CTB Locker

Ledenko

Guru

18. jul 2011

2.556

930

113

• 20. jan 2015

• #1

Je že kdo fasal tole?

Pojavi se takšna slika za ozadje.


Pri vseh word, excel, pdf, ... datotekah se je končnica spremenila v

Citat:
*. x r s s b n b

Klikni za razširitev

tudi če odstranim to končnico ni možno odpreti dokumenta. Tudi priponk iz e-pošte v brskalniku ne deluje. Sem že preletel google. Safe mode sploh ne zažene, programi pa al sploh ne odstranijo ali pa zahtevajo registracijo, ki jo je treba plačat. Aja, gre pa za XP-je.

Eno podobno sranje mi je pred časom uspelo urediti, tega mi pa nikakor ne uspe.

 

Nazadnje urejeno: 21. jan 2015

Mirko

Fizikalc

24. jul 2007

1.055

71

48

• 20. jan 2015

• #2

Jeba, za tole novejšo zadevo baje še ni decryptorja.

 

erikson

Guru

25. avg 2007

22.398

6.174

113

• 20. jan 2015

• #3

Kaj pa si kliknil, predno se je to zgodilo? Priponko v mailu?

 

Ledenko

Guru

18. jul 2011

2.556

930

113

• 20. jan 2015

• #4

Jaz nič, ker ni moj računalnik. Oseba, ki uporablja ta računalnik pravi, da ni nič klikala oz. da se je to zgodilo samo od sebe (takšni odgovori od starejših ljudi so mi vedno zanimivi).

Je pa računalnik že kar precej star, gor pa tudi lepo število dokumentov, ki so trenutno neuporabni. Ne vem pa, kako bi bilo, če bi pri teh dokumentih pobrisal to dodatno končnico in jih odprl na drugem računalniku.....

 

erikson

Guru

25. avg 2007

22.398

6.174

113

• 20. jan 2015

• #5

Dokumenti so zakriptirani, tako da jih brez ključa ne moreš odkleniti. Kolikšno odkupnino pa zahtevajo?

Predvsem ničesar ne shranjuj več na ta disk.

 

T

titov

Fizikalc

12. jun 2008

7.544

1

38

• 20. jan 2015

• #6

Kot pravi erikson, datoteke so kriptirane, sprememba končnice ti nič ne pomaga.

Probaj to:
http://www.im-infected.com/trojan/ctb-locker-critroni-virus-removal.html
ali to:
http://malwarefixes.com/remove-ctb-locker-virus/

 

mistique

Guru

16. jun 2009

13.809

1.613

113

Emona / Carnium

• 20. jan 2015

• #7

Ja, ko enkrat odstrani virus (kar je relativno enostavno), mu ostanejo zakriptirane datoteke. To pa je mother of all fcukups.

 

Ledenko

Guru

18. jul 2011

2.556

930

113

• 20. jan 2015

• #8

Drugi link sem že dal čez, a neuspešno. Bom probal še to, kar je v prvem linku.

 

T

titov

Fizikalc

12. jun 2008

7.544

1

38

• 20. jan 2015

• #9

Ja, verjetno tudi ne bo šlo, sem bral, da za dekripcijo tega vraga še ni rešitve. Razen plačilo.:/

 

I

igi

Guru

13. okt 2007

5.609

1.208

113

Celje

• 21. jan 2015

• #10

Imam en tak pc od zjutraj na mizi...

Pravkar se nalagajo winsi. Podatki pa iz teden dni starega arhiva.

Je pa prišlo po mailu, kao "Invoice".

 

A

alex401

Zelenc'

25. jul 2010

9

0

1

• 21. jan 2015

• #11

Tudi jaz imam računalnik od kolega. Zadeva pride kot priponka v elektronskem sporočilu. Odstraniti trojanca ni problem, niti očistiti vse nesnage, ki se namesti, vendar kriptirani dokumenti, slike, pdf..ostanejo. Kot berem po tujih forumih zagotovljene rešitve zaenkrat ni. Zahtevajo pa najprej 100, po določenem času pa 300 €. Se pa sprašujem, čemu plačljivi, posodobljen antivirus(Panda), ki je bil gor.

 

Nazadnje urejeno: 21. jan 2015

A

alex401

Zelenc'

25. jul 2010

9

0

1

• 21. jan 2015

• #12

Citat:
Uporabnik titov pravi:
Kot pravi erikson, datoteke so kriptirane, sprememba končnice ti nič ne pomaga.

Probaj to:
http://www.im-infected.com/trojan/ctb-locker-critroni-virus-removal.html
ali to:
http://malwarefixes.com/remove-ctb-locker-virus/

Klikni za razširitev

Sem že tudi jaz probal dekriptirati s tole Pando in ne gre. Prvi link pa je za prejšnjo verzijo CTB Locker, ki pa ne verja ta to novejšo od decembra 2014.

 

I

igi

Guru

13. okt 2007

5.609

1.208

113

Celje

• 21. jan 2015

• #13

Nod32 ga je tudi mimo spustil... Je pa na sveži instalaciji fsecur zajamral pri kopiranju starih mailov nazaj na racunalnik in odstranil priponko.

 

erikson

Guru

25. avg 2007

22.398

6.174

113

• 22. jan 2015

• #14

Tukaj je dober pregled:
CTB Locker and Critroni Ransomware Information Guide and FAQ

Okuženi uporabniki imajo 96 ur časa, da plačajo odkupnino z Bitcoini.

 

Ledenko

Guru

18. jul 2011

2.556

930

113

• 30. jan 2015

• #15

Očitno zadeva ni tako nedolžna:
https://cert.si/si-cert-2015-02/

 

popotnik

GPS presidente

25. feb 2010

13.226

9

38

Maribor

popotnik-gps.blogspot.com

• 30. jan 2015

• #16

Ko virus odstraniš ni možnosti, da bi se vrnil na prejšnjo obnovitveno točko?
Če ti uspe obnovit sistem na prejšnji dan, so datoteke še vedno zaklenjene/zakriptirane?

 

Jado

SCANIA, na uro ziher 140

21. maj 2008

15.624

208

63

Kranj

• 30. jan 2015

• #17

format c: \ pa malo več pameti.

 

I

igi

Guru

13. okt 2007

5.609

1.208

113

Celje

• 30. jan 2015

• #18

Citat:
Uporabnik popotnik pravi:
Ko virus odstraniš ni možnosti, da bi se vrnil na prejšnjo obnovitveno točko?
Če ti uspe obnovit sistem na prejšnji dan, so datoteke še vedno zaklenjene/zakriptirane?

Klikni za razširitev

ja še vedno zaklenjeno

 

Y

Ytbnd

Guru

2. mar 2010

16.846

5.942

113

• 30. jan 2015

• #19

Citat:
Uporabnik popotnik pravi:
Ko virus odstraniš ni možnosti, da bi se vrnil na prejšnjo obnovitveno točko?
Če ti uspe obnovit sistem na prejšnji dan, so datoteke še vedno zaklenjene/zakriptirane?

Klikni za razširitev

Uporabi volume shadow copy explorer, system restore povrne samo sistemske datoteke, cbt zakodira dokumentene, slike in podobno.

btw, če si okužen z verzijo 1, lahko uporabiš recuvo in podobna orodja da povrneš izbrisane datoteke (trojanec jih zakodira in izbriše originale),v verziji 2 so avtorji to odpravili, ker se datoteke izbriše s secure erase metodo.

 

erikson

Guru

25. avg 2007

22.398

6.174

113

• 30. jan 2015

• #20

Zadnja verzija CTB Lockerja pokliče "vssadmin delete shadows all" in tako pobriše morebitne kopije.