Sigurnosni softver

Ransomware Grand Crab 5.1

Mrljavi sub 2.3.2019 15:02

Iako sam sa računalima i av-softverom kao i održavanjem više od 20 godina na "Ti", a komp mi je osnovni alat za posao, izgleda da opreza nikad nije dovoljno. Možda bi trebao biti malo i paranoičan ubuduće.


Prije par dana skinem sa neta par fajlova. Jedan kratki video, manual za novi mob i uglavnom ono što svi radimo na netu. Imam nekoliko sofvera koji paze na sve što se skida, skeniraju, upozore...I tako, jučer me pita žena: "...gdje su one fotke iz dvije-i-trinajste?" Kliknem na podatkovni hard pa na folder sa fotkama i videom i u tražilicu ukucam godinu. Fino mi izbaci popis, otvorim folder sa tim fotkama a unutra...ima fotki ali ih u stvari nema. Klik na fotku, neće. Pa onda "open with", neće. Pa promijeni ekstenziju, neće. I onda mi sine!! Pa fotke bi mi trebale biti jpg, png, tiff, psd...!! I onda - panika! Brzinski nasumični pregled po folderima i skoro sam dobio infarkt. Sve je zaključano! Osim fotki, ista stvar je i sa video fajlovima, sa mjuzom, nekim softverima...


U svakom folderu u kojemu su "zaključani" fajlovi, postoji txt fajl u kojemu je uputa kako i gdje platiti otključavanje. E kad me nije herc strefio!! A baš radi moguće havarije nikada ne držim bitne stvari na sistemskom hardu nego na fizički drugom, i pazim da su unutra samo slike, video, dokumenti i programi za reinstalaciju sa serijskim brojevima.

 

Dakle, txt fajl je "WGKDA-DECRYPT.txt" i u njemu piše: "


---= GANDCRAB V5.1 =---

***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .WGKDA

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.


The server with your key is in a closed network TOR. You can get there by the following ways:

----------------------------------------------------------------------------------------

| 0. Download Tor browser - https://www.torproject.org/

| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/121a065aa4de6328
| 4. Follow the instructions on this page

----------------------------------------------------------------------------------------

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.


ATTENTION!

IN ORDER TO PREVENT DATA DAMAGE:

* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW

---BEGIN GANDCRAB KEY---
lAQAAN6mlaUmfaZEmlxIYCYfxftIfgvd7/9d7AoEcxPtdga0... (itd. itd...)
---END GANDCRAB KEY---

---BEGIN PC DATA---
7ftDEgLb/ZS0lcmZbHM61KPJ4wOTD7cK2A6MbtAgbXYAWLQC95+cYAdxKWDx9M/JPZC3AvSVpuCmRVvIb3Q4Qz+.... (itd. itd...)
---END PC DATA---

 

 

Naravno da nisam niti pomislio platiti. I onda je uslijedila bjesomučna potraga za mogućim rješenjem, od sinoć od 21h do jutarnjih sati :/

Isprobao sam par metoda, cmd, restore point, malwarebytes, spyware hunter, safe mode cmd..i, nula bodova! Žena na rubu plača a ja samo sa jednom željom: "evo izbrišite mi sve sa kompa u zamjenu za pola sata na samo sa hakerom!!" I već vidim scenarij kako mu zavezanog za stolac čupam nokte, vadim oko, polako guram užarenu šipku 10-ku u koljeno, gasim ćikove na vratu...Onda se sjetim da ne pušim, pa ta zadnja opcija otpada :)
E da, na kraju, već odustajem i pogledavam desno prema ladici gdje mi je windows cd. U stvari, pomirio sam se da je sve uzalud i da mi je ostalo nezaključanih samo 100tinjak fotki od prije par dana ali me kopka i to da ipak možda, možda, možda...Prije samog gašenja kompa još jednom kliknem i potražim savjet i naiđem na BitDefender besplatni alat za otključavanje fajlova koji su zaključani sa Grand Crabom, od verzije 1, 4, 5, pa do verzije 5.1.

 

Ajd, skinem ja to tek toliko da si umirim savjet da sam probao sve prije formatiranja, pročitam par redaka uputa kako-zašto i pokrenem program. Odredim za početak jedan folder sa 50ak fotki, da vidim da li program uopće radi. Za minutu, program stane i, velika zelena kvaćica uz koju piše da je gotovo al ubuduće da si radim backup jer možda ne bude svaki puta uspješno otključavanje.
Otvorim ja taj folder sa otključanim fotkama a tamo - helouuu! Sve fotke otključane! Sve je opet tamo kako je i bilo, plus zaključani fajlovi. Znači, radi! Super! Oduševljenje! Pokrenem ponovo program i odaberem opciju "full scan". Program odradi, otključa i to je to!!!

Ako budete trebali otključavanje, prvo i bezuvjetno je da dubinski skenirate hardove sa nekim boljim av alatom da bi se ransomware uklonio sa kompa. Ja sam to napravio sa Malwarebytes. Sam Bit Defender Decryption alat ne pronalazi ransomware i služi isključivo za otključavanje fajlova! Pazite da vam av softver ne pobriše wgkda teksualne fajlove, a par tih fajlova prije skeniranja i dekriptiranja skopirajte i spremite recimo, online. Ne brišite prije otključavanja fajl WGKDA-DECRYPT.txt jer je bez njega otključavanje nemoguće!!! U njemu su "ključevi" za dekriptiranje, tako da...

 

Skinite program GandCrab Ransomware decryption tool i sa te lokacije ga pokrenite (BDGandCrabDecryptTool.exe). Ja sam taj *.exe skopirao na desktop i pokušao pokrenuti, pa nije radio. Meni je radilo pokretanje samo sa lokacije gdje je izvorno skinut. Iako na Bit Defenderovoj stranici nema na popisu "moje" ektenzije "wgkda", iz priloženoga vidite da je odradio posao. Program ne otključava fajlove veće od 4GB ali sve ostalo je otključano!! Fotke, dokumenti i fajlovi su na broju, žena sretna, haker na životu (dok ga netko ne dohvati) 

 

Nakon skeniranja i otključavanja, vaš log fajl, odnosno popis svih otključanih fajlova nalazi se na jednom od hardova, kod mene je na D:\temp\BDRansomDecryptor\BDRansomDecryptor

Rezultat otključavanja u mojem slučaju, iz *.log fajla je: Total decrypted files: [102886]
Ukoliko želite ponovo skenirati ili pokušati otključati nešto što nije uspjelo u prvom pokušaju, napravite kopiju log fajla da vam novi log fajl ne prepiše rezultate prvog skeniranja.

 

Nakon svega, sa win explorerom potražite sve fajlove sa ekstenzijom koju ste imali na fajlovima, odaberete sve i ctrl+del za brisanje.

 

Nadam se da sam nekome skratito muke i paniku 

 

 

 

 

Colossus7 sri 13.3.2019 18:13

**Iako sam sa računalima i av-softverom kao i održavanjem više od 20 godina na "Ti", a komp mi je osnovni alat za posao, izgleda da opreza nikad nije dovoljno. Možda bi trebao biti malo i paranoičan ubuduće.**

 

 

https://www.youtube.com/watch?v=YWSZJXhOvBw 

Posmatrač sri 13.3.2019 19:49
Mrljavi kaže...

Iako sam sa računalima i av-softverom kao i održavanjem više od 20 godina na "Ti", a komp mi je osnovni alat za posao, izgleda da opreza nikad nije dovoljno. Možda bi trebao biti malo i paranoičan ubuduće.


....

 

 

 

 

 Ne treba biti paranoican neko pametan pa sve drzati na 3 lokacije. Komp, nas i cloud,,,, Imao si mnogo srece samo to cu reci....kada izadje nova verzija moraces cekati danima ili mjesecima a mozda neces docekati nikad  tool za dekritpt...

Mrljavi pet 15.3.2019 19:39
djigibao kaže...
Mozes reci koji su ti to stalni programi koji te stite i rade u pozadini?

 

Microsoft Security Essentials
Malwarebytes (taman istekla licenca prije havarije, pa je radio u free modu, bez real-time zaštite)
SpyHunter4

 

Sva tri uredno ažurirana.

 

Ostaje mi upitnik iznad glave i pitanje, da li bi se to desilo da je Malwarebytes bio u real-time modu?!

 

djigibao pet 15.3.2019 19:54
Mrljavi kaže...
djigibao kaže...
Mozes reci koji su ti to stalni programi koji te stite i rade u pozadini?

 

Microsoft Security Essentials
Malwarebytes (taman istekla licenca prije havarije, pa je radio u free modu, bez real-time zaštite)
SpyHunter4

 

Sva tri uredno ažurirana.

 

Ostaje mi upitnik iznad glave i pitanje, da li bi se to desilo da je Malwarebytes bio u real-time modu?!

 

 

MSE, a imas Windows 10 ili 7 (u Win 10 se zove Windows Defender)?

MBAM ti najvjerojatnije ne bi pomogao u zastiti.

Spy Hunter (), free verzija ili si ju bas platio (zasto?)?

Mrljavi pet 15.3.2019 20:02
Posmatrač kaže...
Mrljavi kaže...

Iako sam sa računalima i av-softverom kao i održavanjem više od 20 godina na "Ti", a komp mi je osnovni alat za posao, izgleda da opreza nikad nije dovoljno. Možda bi trebao biti malo i paranoičan ubuduće.


....

 

 

 

 

 Ne treba biti paranoican neko pametan pa sve drzati na 3 lokacije. Komp, nas i cloud,,,, Imao si mnogo srece samo to cu reci....kada izadje nova verzija moraces cekati danima ili mjesecima a mozda neces docekati nikad  tool za dekritpt...

 

Ma je, kužim i slažem se da bi dobra prevencija i zaštita trebala biti dovoljna. Imam i ja backup na par hdd-a i cloud-a, mada ne sve.

Ali, to ti je isto kao kad u banci imaš kamere, zaštitna stakla, gumb za dojavu, zaštitare, lokaciju na prometnom mjestu - a ipak te opljačkaju! Krivac se otkrije i riješi nakon havarije, naknadnom analizom u propustima. Ista stvar je i sa virusima, malicioznim kodovima...itd.

Retoričko pitanje: Koliko hardova i online plaćenih cloud servisa bi trebao imati da radim/o backup svega što imam? Nemoguća misija. ;-)

Posmatrač pet 15.3.2019 20:09

Protupitanje ;)

Koliko stvari uopste imas koje ne smijes izgubiti? Koliko od toga ti treba biti dostupno stalno ili relativno cesto? Recimo nas od 2 tb. cloud od 1 tb 1 koliko god ti treba diskova u ladici. Mislim da bi to pokrilo puno toga ;)

Ja imam prvo dvoje ;)

Trenutno tj vec duze vremena me zaboli za viruse ;) Za pola sata reinstal i restore backup i volia ;) On line again ;)

 

Banak vec malo teze moze odraditi restore kesha ;) Mada su podaci zasticeni od svega osim nestaka zemlje kao nebeskog tijela a tada imas vecih briga ionako ;)

Mrljavi pet 15.3.2019 20:17
djigibao kaže...
Mrljavi kaže...
djigibao kaže...
Mozes reci koji su ti to stalni programi koji te stite i rade u pozadini?

 

Microsoft Security Essentials
Malwarebytes (taman istekla licenca prije havarije, pa je radio u free modu, bez real-time zaštite)
SpyHunter4

 

Sva tri uredno ažurirana.

 

Ostaje mi upitnik iznad glave i pitanje, da li bi se to desilo da je Malwarebytes bio u real-time modu?!

 

 

MSE, a imas Windows 10 ili 7 (u Win 10 se zove Windows Defender)?

MBAM ti najvjerojatnije ne bi pomogao u zastiti.

Spy Hunter (), free verzija ili si ju bas platio (zasto?)?

 

Ne, imam sedmicu i radi komfora mi se još ne prelazi na 10ku. MSE koristim od kad postoji, po difoltu. SpyHunter je bila panik-opcija kada je havarija nastala. Znaš da, kada se utapaš loviš se za slamku iako znaš da to vjerojatno neće pomoći ali, vodiš se nadom da ne može ni odmoći.

 

Davno sam imao Bit Defender, prije cca 15-20 godina odmah kada je izašao. Bila je klasična licenca ali kada su prešli na mjesečnu i godišnju pretplatu, dvoumio sam se. Osim toga, tada je često usporavao sistem jer su procesori bili od 100, 200, 300 MHz. Hint za mlađe forumaše: Ne, nije tipfeler! To su bile brzine procesora 

Dakle, tada sam odustao od BD ali proučit ću opet sadašnje stanje tog softvera. Manja mi je briga cijena godišnje licence nego borba sa zaključanim ženinim slikama 

 

ps.

Vidim da je akcija za BitDefender, 50%. To je 200Kn/god. 

 

 

 

 

djigibao pet 15.3.2019 20:30

Sve skupa jako slaba zastita a taj Spy Hunter makni cim prije (ako vec nisi) jer je to jedno veliko smece od programa...vjerojatno ga neces niti moci ukloniti do kraja...on je veci malware od nekih malware-a.

Mrljavi pet 15.3.2019 20:33
Posmatrač kaže...

Protupitanje ;)

Koliko stvari uopste imas koje ne smijes izgubiti? Koliko od toga ti treba biti dostupno stalno ili relativno cesto? Recimo nas od 2 tb. cloud od 1 tb 1 koliko god ti treba diskova u ladici. Mislim da bi to pokrilo puno toga ;)

Ja imam prvo dvoje ;)

Trenutno tj vec duze vremena me zaboli za viruse ;) Za pola sata reinstal i restore backup i volia ;) On line again ;)

 

Banak vec malo teze moze odraditi restore kesha ;) Mada su podaci zasticeni od svega osim nestaka zemlje kao nebeskog tijela a tada imas vecih briga ionako ;)

 Imam jako puno grafičkih fajlova, što ženinih što mojih, nađe se tu hrpa softvera sa pluginovima koji su podosta "teški" a najviše video fajlova za video obradu. Od svega po malo mi je stalno nešto potrebno. Imao sam radne i backup diskove koji su se vrtili na 10t rpm, ali su nedavno otišli u mirovinu. 

Većina video fajlova, recimo oni koji su trenutno u video obradi (rendanje), moraju biti na sistemskom hardu, tako da moraju biti tu gdje jesu. Moji su ti diskovi kao radiona. Kreativni nered, hehe. 

 

Ali da, budem si nešto slično složio uskoro. Ne sjećam se kada sam zadnji puta imao ovakvu havariju, u stvari, nikada. Poneki klasični virus i smeće nisu mi bili preveliki problem. Sada sam se bogme malo ustrtario. mislim da bude NAS ili ext hdd u uskoro u opciji. Cloud mi nije "spretan" jer su mi recimo video fajlovi sa kojima radim preveliki da bi ih prebacivao online ili skidao sa servera. A i toliki prostor na cloudu košta.

Reinstalacija mi je zadnja opcija jer je malo problem ponovna inicijacija nekih video softvera. Nema reinstalacije nego novi instal. Uz to ide brdo pluginova i, odmah sada me boli želudac 

 

Kaj se tiće banke, nisam mislio na podatke, hehe

Posmatrač pet 15.3.2019 22:02

I sam se bavim video obradom i uvijek u svakom momentu imam backup. Sto on line sto off line. sirovi video se ne brise do konacne potvrde da je sve ok. Svakih 15 min se radi sinc sa NASom a jednom dnevno se synca sa externim hard diskom koji je samo tada prikopcan....Programe i pluginove ne treba backupovati a ako bas zelis napravis cistu instalaciju i onda image diska. 

 

 

Ne znam koliko si svjestan koliko si srece imao..... Neces je vise imati.  Na tvom mjestu bih duvao na hladno i niti jedan backup nije skup.... Ja bukvalno na 3 kompa i hrpi mobilnih uredjaja ne mogu izgubiti niti jedan jedini bitan podatak....Obradjeni video ne smatram kriticno bitnim podatkom jer se moze ponovo obraditi u krajnjem slucaju....

 

 

Pod reinstal sam mislio na clean installl. Nista drugo i ne dolazi u obzir. S obzirom na 2 ssd u raid 0 polju ide to relativno brzo ;)