Szóval ezúttal tényleg érdemi kódolást használtak, és csak abban lehet reménykedni, hogy a privát kulcsuk valahogy kikerül a szerverükről.

A megoldás:

1. Elvisszük a készüléket egy szervizbe, ahol leirtják nekünk a vírust.

Ha mi magunk csináljuk:

2. A gépen belül, csökkentett módban leirtjuk a vírust.

3. Visszaállítjuk a “lekódolt” fájlokat a korábbi, eredeti állapotukba.

1. módszer:

Természetesen vállaljuk a vírus szakszerű leirtását, amennyiben el tudja hozni készülékét a szervizünkbe.

A teljes vírusirtás díja 6 900 Ft Bruttó. Ezért az összegért egy teljes vírus és kémprogram ellenőrzést csinálunk a gépen (beleértve a CTB-Locker eltávolítását), hogy kiszűrjük az esetleges egyéb vírusokat.

Akár házhoz is tudunk menni, de érdemesebb elhozni, vagy hagyni, hogy mi elhozhassuk a szervizbe a készüléket, mivel a teljes gép vírus ellenőrzése 2-3 óra is lehet. Általában az a tapasztalatunk, hogy ahol egy ilyen vírus felbukkan, ott más vírusok is megtalálhatók a gépen.

2. módszer:

1. lépés: A számítógép bekapcsolása után, mielőtt elkezdi a Windowst tölteni, nyomjuk le az F8 billentyűt, hogy feljöjjön a rendszerindító menü.

2. lépés: Indítsuk el csökkentett mód, hálózattal módban a rendszerünket.

3. lépés: Töltsük le a következő vírusirtót: Malwarebytes Anti-Malware

4. lépés: Telepítés után indítsuk el a vírusirtót és futtassuk le a ‘Mélyvizsgálat’-ot.

5. lépés: Miután végzett a kereséssel, kattintsunk a jobb oldalt alul megjelenő ‘Részletek’ megjelenítése gombra, és az ott található teljes listát jelöljük ki és töröljük vagy helyezzük karanténba az adott elemeket!

6. lépés: A vírusok törlése után indítsuk újra a gépünket és ha minden igaz, eltűnt a vírus.

7. lépés: Ez után érdemes a rendes vírusirtónkkal (javasoljuk például az Avast ingyenes verzióját) szintén átnézetni a gépet, hátha maradt még rajta más vírus is.

3. módszer

Amennyiben be van kapcsolva a Rendszer-visszaállítás (Vezérlőpult\Rendszer és biztonság\Rendszer\Speciális rendszerbeállítások\Rendszervédelem) funkció a Windows-ban (a funkció elérhető Windows XP Service Pack 2, Windows Vista, Windows 7 és Windows 8), a rendszer készít egy ‘árnyék másolatot’, vagyis biztonsági mentést a rendszerbeállításokról és a fájlokról.

Ezekből a mentésekből lehetőségünk van visszaállítani a fájlokat egy olyan állapotba, amikor még nem lettek megfertőzve a vírussal. Sajnos ez nem egy tökéletes megoldás, mert elképzelhető, hogy nem a legfrissebb állapota van lementve a fájlnak, hanem csak egy régebbi változata.

Amennyiben a Rendszervédelem ki van kapcsolva a számítógépen, és nincs lehetősége a Rendszer-visszaállításra, érdemes szakemberhez fordulni, hogy visszaállítsa adatait megfelelő állapotukra.

Hogyan lehet visszaállítani a CTB-Locker által titkosított fájlokat a Shadow Explorer segítségével:

A fertőzött fájlokat a Shadow Explorer (letöltés itt) programmal tudjuk visszaállítani egy korábbi állapotra.

Amikor elindítja a programot, akkor a bal felső sarokban megjelennek a meghajtók és a dátumok, az elérhető biztonsági mentésekről.

Válassza ki a meghajtót, hogy honnan, és az időpont, hogy mikori állapotra szeretné visszaállítania fájlokat.

Ha egy teljes könyvtárat szeretne visszaállítani, akkor kattintson jobb gombbal a könyvtár nevére és válassza ki az Export funkciót. Ekkor a program megkérdezi, hogy hova mentse ki a könyvtár tartalmát.

Remélem sikerült segítenünk, sok sikert a vírus irtásához!

A cikket írta: Kovács Ádám – yszerviz.hu

Frissítve:2015.01.30

Amennyiben hasznosnak találta a cikkünket, kérjük, segítse munkánkat egy Like-al a facebookon: http://facebook.com/yszerviz
Köszönjük!

CTB-Locker / Critroni vírus eltávolítása

22 thoughts on “CTB-Locker / Critroni vírus eltávolítása

  • 2015.01.24. at 14:51
    Permalink

    Itt már a ShadowExplorer igencsak kevés. 🙁

    Válasz
  • 2015.01.26. at 00:16
    Permalink

    És hogy miért kevés?

    “Ezzel kapcsolatban fontos tisztázni, hogy a helyi mentés egymagában kevés: vagyis a Backup, a lokális Shadow Copy, a rendszer-visszaállítás vagy éppen a helyi tükrözés nem ér semmit, mert a kártevő ezeket letörli, illetve a helyben tárolt tükrözött másolatokat is ugyanúgy letitkosítja.”

    Tehát ha nincs máshol biztonsági mentése az embernek, vagy nem fizet, akkor örökre elfelejtheti a fájljait. Ha csak valaki meg nem fejti, hogy mi lehet a privát kulcs, amivel dekódolni lehet a fájlokat. A privát kulcs pedig szerintem is ott lapulhat a kapott publikus kulcsban. De 168 karakteres kulcsból rájönni a privát kulcsra, hm. Mintha egy ebihalat keresnénk a Csendes Óceánba.

    Válasz
  • 2015.01.29. at 10:22
    Permalink

    én beszívtam ezzel a rohadékkal…. pillanatok alatt kódol a mocsok… most azt várom, hogy ezek a derék urak megírjanak egy dekódolót.

    az eset is ír talán, a Win32/Filecoder többi variánsához már írtak: http://www.virusradar.com/en/tools/cleaners

    Válasz
  • 2015.01.31. at 14:19
    Permalink

    Sajnos jelenleg még nincs rá megoldás. Én is az ESET-ben vagy a Pandában bízok. Bár én nem vagyok érintett, de a köreimben vannak érintettek.

    Válasz
  • 2015.02.02. at 10:38
    Permalink

    Szeretnék megkérdezni az oldal üzemeltetőit/a Tisztelt Szervízt, hogy ha van vmi áttörés a kódfeltörés frontján, akkor számíthatunk arra, hogy ők értesítenek ITT minket? Köszönöm szépen.

    Válasz
  • 2015.02.02. at 14:53
    Permalink

    Tud-e valaki segíteni ???
    Nekem is megfertőzte a gépemet a CTB locker. Az alábbi üzenetet kaptam:
    “Your documents, photos, databases and other important files have been encrypted
    with strongest encryption and unique key, generated for this computer.

    Private decryption key is stored on a secret Internet server and nobody can
    decrypt your files until you pay and obtain the private key.

    If you see the main locker window, follow the instructions on the locker.
    Overwise, it’s seems that you or your antivirus deleted the locker program.
    Now you have the last chance to decrypt your files.

    Open http://w7yue5dc5amppggs.onion.cab or http://w7yue5dc5amppggs.tor2web.org
    in your browser. They are public gates to the secret server.

    If you have problems with gates, use direct connection:

    1. Download Tor Browser from http://torproject.org

    2. In the Tor Browser open the http://w7yue5dc5amppggs.onion/
    Note that this server is available via Tor Browser only.
    Retry in 1 hour if site is not reachable.

    Copy and paste the following public key in the input form on server. Avoid missprints.
    VK63L42-NQIQ2FM-JDQPC7H-ZEAHXTQ-MOK5I5N-KSKREWE-V3S4GK6-X7OTNLH
    QQJKGX4-4JOEGIT-6KFGGPG-MQPH2UU-KRFSTRW-Q4VRW2X-QPZUBZI-PVSISJV
    G7EWFDR-7UDRACZ-YEK7TJN-62AENP2-LNNLLIX-VW4QMW4-UY5T6M4-XVRGIUG

    Follow the instructions on the server.”

    Ahogy olvastam a dolgokról, ez csak abban külömbözik más fertözöttek estétől, hogy itt nem szabtak meg időpontot, hogy hány óra alatt kell befizetni a “váltságdijjat”.
    Mivel ez nem is a saját gépem, hanem céges, ezért kötelességem volt előbb a cég IT-nek jelenteni, akik különböző vírus irtó programokkal, mostanra már kiirtották róla a vírust (ahogy elnézem a Shadow File-okat is, mert visszaállításra nincs lehetőségem a Shadow Explorer-el)
    Tehát vírus már nincs rajta, de a filok használhatatlanok, sőt a külső tárolómon is, mert akkor kaptam a fertőzést mikor rá volt csatlakoztatva a gépre, mert dolgoztam vele.

    Számos angol nyelvű blogot és tanácsot is végigolvastam. Van aki kifizette a váltságdíjat és megkapta a kódot és van aki nem. Megpróbáltam a Tor Browserrel megnyitni a zsarolók által megjelölt oldalt, de nem találja meg, tehát nem tudom hova beírni a publikus kulcsot, bár nagyon szeretném tudni, hogy mennyit kellene fizetnem.

    Próbálkozott-e már valaki ezzel a megoldással? Lehet, hogy nem is létezik a megadott
    http://w7yue5dc5amppggs.onion/ cím?

    Kérem, osszák meg velem, ha valami fejlemény van dekódolás ügyben.
    Nagyon köszönöm a segítséget.

    Válasz
  • 2015.02.02. at 20:51
    Permalink

    elöző hozzászóláshoz:
    Sikerült megnyitni a Tor Browserrel a megadott oldalt. A titkos kulcsért 2,5 Bitcoint kérnek a zsarolók és mintegy hitelt adva a kérésüknek az oldal felajánlja, hogy 1 fájlt feltölthetek, amit dekódolnak.
    Fel is töltöttem egy ilyen fájlt viszont a szerver azt jelezte vissza, hogy ez a fájl nem kódolt, nem tartalmazza az általuk elküldött publikus kulcsot.

    Erre van megoldás? Most már ők maguk sem ismerik fel a kulcsot, amit küldtek?

    Kérem segítsenek – pótolhatatlan anyagom van a fájlok között!

    Köszönöm

    Válasz
  • 2015.02.04. at 21:46
    Permalink

    Derekasan becumiztam. A gép csak csökkentett módban indult újra. A Malwarebytes Anti-Malware nagyon sokat talált. Most az Eset on-line fut, jelenleg a harmadánál tart és eddig vagy 80 fertőzést észlelt. A gépen az Avira volt, és egy gyanús email csatolmányát meg is néztem vele, de nem talált semmit. Ezt követően kezdett lassulni a rendszer. Normálisan már nem tudtam újra indítani. Egyik megnézett fileból sem volt korábbi verzió, a ShadowExplorer pedig üres. Van korábbi rendszer-visszaállítási pont, de nem tudom, hogy mi értelme lesz elindítani.
    Nem tudom, hogy van-e már dekódoló.

    Válasz
  • 2015.02.06. at 12:57
    Permalink

    Sajnos eddig még nem találtak megoldást a fájlok visszafejtésére. Egyetlen esély az ha valaki fizet. De ez is csak esély. Nincs rá garancia. Én biztos nem fizetnék, buzdítva ezzel a programírókat, hogy újabb vírusokat terjesszenek. Én még mindig a Pandában vagy az Esetben bízok, hogy ők fognak segíteni a károsultaknak. Az előző ilyen 2013-as vírusra a Panda cég írt egy decrypt programot, amivel sikerült visszafejteni a fájlokat. Sajnos most sokkal komolyabb kódolást használtak az elkövetők. Így kisebb az esély a visszafejtő programra.
    Én az ismerőseim gépén, mivel semmi mással nem értem el eredményt, Recovery programmal tudtam néhány fájlt visszaállítani. 2000 db képből kb. 150-et, és néhány dokumentum is visszajött. Nem sok, de a semminél több.

    Válasz
  • 2015.02.06. at 17:28
    Permalink

    KÖSZÖNÖM YSZERVÍZ!!!
    Sikerült alkalmaznom a második módszert, tehát az Anti-Malware letöltése, stb.
    Igaz, az újraindítás után mintegy háttérképként ott maradt egy olyan “párbeszédpanel”, mint amilyen a visszaszámolós volt, de legalább sikerült lefényképeznem. Most megpróbálom ide beilleszteni, vagy mailban elküldöm, hogy a hozzáértők hasznát vegyék.
    Ennek törlése érdekében lefuttattam mégegyszer az Anti-Malwaret, de semmi.
    Aztán gondoltam egy lazát és belementem az Asztal/Megjelenítés tulajdonságai/Témák menübe, hogy hátha ott megtalálom a kép hivatkozási helyét. Meglepetésemre az volt kijelölve/alkalmazva, hogy “Windows XP (módosított)”. Próbaképpen átállítottam a “Windows XP”-re és láss csodát: bejött a megszokott zöld domb, kék éggel! Sőt eltűnt a “kínálatból” az előbb említett sor.
    Még jó, hogy lefényképeztem…
    Sajnos ide nem tudtam beilleszteni, de valahogy elküldöm és a szervíz talán közzéteszi.
    Még egyszer köszönöm a segítséget. Egyébként még sose csináltam ilyet, mégis sikerült, mert jó volt a leírás és a módszer is!
    Tisztelettel : L.Z.

    Válasz
  • 2015.02.06. at 18:25
    Permalink

    Természetesen a vírus eltávolítására van megoldás, de sajnos a titkosított fájlok visszafejtésére még nincs. Hacsak az illetőnek nincs belőle biztonsági másolata. Abból visszatudja állítani a fájlokat.

    Válasz
  • 2015.02.07. at 08:44
    Permalink

    Sajnos mi is belefutottunk a héten, és az utóbbi 8 év közel 40000 fényképét tette elérhetetlenné, melyek nagy része nem volt mentve más formában. Mivel a titkosítás feloldására semmilyen módszer sincs még, így a 3 bitcoin kifizetése mellett döntöttem. 15 perccel a fizetés után a program jelezte, hogy megkezdte a titkosítás feloldását, majd 4 óra elteltével végzett, mindent visszaállított és törölte magát. Természetesen minden azonnal külső vinyóra mentve, majd Anti-Malware, majd biztonsági mentés és windows reinstall is jön majd. Eddig nem foglalkoztam sokat a biztonsági mentéssel, de most megtanultam, hogy működő Nod32 mellett is érheti nem kis meglepetés az embert.

    Válasz
  • 2015.02.07. at 11:45
    Permalink

    Tegnap egy cégnél belefutottam ebbe a virusba. Hozzáteszem gyorsan amit itt keírok saját tapasztalat. A fetőzött gépen az összes fentebb említett álomány titkosítva lett ráadásul a mentésre használt eszköz is éppen csatlakoztatva volt így az is. Természetesen azonnal a virus eltávolításával kezdtem a probléma megszüntetését de ez hiba. A shadow explorerrel addig lehet visszanyerni az álományokat amíg a virus aktív a gépen. Mivel 1 lokális és 1 online keresés alatt kezdtem el a visszanyerést addig remekül ment amíg az egyik kereső azonnal nem törölte a virus ezzel pedig a shadow explorer is leállt és többet egy fájlt se látott. A külsőleg csatlakoztatott eszközhöz meg hozzá se fér. Szóval az a javaslatom aki belefut ebbe a virusba az előbb nyerje vissza angájlokat és csak azután törölje a virust.

    Válasz
  • 2015.03.12. at 10:06
    Permalink

    valami hír a dekódolóról srácok?

    Válasz
  • 2015.05.02. at 19:07
    Permalink

    Sziasztok, belefutottam a vírusba, rendszert nem tudtam visszaállítani, az általatok ajánlott vírusírtóval a vírust sikerült eltávolítani, de a titkosított fájlok, képek maradtak. Van rá esély helyreállítani?

    Válasz
  • 2015.11.12. at 22:04
    Permalink

    Tisztelt fórumozók !
    Sajnos nekem is sikerült letöltenem a CTB-Lockert . A gép vinyóját ( C ) már újra raktam , de a másik vinyón ( F , 500 Gb.) vannak letitkosított ( ZUQDXKA file)-k amik még feloldásra várnak ! Remélem találnak ellenszert !!!!! 🙂
    Üdv.:Tibor

    Válasz
  • 2016.01.20. at 11:54
    Permalink

    Sziasztok!

    Történt már előrelépés a titkosító vírus feloldásáról?

    Válasz
    • 2016.02.06. at 00:14
      Permalink

      Sajnos én még nem hallottam róla. Pedig jó lenne, ha valaki foglalkozna vele. Az ismerősömnek is itt van már jó pár hónapja az összes családi videója és fotója, eltitkosítva az ő utódai számára.

      Válasz
  • 2016.03.27. at 17:51
    Permalink

    Helló ! egy 74 éves mérnök-közg. vagyok, aki legalább 20 éve felhasználója a számítástechnikának. Sajnos minden tűzfal, és aktív vírusirtó ( AVG )ellenére, 2016. márc.11-én én is belefutottam ebbe a nyavalyába úgy, hogy a Firefox-om közölt egy összeomlást és felajánlott egy helyreállítást, amit én jóváhagytam. 13.-án használtam utána a gépet és megdöbbenten láttam, hogy mindkét merevlemezemen valamennyi doc. ; jpg ; mp3 stb file betűkből és szá,okból álló új nevet kapott, ” LOCKY ” kiterjesztéssel és egyiket sem tudom megnyitni.
    Minden érintett könyvtár ( mappa) legelejére pedig egy txt. üzenet került amiben közlik a publikus személyi kulcsomat ( 1A55F3187E221556 ) ami nem túl bonyolult a többit meg már tudjátok ! Tíz év munkája, tervrajzok, tanulmányok tudományos munkák, családi események fotói-videói váltak hasznavehetetlenekké ! Abban reménykedem, hogy még azt a kódolást kaptam meg ami még a régebbi és lesz megoldás a dekodolásra,- mert 2. módszer szerinti vírusirtást ugyan megokdottam, a z Anti-malware segítségével de a files-ok nem nyithatóak meg ! Tisztelettel kérem aki tud az segítsen, mert inkább nekik fizetek, mint a szemét zsarolóknek ! S.O.S. meszaros.rudolf@upcmail.hu

    Válasz
  • 2017.02.14. at 19:01
    Permalink

    Sziasztok !!! Én is bekaptam tavaly a vírust ! A képeim 97%-a elveszett ! Csak az a problémám hogy én nem néztem rögtön utána mi a teendő és újraraktam a gépet ! Az lenne a kérdésem hogy a képeket visszabírom valahogy hozni ? Mert rengeteg családi kirándulás stb stb képek !

    Válasz

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.