CryproWall
Napsal: 09 bře 2015 12:29
ahoj,
predem se omlouvam ze nemam zadny log. jsem unixar, takze nemam nativne windows, ikdyz pro tyto ucely si asi nejake budu muset instalovat. ale ted k problemu:
znami si zavirovali notebook necim co jim zaheslovalo obrazky, dokumenty a videa (krome png, gif a mp4) a zaheslovanym souborum pridal koncovku id-4894182966_fud@india.com. celkem cca 100GB dat ve 22k souborech.
podle jejich tvrzeni do posledniho okamziku byly vsechny obrazky dostupne, jen byl ntb pomalejsi. z toho usuzuju, ze tento konkretni CryptoLocker mel u sebe i klic k decrypci souboru.
mam k dispozici:
1, puvodni obraz disku v okamziku kdy se ntb dostalo do mych rukou.
2, encryptovanej soubor a zaroven stejny soubor pred encrypci
3, nastroje pod licenci GPL a BSD
4, bude-li to nezbytne tak i OS windows7 (ten co byl na ntb)
NEMAM k dispozici:
1, cestu jak se k viru dostali
2, ani nebyl k dispozici zadny snapshot (shadow volume, bod navratu - ci jak se to zve) od zakoupeni ntb.
mam otazky:
je nejaka sance zjistit jaka konkretni verze toho xindla postihla tento ntb?
pokud ano, jak?
je nejaka sance zjiskat data zpet, bez zaplaceni vykupneho?
pokud ano, existuje nejaky nastroj na zjiskani klice - at jiz z puvodniho skodliveho kodu, nebo z dvojice encypted/decryptet file (vzorku mam dost)
obavam se ze skodlivy kod je jiz pryc, ne ze by s nim majitele ntb neco delali, ale imho se sam smazal kdyz uz nemel co sifrovat.
predem se omlouvam ze nemam zadny log. jsem unixar, takze nemam nativne windows, ikdyz pro tyto ucely si asi nejake budu muset instalovat. ale ted k problemu:
znami si zavirovali notebook necim co jim zaheslovalo obrazky, dokumenty a videa (krome png, gif a mp4) a zaheslovanym souborum pridal koncovku id-4894182966_fud@india.com. celkem cca 100GB dat ve 22k souborech.
podle jejich tvrzeni do posledniho okamziku byly vsechny obrazky dostupne, jen byl ntb pomalejsi. z toho usuzuju, ze tento konkretni CryptoLocker mel u sebe i klic k decrypci souboru.
mam k dispozici:
1, puvodni obraz disku v okamziku kdy se ntb dostalo do mych rukou.
2, encryptovanej soubor a zaroven stejny soubor pred encrypci
3, nastroje pod licenci GPL a BSD
4, bude-li to nezbytne tak i OS windows7 (ten co byl na ntb)
NEMAM k dispozici:
1, cestu jak se k viru dostali
2, ani nebyl k dispozici zadny snapshot (shadow volume, bod navratu - ci jak se to zve) od zakoupeni ntb.
mam otazky:
je nejaka sance zjistit jaka konkretni verze toho xindla postihla tento ntb?
pokud ano, jak?
je nejaka sance zjiskat data zpet, bez zaplaceni vykupneho?
pokud ano, existuje nejaky nastroj na zjiskani klice - at jiz z puvodniho skodliveho kodu, nebo z dvojice encypted/decryptet file (vzorku mam dost)
obavam se ze skodlivy kod je jiz pryc, ne ze by s nim majitele ntb neco delali, ale imho se sam smazal kdyz uz nemel co sifrovat.
