Witam.
Spotkaliście się może z wirusem wyświetlającym takie powiadomienie:
?
Orientujecie się czy powstały jakieś narzędzia do walki z tym?
Pozdrawiam i dziękuję za pomoc
Witam.
Spotkaliście się może z wirusem wyświetlającym takie powiadomienie:
?
Orientujecie się czy powstały jakieś narzędzia do walki z tym?
Pozdrawiam i dziękuję za pomoc
https://en.wikipedia.org/wiki/CryptoLocker i jego pochodne. Nie ma metody do walki z tym bo zwykle korzysta z silnej kryptografii asymetrycznej (RSA). Z oryginalnym cryptolockerem była możliwość odzyskania danych zaraz po tym jak ich zamknęli, bo udało sie uzyskać dostęp do bazy danych z kluczami. Ale dla nowych klonów nie ma takiej możliwości.
O CryptoLocker'ze czytałem sporo, ale o tym klonie nie mogłem znaleźć żadnych informacji w sieci stąd pytanie na forum.
Pozostaje mi tylko pogratulować właścicielowi tego komputera :/
Bo to jakaś nówka: http://www.virusradar.com/en/Win32_Filecoder.DMALocker.A/description (30 dec 2015)
edit: http://www.malware-removalguide.com/de/madlockerdma-ransomware-entfernen/
31.12.2015 r. wykryli infekcję - przynajmniej wirusy mają aktualne...
Mam to na serwerze terminali MS2008. Mało jest w necie skąd się bierze (bo powraca) i jak się przenosi. To okienko wyświetla proces ntserver.exe (bodaj bezpośrednio w folderze Windows + 2 pliki txt do kompletu - ta sama data i czas po tym je poznasz - najlepiej ubić proces ntserver i skasować ten exe i 2 txt. Pliki raczej nie do odzyskania (mnie poszyfrowało pdf bmp jpg xls txt i troszkę zginęło - nod !!! microsoft esentials i monitor UPS WinPower. W trybie awaryjnym zainstalowałem Clamwin - poskanowałem - restart - uruchomienie normalne - skanowanie i tu jeszcze zaskoczenie w Windows katalog Victoria z tekstowymi słownikami user i hasłami np. Admin + Admin, jakieś zakresy IP. Sprawa niby opanowana kopia systemowego dysku zrobiona, ShadowCopy uruchomione i czekam na normalną pracę serwera od poniedziałku.