
Κλειδώθηκαν τα αρχεία μου απο Ransomware
- Ένας ιός κλείδωσε τα αρχεία μου
- Κρυπτογράφηση αρχείων απο Ransomware ιούς
- Πώς να επαναφέρω κρυπτογραφημένα αρχεία απο Ransomware
- Κόλλησα Ransomware και ζητάει λύτρα
- Τα αρχεία μου δεν ανοίγουν! Πώς τα ξεκλειδώνω
- Άλλαξε η κατάληξη των αρχείων μου και δεν ανοίγουν
- Μπορώ να κάνω ανάκτηση απο Ransomware
- Χρειάζομαι επαναφορά κλειδωμένων αρχείων απο Ransomware
Χρειάζομαι άμεσα αποκρυπτογράφηση Ransomware, τι να κάνω;
- Μην επικοινωνήσετε ακόμα με τον επιτηθέμενο (hacker)
- Αποσυνδέστε τα καλώδια δικτύου από όλους τους υπολογιστές. Θα πρέπει να κάνετε κάποια βήματα και δεν θα πρέπει για λίγο διάστημα να λειτουργεί η επιχείρηση.
- Μαζί με τον τεχνικό σας συμπληρώστε αυτό το ερωτηματολόγιο και φροντίστε να γίνουν όλα τα βήματα
- Κλείστε άμεσα ένα ραντεβού με έναν εξειδικευμένο μηχανικό της Tictac Cyber Security
- Κρατήστε ένα image backup όλων των λειτουργικών σας αρχείων αλλά και των κρυπτογραφημένων σας Servers ή Endpoints σε εξωτερικούς δίσκους. Αυτό το βήμα είναι πολύ συμαντικό διότι τα πράγματα μπορεί να γίνουν χειρότερα αφού δεν γνωρίζετε αν ο επιτηθέμενος είναι ακόμα στο περιβάλλον εργασίας σας.
Δείτε το παρακάτω βίντεο με τις πρώτες συμβουλές μας:
Τι περιλαμβάνει μια επίθεση Ransomware και πώς κλειδώνουν τα αρχεία σας;
Πώς λειτουργεί ένα Ransomware στον υπολογιστή σας;
Το αποτέλεσμα είναι τα αρχεία να γίνονται μη-λειτουργικά, με περίεργες επεκτάσεις και είναι αδύνατον να ανοίξουν.

Αν πληρώσω τα λύτρα θα πάρω σίγουρα τα αρχεία μου;
- Ένα ακριβές αντίγραφο του δίσκου που κρυπτογραφήθηκε, ώστε αν δεν έχει βρεθεί ακόμα η λύση, όταν αυτό θα γίνει, να μπορείτε να ξεκλειδώσετε τα αρχεία σας. Οι έρευνες στο εργαστήριο της TicTac Data Recovery και γενικότερα σε όλη την παγκόσμια κοινότητα, προχωράνε αργά και σταθερά και δίνουν λύσεις για παλαιότερες εκδόσεις των ιών.
- Σε ένα usb flash, κρατήστε 5 κρυπτογραφημένα αρχεία καθώς και το σημείωμα που έχει αφήσει ο δράστης για να ζητήσει τα λύτρα
Καταλήξεις κρυπτογραφημένων αρχείων απο Ransomware
- *.*AES256
- *.*cry
- *.*crypto
- *.*darkness
- *.*enc*
- *.*kb15
- *.*kraken
- *.*locked
- *.*nochance
- *.*oshit
- *.*exx
- *.cerber
- *@gmail_com_*
- *@india.com*
- *cpyt*
- *crypt*
- *decipher*
- *install_tor*.*
- *keemail.me*
- *qq_com*
- *ukr.net*
- *restore_fi*.*
- *help_restore*.*
- *how_to_recover*.*
- *.ecc
- *.exx
- *.ezz
- *.frtrss
- *.vault
- *want your files back.*
- confirmation.key
- enc_files.txt
- last_chance.txt
- message.txt
- recovery_file.txt
- recovery_key.txt
- vault.hta
- vault.key
- vault.txt
- *.aaa
- *help_your_files*.*
- *.zzzzz
- *-INSTRUCTION.html
Γιατί δεν μπορώ να ανοίξω τα αρχεία μου; Δεν βρίσκονται στον υπολογιστή μου;
- Ο υπολογιστής μετά την ενεργοποίηση του απο κάποια εκτέλεση συννημένου αρχείου απο email ή το κλικ κάποιου link απο email εγκαθίσταται στον υπολογιστή σας χωρίς να ζητήσει την συγκατάθεση σας.
- Το κακόβουλο λογισμικό (Ransomware) επικοινωνεί με κάποιον εξωτερικό server και ζητάει ένα Public RSA Key. Το public RSA key μπορεί να κάνει την κρυπρογράφηση αλλά δεν μπορεί αποκρυπτογραφήσει.
- Μετά το Ransomware δημιουργεί ένα AES Key, είτε ένα για όλα τα αρχεία, είτε διαφορετικό για κάθε αρχείο και εκκινεί την κρυπτογράφηση AES. Τα αρχικά αρχεία διαγράφονται απο το δίσκο σας και μένουν μόνο οι κρυπτογραφημένες εκδόσεις τους.
- Το AES Key κρυπτογραφείται στη συνέχεια και αυτό με το Public RSA Key και αποθηκεύεται ένα άγνωστο σημείο μέσα στο κρυπτογραφημένου αντίγραφο του αρχικού πρωτότυπου αρχείου.
- Κατόπιν τούτου βγαίνει μια οθόνη η οποία σας ενημερώνει για το τι ακριβώς εχει συμβεί και σας δίνει κάποια links και οδηγείες για το πώς θα στείλετε τα λύτρα ώστε να αποκρυπτογραφήσετε τα αρχεία σας έναντι χρηματικού ποσού σε Bitcoin.
Τι λύσεις υπάρχουν και πώς μπορούμε να σας βοηθήσουμε;
- Να πληρωθούν τα λύτρα και να ελπίζουμε οτι ο επιτιθέμενος χρήστης θα τα παραλάβει και θα μας στείλει τα κλειδιά που χρειαζόμαστε. Όπως αναφέραμε όμως το αποτέλεσμα δεν είναι εγγυημένο (με αρκετούς ανθρώπους να έχουν χάσει τεράστια ποσά προσπαθώντας) ενώ παράλληλα η ενέργεια αυτή εντίνει την εξάπλωση του προβλήματος καθώς δημιουργούνται συνεχώς νέοι παρόμοιοι ιοί και διακινούνται τεράστια ποσά.
- Να απευθυνθείτε σε κάποια εξειδικευμένη εταιρία, όπως η TicTac Data Recovery, να ελέγξουμε εάν είναι εφικτή η ανάκτηση και εάν όχι να περιμένετε να βρεθεί κάποια λύση για την περίπτωση σας. Φυσικά δεν υπάρχει εγγύηση οτι μια λύση για τον ιό που σας κρυτογράφησε τα αρχεία, θα έρθει ή θα έρθει σύντομα. Γίνονται παγκόσμια σημαντικές προσπάθειες παρ’ όλα αυτά.
Σε ποιές εκδόσεις των Ransomware υπάρχει λύση;
- Globe3
- Derialock
- PHP Ransomware
- WildFire
- Chimera
- Teslacrypt
- Shade
- CoinVault
- Rakhni (updated 14-11-2016)
- Jigsaw
- Trend Micro Ransomware File
- NMoreira
- Ozozalocker
- Globe
- Globe2
- FenixLocker
- Philadelphia
- Stampado
- Xorist
- Nemucod
- Gomasom
- Linux.Encoder
Είναι σίγουρο οτι μπορείτε να βοηθήσετε και πώς θα το γνωρίζω;
[ ΟΔΗΓΙΕΣ ΑΠΟΣΤΟΛΗΣ ΔΕΙΓΜΑΤΟΣ ΑΡΧΕΙΩΝ ΠΡΟΣ ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΗ ]
Δυστυχώς ένα μικρό ποσοστό των περιστατικών Ransomware έχει διερευνηθεί και έχει δοθεί λύση αποκρυπτογράφησης. Για το λόγο αυτό δεν μπορούμε να εγγυηθούμε οτι θα μπορούμε να βοηθήσουμε στην κάθε περίπτωση.
Σε περίπτωση που δεν μπορούμε να βοηθήσουμε μπορούμε να κρατήσουμε τα στοιχεία σας και να επικοινωνήσουμε μαζί σας όταν οι έρευνες αποδώσουν καρπούς για την περίπτωση του ιου που έχει κρυπτογραφήσει τα αρχεία σας.
- Στείλτε μας σε ένα email με συννημένα 3 κρυπτογραφημένα αρχεία απο κάποιον φάκελο του δίσκου σας
- Επισυνάψτε επίσης το λεγόμενο “Ransom Note” που αφήνει ο ιός. Για να το εντοπίσετε σας αναφέρουμε οτι αυτό είναι ένα αρχείο της μορφής .txt ή .html συνήθως, το οποίο βρίσκεται σε καθε φάκελο που έχει κρυπτογραφηθεί, με ονομασία που σας παραπέμπει σε οδηγίες απορυπτογράφησης όπως: HELPDECRYPT.TXT, HELP_YOUR_FILES.TXT, HELP_TO_DECRYPT_YOUR_FILES.txt, RECOVERY_KEY.txt HELP_RESTORE_FILES.txt, HELP_RECOVER_FILES.txt, HELP_TO_SAVE_FILES.txt, DecryptAllFiles.txt DECRYPT_INSTRUCTIONS.TXT, INSTRUCCIONES_DESCIFRADO.TXT, How_To_Recover_Files.txt YOUR_FILES.HTML, YOUR_FILES.url, encryptor_raas_readme_liesmich.txt, Help_Decrypt.txt DECRYPT_INSTRUCTION.TXT, HOW_TO_DECRYPT_FILES.TXT, ReadDecryptFilesHere.txt, Coin.Locker.txt _secret_code.txt, About_Files.txt, Read.txt, ReadMe.txt, DECRYPT_ReadMe.TXT, DecryptAllFiles.txt FILESAREGONE.TXT, IAMREADYTOPAY.TXT, HELLOTHERE.TXT, READTHISNOW!!!.TXT, SECRETIDHERE.KEY IHAVEYOURSECRET.KEY, SECRET.KEY, HELPDECYPRT_YOUR_FILES.HTML, help_decrypt_your_files.html HELP_TO_SAVE_FILES.txt, RECOVERY_FILES.txt, RECOVERY_FILE.TXT, RECOVERY_FILE[random].txt HowtoRESTORE_FILES.txt, HowtoRestore_FILES.txt, howto_recover_file.txt, restorefiles.txt, howrecover+[random].txt, _how_recover.txt, recoveryfile[random].txt, recoverfile[random].txt recoveryfile[random].txt, Howto_Restore_FILES.TXT, help_recover_instructions+[random].txt, _Locky_recover_instructions.txt. To [Random] σημαίνει τυχαίους χαρ
- Είναι σημαντικό αν έχετε μια έκδοση ενός κρυπτογραφημένου αρχείου στην αρχική του μορφή (δηλαδή να είναι η ίδια έκδοση που ειχατε στον δίσκο σας πριν την κρυπτογράφηση), να μας το στείλετε και αυτό.
- Τα στοιχεία επικοινωνίας τα δικά σας ή της εταιρίας σας και ποια αρχεία ειναι τα σημαντικότερα να ανακτηθούν.
Μέσα σε εύλογο χρονικό διάστημα θα επικοινωνήσουμε μαζί σας για να δούμε αν μπορούμε να δώσουμε λύση.
Προσοχή: Δεν βοηθάει να μας στείλετε αρχεία τροποποιημένα η απο αποτυχημένες προσπάθειες ανάκτησης που έχετε κάνει εσείς.
Πώς μπορώ να προστατευτώ απο ιούς τύπου Ransomware και κρυπτοϊούς;
Η καλύτερη προστασία απο τα Ransomware βασίζεται σε 3 βασικές συμβουλές:
- Μην ανοίγετε email τα οποία δεν είστε σίγουροι απο που προέρχονται. Ο μεγαλύτερος κίνδυνος απο τέτοιες επιθέσεις είναι ο ίδιος ο χρήστης. Επειδή όλες αυτές οι επιθέσεις μεταδίδονται απο κάποιο email με συννημένο αρχείο ή απο κάποιο Link στο οποίο ο χρήστης πρέπει να κάνει κλικ, θα πρέπει να γνωρίζετε οτι εσείς δίνετε πρόσβαση στο Ransomware. Χωρίς την δική σας έγκριση να ανοίξει ή να εκτελεστεί, δεν μπορεί να μολύνει τον υπολογιστή σας. Τα Ransomware έρχονται συνήθως απο email που δεν γνωρίζετε και σας παροτρύνουν να κάνετε κλικ σε κάποιο link η να ανοίξετε ένα συννημένο αρχείο προσποιούμενοι οτι είναι μια πολύ σημαντική ενέργεια απο κάποια Τράπεζα, ένα Invoice απο κάποια γνωστή εταιρία ή ένα πακέτο απο κάποια courier. Απλά μην ανοίγετε τέτοια email.
- Χρησιμοποιείτε ένα γνωστό και αποτελεσματικό αντιβιοτικό/antimalware σε ισχύ. Δυστυχώς αρκετοί χρήστες βασίζονται σε αντιβιοτικά δωρεάν τα οποία δεν παρέχουν επαρκή προστασία απέναντι στα malware και καθώς ο κώδικας τους μεταλλάσεται συνεχώς δεν μπορούν να τον εντοπίσουν. Στην TicTac χρησιμοποιούμε και συστήνουμε το Webroot Antivirus το οποίο μας έχει γλιτώσει απο αρκετές περιπτώσεις και είναι το ελαφρύτερο και ταχύτερο Antivirus που υπάρχει στην αγορά. Καλέστε μας για να σας ενημερώσουμε πώς θα το προμηθευτείτε.
- Δημιουργήστε μια ορθή πολιτική Backup & Disaster Recovery σε μέσα τα οποία δεν είναι άμεσα συνδεδεμένα στο δίκτυο σας (offline backup) ή που προσφέρουν versioning. Αν η συσκευή ή το μέσον στο οποίο κάνετε Backup είναι συνδεδεμένο στον υπολογιστή που προσβάλλεται, πολύ πιθανόν και τα backup αρχεία σας να κρυπτογραφηθούν απο το Ransomware.
Στην TicTac Data Recovery μετά απο αντιμετώπιση αρκετών περιστατικών, έχουμε να προτίνουμε συγκεκριμένες λύσεις για τα παρακάτω:
- Προστασία απο επιθέσεις με το πιο αξιόπιστο και γρήγορο αντιβιοτικό της αγοράς που προλαμβάνει τέτοιες επιθέσεις
- Λύση για OnSite και Offsite (Cloud) αυτοματοποιημένου Backup για τους προσωπικούς τους εταιρικούς ή προσωπικούς σας υπολογιστές
- Λύσεις Disaster Recovery για εταιρικά περιβάλλοντα όπου θα μπορείτε να αντιμετωπίσετε άμεσα οποιοδήποτε περιστατικό απώλειας
Αν έχετε προσβληθεί απο παρόμοιο ιό και θέλετε να εξασφαλήσετε οτι αυτό δεν θα ξανασυμβεί ποτέ διότι θέτει σε κίνδυνο την εταιρική και προσωπική σας ψηφιακή περιουσία, επικοινωνήστε μαζί μας ώστε να επικοινωνήσει ένας μηχανικός μας και να σας προτίνει συγκεκριμένες λύσεις.
Άλλα σχετικά άρθρα:
Ransomware τι είναι (2019) – οδηγός προστασίας από ιους Ransomware
Ransomware Incident Services – Best Ransomware Protection – Tic Tac