Zdravim a dovolim si doplnit kolegyni,
odstraneni viru != zachranit soubory. Samotne okno, ktere oznamuje, ze soubory byly zasifrovane se povetsinou objevi az, kdyz ransomware dokonci svou praci (zasifruje vsechny soubory). Mene znalemu okoli radim nasledujici... nespoustet nezname prilohy a kdyz uz se podezrela priloha nekomu podari otevrit a pocitac naoko nic nedela nebo se spustil jiny podezrely soubor (viz posledni vlna spamu z "obchody24", kdy se po spusteni prilohy otevrel rtf dokument a na pozadi fungoval downloader), je nejlepsi pocitac vypnout, protoze vetsina techto ransomwaru pouziva asymetrickou kryptografii (casto RSA s 2048 bitovym klicem), coz proste chvilku vezme nez Vam stihne vsechno potrebne zasifrovat, a nastartovat do nouzoveho, kde vir neni aktivni a nesifruje dal.
Jsou neustale nove mutace, ktere AV nemusi odhalit (co jsem mel moznost testovat par kousku, ceske antiviry - ESET, Avast i AVG - reaguji vcelku rychle) a nelze na ne 100% spolehat.
Existuje nastroj, ktery zabranuje zapisu viru do urcitych casti systemu, kam se kryptoviry zapisuji -
http://www.bleepingcomputer.com/virus-r ... nformation
Zajimavosti na zaver:
prvni verze ransomwaru tohoto druhu sice po zasifrovani souboru oznamily, ze je vse zasifrovano RSA s 2048 bitovym klicem (v rozumnem case najit klic hrubou silou je bez kvantoveho pocitace nemozne), ale ve skutecnosti byly zasifrovane symetrickou sifrou s kratsim klicem, takze slo klic najit i hrubou silou (brute force). V soucasne dobe jsem jiz na takovou verzi nenarazil.
Dropper se nesiri jen v prilohach mailu, ale obcas je soucasti cracku/warezu nebo jej lze do systemu dostat i pomoci jiz zname zranitelnosti (neaktualizovany software) a pri extremni paranoie (0-day exploity) i cilene
Bylo zde par pripadu, kdy si uzivatele nebyli vedomi niceho podezreleho, ale najednou meli zasifrovano.