Dnes se začala šířit nová verze havěti, která se maskuje jako aplikace pro sledování pohybu zásilek České pošty.Základem je podvodný e-mail (phishing) informující o možnosti sledování zásilky určené pro vás (přesný obsah neznám – budu rád, pokud mě ho někdo zašle). Tato zpráva odkazuje na stránku cs-posta24.org, která se tváří jako oficiální web České pošty. V reálu nemá ale s Českou poštou vůbec nic společného a jde taktéž o podvodnou aktivitu útočníků. Design je sice téměř shodný s originálem, nicméně narozdíl od něj obsahuje nějaké ty pravopisné chyby, slohové nesrovnalosti a překlepy (patrné hlavně v dalších fázích útoku).x2014-11-13_212123Pokud opíšete kontrolní číslice a stisknete Stáhnout, objeví se následující dialog a po několika sekundách se zobrazi dialog pro stažení ZIP souboru.

x2014-11-13_212136Tento ZIP archiv obsahuje spustitelný EXE soubor. Spuštěním tohoto EXE souboru si můžete značně zkomplikovat život. Havěť ukrytá v tomto souboru se totiž postará o zašifrování celé řady datových souborů, které se vyskytují kdekoliv na pevném disku. Uživatel tak může během chvíle přijít o fotografie (typicky JPG), dokumenty (DOCX, XLSX, …) a další důležité soubory. Všechny z nich jsou opatřeny další příponou .encrypted a od tohoto momentu nejsou čitelné. Následně se zobrazí toto:

2014-11-13_210841Údajným východiskem je zaplacení „výpalného“ útočníkovi ve formě bitcoinů jak ukazuje následující obrázek:

2014-11-13_211121V době „focení“ byla cena stanovena na 1,09 BTC, což je opravdu kolem těch 10 tisíc Kč. Po nějaké době cena zřejmě stoupne (což jsem neověřoval, stránka se s tím ale „chlubí“ a provádí odpočet zbývajícího času do konce „promo akce“). To jestli útočníci poskytnou řešení, netuším. Jisté je, že získané peníze v budoucnu použijí k dalšímu, jistě i lépe připravenému útoku. Po technické stránce ale dokáže útočník soubory zcela jistě odšifrovat, což dokazuje i záložka „Dešifrovat soubor zdarma“ v horním menu. Pokud libovolný zašifrovaný soubor vložíte, vrátí se původní funkční podoba. Někoho by mohl tento fakt ovlivnit v rozhodování, zda do toho risku v podobě zaplacení výpalného půjde.

2014-11-13_211249Tato havěť patří do rodiny známé jako Cryptolocker. Podle verze havěti byl šifrovací klíč buď přímo součástí infikovaného EXE a nebo byl vygenerován až na počítači uživatele. V prvním případě tak existovala šance klíč vypátrat a pomocí speciálních aplikací provést dešifrování souborů bez nutnosti cokoliv platit. V druhém případě to byl problém, neboť jakmile došlo k zašifrování souborů, klíč byl odeslán útočníkům a z počítače uživatele odstraněn. Štěstí mohl mít tehdy maximálně ten uživatel, jehož klíč se podařilo získat v rámci zátahu na gang, který za útoky stál (například operace Tovar – wiki, anglicky). Do jaké skupiny patří zde popisovaná havěť, to aktuálně netuším. Jakmile budu mít bližší informace, určitě se s vámi podělím!


Komentářů: 162 » for Sledování zásilky České pošty aneb nová havěť
  1. Dabel napsal:

    Zrovna vcera jsme toto resil pani managerka ovencena tituly a sebevedomim vetsi nez buh zasifrovala data na severu a nejen svoje ale celeho oddeleni.tak ze obnova dat z VSS.

    • Pavel Martínek napsal:

      Je z toho cesta zpět? Taky jsem se chytil?

      • Dabel napsal:

        Ja jsme zatim nic nenasel dobre je mit nastavene na windows shadow copy kterym se jde dle nastaveni dostat k datum pred spustenim viru nastavuje se to ve vlastnostech disku

        • Miki napsal:

          No, před vánocemi, kdy každému začnou chodit balíky je to dost drsný, rozvěsil jsem to po nástěnkách. potvrzuji, že vir šifruje i klasické windows zálohy (datové zipy. a to i na sdílených složkách) a je velice rychlý a evidentně se má tendenci vracet. Na jednom počítači čisto, na druhý se vrátil, zatím pasivně ve standby, takže mažu, ale hledám, kde je backdoor. Klump, pochopitelně, majitel té domény cs-post.net je anonymizovaný :(( … ale směr ukazuje na Rusko

          Nejvtipnější bylo, že ze záloh zbyla jen čistá bitová kopie systému, data, která stihl napadnout jsou KO. Asi vezmu zvenku ještě disk kasperakem. To je slota 🙁

  2. ARCOM napsal:

    jj mám taky zákazníka, paní chodí poštou spousta balíků a ani jí nenapadlo, že to může být „PAST“ Díky za článek. R.Š.

  3. Dabel napsal:

    Zasifruje to data nejen na pevnem disku ale i na discich pripojeni z jinych pocitacu v siti nevim zda by to napadli i adresare pripojene pre UNC cestu

  4. j2 napsal:

    pakliže uživatel není ve skupině local admins, tak se neprovede vss 🙂
    tudíž je možné obnovit soubory například shadow explorerem

  5. Alice napsal:

    No na serveru jsem to obnovila velice rychle. Problém mám ale na klientovým PC kde to spustil. Má v notebooku WINXP a obnova systému nepomohla. Vir je odstraněn ale data jsou zašifrovaná /stará/ při vytvoření nových souboru xls atd to už neblbne..

    • J.Skoupil napsal:

      Dobrý den. Mužete mi prosím napsat postup, jak jste to obnovila? Moc děkuji. J.Skoupil

      • Alice napsal:

        Záleží co měl uživatel nasdíleno z serveru. Nám to zasáhlo na linux serveru pouze jeho nasdilenou složku, takže jsem zašifrované data kompletně smazala a obnovila z zálohy, která samozřejmě byla na jiném místě. Jinak to prostě nejde . Pokud máte zálohy kompletně oddělené tak máte vyhráno . Pokud ne … jsou data fuč, dokud někdo nepřijde na to jak to rozšifrovat.

        • Alice napsal:

          Poslal jsem vzorek originalních souboru i zašifrovaných přímo na podporu ESETu.
          Vyžádali si to , tak jsem zvědavá jak to dopadne.

  6. Tomáš V. napsal:

    Tak nám to včera taky paní sekretářka pustila, takže jsem měl do večera co dělat. Ten šmejd nám přežehlil půlku firemního serveru. Pozor na to, zřejmě to má moc rádo síťové shary, a to nejen ty, které jsou připojené trvale pod písmenem, ale i ty, které jsou dostupné při procházení sítě, protože to mimo serveru odnesl i notebook jednoho ze zaměstnanců, který měl tu smůlu, že měl nasdílený celý disk s právy zápisu pro všechny. Takže opatrně, tenhle virus skutečně není sranda.

    Mimochodem, aktuální NOD32 na PC pí. sekretářky si toho ani nevšiml, takže na to nespoléhejte. Až při ručním skenu celého systému to ten šmejd našlo v původním ZIP souboru (jako Win32/Filecoder.DI, což nesedí s popisem v „návodu“ k zaplacení, kde se to hlásí jako CryptoLocker, ale ten to není) a vyhodilo, ale rezidentní ochrana to pustila dál bez upozornění.

  7. Jan Snajdr napsal:

    Podle moji zkusenosti jde presneji receno o ransomware TorrentLocker a podle clanku pod odkazem nize je diky jeho nedokonale metode sifrovani data s trouchou stesti desifrovat. Jen je treba sehnat alespon k jednomu zasifrovanemu souboru (o velikosti aspon 2MB) jeho puvodni (nezasifrovanou) verzi (napr. skrze nabidku vyderacu na 1 desifrovani zdarma;)).

    Nastroj , ktery vyzkumnici vytvorili, je pak schopny odvodit z jejich rozdilu desifrovaci klic.

    Jinak musim uznat ze je tato havet velmi efektivni – v pripade ktery znam zasifrovala behem 45minut celkem 150.000 souboru o celkove velikosti 71GB.

    Jan Snajdr, CISSP

    • kolemjdouci napsal:

      Bohužel, ten sw torrent unlocker na aktuální mutaci nefunguje 🙁

    • to napsal:

      tak toto nefunguje, tedy tvari se to ze to klic najde, ale desifrovany soubor je stale zasifrovany nebo poskozeny?….

    • Mirek napsal:

      Tak bohuzel me to funguje pouze na tom samem souboru, ktery jsem porovnaval, ale u ostatnich ne. Skoda

    • Dabel napsal:

      No koukam ze mame vsichni stejny vysledek taky bez uspechu

    • Jan Snajdr napsal:

      Mate pravdu – TorrentLocker decrypter vyrobeny pro verzi 1 na tuhle ceskou variantu nefunguje (i kdyz se tvari ze klic nasel).

      Nekdo totiz pres Internet blog do sveta vyzvonil v cem jeho chyba sifrovani spociva a autori se z toho poucili a vyrobili opravenou verzi 2, ktera uz bez klice desifrovat nejde…

      Nicmene nadeji skyta obnova puvodnich smazanych souboru. Vyzkousim a dam vedet.

      Vzorky jsem navic (krome A/V spolecnosti) poslal i jednomu vyzkumnikovi, tak pokud neco objevi hodim to sem. Slo konkretne o tyto (pokud mate jine budu za jejich poskytnuti rad):

      zásilka_32937298292.exe, 317952B, MD5 hash: 855f61186c8edd74c659c9de80cb7f9d
      zásilka_32937298293.exe, 480768B, MD5 hash: 4a4baf09600a0da0e803d4f7716642a3

      (pres „VirusTotal.com – Hledat“ se muzete podivat jake antiviry je mometalne detekuji).

      Poznamka: To ze se tenhle maly vyderac vydava za kolegu CryptoLocker-a je pouze zastiraci taktika.

      Jan zavinac Snajdr tecka net

  8. Kubik napsal:

    Zatím se mi nepodařilo žádným způsobem rozšifrovat soubory zašifrované včerejší mutací viru. Ani původní https://www.decryptcryptolocker.com ani TorrentLockerDecrypter nezabírá.

  9. Hana Musilova napsal:

    Taky mui to prislo, posilam puvodni zneni, prilohu .exe neotviram
    ———- Původní zpráva ———-
    Od: Ceská pošta
    Komu: camping.hana@seznam.cz
    Datum: 14. 11. 2014 13:36:15
    Předmět: Informace o Vaší zásilce

    Vaše zásilka DR478665535C dorazila na 12. listopadu 2014. Courier nebyl schopen doručit zásilku pro vás. Vytisknout informace o Vaší zásilky a ukázat, že v nejbližší poště, aby si zásilku.

    Stáhněte si informace o zásilka
    Pokud je zásilka neobdrží do 15 pracovních dnů Česká pošta bude mít právo nárokovat odškodnění od si pro své udržení ve výši 52,5 Kč za každý den vedení.
    Můžete si najít informace o postupu a podmínkách při pozemku chov v nejbližší kanceláři.

    Toto je generován automaticky zprávu, pokud nechcete přijímat zprávy od nás prosím odhlásit

    • Ondrej Seda napsal:

      Divim se, ze lamana cestina spoustu lidi neodradi.

      • Míra napsal:

        Většině uživatelů je bohužel úplně jedno co a v jakém jazyce je tam napsáno. Mám zkušenosti i s uživateli a uživatelkami kteří byli schopni stejnou zrůdnost provést i např. na francouzkém nebo španělském mailu.
        Zcela to vystihuje jeden citát: Jenom dvě věci jsou nekonečné. Vesmír a lidská blbost.

    • Nik napsal:

      Tedy, očividně je zcela jedno, co je obsahem zprávy. Velká část příjemců patrně nic nečtě a ihned pospíchá vše pootvírat, spustit, prozkoumat :-))

  10. ARCOM napsal:

    stále není žádná „pomoc“ ??

  11. Martin napsal:

    Řešil jste to někdo hlášením na policii ?

    • daniela napsal:

      Ano na policii jsem to hlasila. Pani mi rekla, ze je nutne jim pocitac dovezt a podat pak pripadne trestni oznameni na neznameho pachatele. Bohuzel nebyla schopna rict, jak dlouho si pocitac ponechaji, muze to byt v radu tydnu. Doporucila mi, abych se radeji obratila na nejakou zpecializovanou firmu na odvirovani. Maji toho tolik, ze nejsou schopni vse resit..

  12. ol napsal:

    ARCOM: zkousim to debugovat ve Virtual Boxu, ale nejde to 🙁 Zkousi to jeste nekdo ?

  13. Petr napsal:

    Taky mám s tímhle šmejdem spoustu společných zážitků 🙁 data na síti jsou obnovena, ale lokálně na dvou noteboocích smůla, Kaspersky to nechal projít. Dokonce není ani na jednom notebooku možnost návratu k bodu obnovení, takže tvůrci opět na něčem zapracovali. U mě zabrala instalace Malverbytes v nouzovém režimu a pak ještě fullscan nodem a zdá se, že je to čisté… Snad to není tak chytré, aby to někde „spalo“ 🙁

  14. rimi napsal:

    Toto je verze bez exe souboru, pouze link uvnitr (tucne), na ktery kliknul, co dorazila na koleguv pocitac (taky nema zadne poradne zalohy).

    Vaše zásilka DR234039304C dorazila na 12. listopadu 2014. Courier nebyl schopen doručit zásilku pro vás. Vytisknout informace o Vaší zásilky a ukázat, že v nejbližší poště, aby si zásilku.

    Stáhněte si informace o zásilka

    Pokud je zásilka neobdrží do 15 pracovních dnů Česká pošta bude mít právo nárokovat odškodnění od si pro své udržení ve výši 52,5 Kč za každý den vedení.
    Můžete si najít informace o postupu a podmínkách při pozemku chov v nejbližší kanceláři.

  15. ok1jtc napsal:

    Tak má kamarádka to spustila přesně 13.11.2014 protože skutečně čekala balíček od pošty a tuto službu často využívá,nevšimla si částečných překlepů a tak soubor .ZIP otevřela……vir není problém odstranit ale najít klíč k odšifrování je problém a tak jsem využil službu na této stránce NEŠLAPE.CZ kde mi ochotně pomohli odstranit vira a odebrala z PC zdrojový soubor k analýze k získání klíče……doufám že to najdou…….tento vir zašifruje i (Dosovskou) aplikaci jako je účetní program ÚČTO.

    • Řešení je třeba zde:
      http://www.spajk.cz/virus-z-podvodne-stranky-ceske-posty/

      Zítra jedu tento vir odstraňovat k zákazníkovi na serveru a tak dám vědět, jestli a jak jsme to vyřešil. Radek

      • BarJaPo napsal:

        Ale nevidím tam, jak dostanu zpátky zničené soubory. Postup jak odstranit vir ano,ale návrat souboru zašifrovaných virem nevidím nebo nechápu. Prosím o radu. Děkuji

      • Jan Snajdr napsal:

        Pane inzenyre Baloni,

        to „reseni“ pod odkazem ktery jste zminil, je jen obecna metoda jak deaktivovat uplne jiny malware (typu banking trojan) ktery se pred rokem take vydaval za Ceskou postu…

        Vubec to ale neresi aktualni problem (typu ransomware), kterym jsou zasifrovana data. Nez tedy zitra vyrazite k zakaznikovi, doporucuji pripravit si spis scenare na zachranu dat (obnova ze zalohy, obnoveni smazanych, zaplaceni vypalneho a mozna dalsi).

        Jan Snajdr

  16. Milos Jakes napsal:

    Lidi neblbnete – trojan se NEDA nikdy spolehlive odstranit. A uz v zadnem pripade pak po tzv. „odvirovani“ dale na takovem PC pracovat treba s IB nebo jinymi online sluzbami.
    Reseni je jedine – FORMAT a CISTA INSTALACE OS.
    Za hodinu mate po problemech.
    S daty (pokud nemate zalohy) se muzete nadobro rozloucit.
    Pro mnoho lidi to bude aspon pouceni.

    • Radek napsal:

      Za hodinu ne, jinak souhlas

    • Ctibor napsal:

      Souhlasím. Já říká můj kolega, jsou dva druhy lidí: Ti co už o data přišli a ti které to teprve čeká. Nainstalování „čistého“ OS zabere opravdu pouze zlomek času proti komplikovanému odvirovávání s nejistotou.

  17. JSkoupil napsal:

    Asi to tak bude. Ani důkladná očista AVG nepomohla. Zakódované soubory jsou asi v háji.

  18. Peter napsal:

    Už se s tím pářu 5. hodin a nic. Odvirování není problém , ale descrypt souborů je zatím v nedohlednu. Přeji pevné nervy.

  19. Milos Jakes napsal:

    Tak jeste jednou – dekryptace souboru NENI MOZNA ! A jeste pro mene chapave novinare…ANI KDYZ ZAPLATITE EURA nebo $ nebo RUBLY!.
    Tyto data (soubory) jsou nadobro ztracena!
    Poucte uzivatele, netrestejte je a zapomente.
    ALE HLAVNE ZALOHUJTE!
    ….neni to nahodou to prvni, co se pise v kazdem manualu ci knizce a uci na skole?…
    Pise se rok 2014 a porad jsme na zacatku… :-/

  20. Jirka napsal:

    Tak jsem tam s jedním firemním PC taky.
    Jako na potvoru jsme nově něco posílali z firmy ČP.
    Poslední záloha před cca měsícem, Shadow copy vypnutá, záloha na NAS pro mě z neznámého důvodu vypnutá… všechny data v pytli.
    Už se někdo zkoušel vyplatit? Přišli jsme o dost důležitá data.

  21. Motji napsal:

    Dobrý den,
    máme zprávy, že po zaplacení požadované částky byl ihned odeslán šifrovací klíč a data byla skutečně rozšifrována. Nicméně stále je bez záruky, zda útočník klíč pošle nebo ne.

  22. Tomas Jiranek napsal:

    Dobry den vsem,
    myslite, ze je realna sance pro obnoveni / desifrovani dat? Zkousel jsem desifrovat prostrednictvim jejich stranky 1 soubor, ale neuspesne. Takze bych se bal zaplatit tak vysokou castku za neco, co nema vysledek.

    Diky za jakekoliv podnety pro reseni!

    • Jirka napsal:

      Musíte zkusit soubor s velikostí pod 1MB. Ten se nám na jejich stránkách rozšiřovat podařilo. Ale jde rozšiřovat pouze jeden.

      • Tomas Jiranek napsal:

        Omlouvam se, uz jsem ten obnoveny soubor nasel. Sice nekde v Temporery Internet Files, ale nasel a je citelny…

    • Martin napsal:

      Odpověď a řešení, které mně pomohlo píšu v novém postu.

  23. Jana Sedláková napsal:

    Tak jsem si taky dnes stáhla tu prasárnu do PC. Čekám balík, nebyla sjem doma, takže mě ani nenapadlo, že je to vir. Přišla jsem o všechny fotky – jsem fotograf, takže věškerá práce za poslední měsíc, hotové zakázky, nově nafocené zakázky, vánoční focení desítek dětí, všechno v háji. Záloha taky, byla na jiném disku. Pro mě je to profesní vražda, protože jsou tam i fotky novorozenců a svatba. Žádné opakované focení zdarma už nafocené okamžiky nenanhradí. Jsem zralá na blázinec nebo provaz.

    • Jirka napsal:

      Pevné nervy. Prozatím máte čas, třeba se někomu podaří najít způsob, jak data rozšifrovat. Na předchozí verze se to podařilo.

    • Martin napsal:

      Hlavně nic nemažte a ty zašifrovaný soubory si nechejte někam zkopírovat. Jak už tu někdo psal, je možné, že někdo příjde s prográmkem, který ty data dokáže odkodovat.

    • ol napsal:

      Uprimnou soustrast. Asi bych zasel na policii. Pro priste doporucuju misto Windows nainstalovat bezpecnejsi operacni system – napr. Lubuntu (http://www.lubuntu.cz/)

      S nim by se vam toto nestalo.

      Zachranilo by Vas, pokud by se nekomu povedlo prolomit sifrovaci algoritmus, ktery ten vir pouzil.

      • PetrT napsal:

        Tak rezolutně bych to neviděl. Ani Ubuntu/Lubuntu není všemocné.
        Jediné co linux chrání je menší jeho rozšíření. Takže se nevyplatí se dělat útočné viry.

        • ol napsal:

          Opakuju podruhe: na linuxu by se to nestalo. To je realita, nevim co tady resite. Jakej smysl ma tady vas prispevek ?

          Linux je zdarma a staci mu mene vykonny (levnejsi) hardware, takze se to nekterym obchodnikum nemusi libit, to je pochopitelny.

          • Petr napsal:

            Ano, ale taky na Linuxu nespustím Photoshop, Lightroom, Zoner Photostudio či Capture NX2, tak k čemu je mi takový systém. Je pěkné, že ho nezaviruji, ale taky na něm nic neudělám.
            Řešením všech těchto problémů, když připustíme hloupost uživatelů, je zálohování. A kdo je hlůpý a nezálohuje, dobře mu tak, snad se z toho poučí(čemuž neveřím).

          • Marek napsal:

            proc spostet Photoshop nebo Zoner, kdyz to mam v jednom Gimpu, ktery je siren pod licenci GPL?

            zalohovani Vam moc nepomuze, protoze nektere mutace techto viru se pusti i do externich svazku (at jiz sitovych, nebo pripojenych pres USB) a ne kazdy fotograf umi nastavit na (napriklad linuxovem) NASu snapshotovani.

        • Mare napsal:

          neni to to jedine co ho chrani. je to predevsim jeho zcela odlisny pristup k bezpecnosti.
          ale jinak mate pravdu, i na linux (dokonce i na nektere distribuce UNIXu) jiz existuji viry, ktere se chvili uspesne sirili siti po serverech bastliru, co nechali vse v defaultnim nastaveni.

      • Míra napsal:

        Rady všeználků typu „sežral jsem všechnu světovou moudrost“ jsou naprosto k ničemu. Pokud je uživatel blbec tak ho žádný systém nezachrání.
        Linux není žádný superbezpečný, bezchybný a nenapadnutelný systém. Tento konkrétní vir tam sice pravděpodobně spustit nejde (bez použití nějakého emulátoru) ale principiálně je to stejné.
        Už jsem řešil nemálo případů kdy někdo měl „bezpečný“ linuxový server s perlami typu „open relay“ mailserver, root účet s heslem „a“, spuštěným apache serverem apod. Někteří zákazníci bohužel nedokážou pochopit, že pokud mají např. „open relay“ mailserver tak většina mailů co odesílá nedojde adresátovi. Navíc si dost často stěžují na hodně pomalý internet ;o(.

    • Petr napsal:

      Dobrý den,
      jestliže se focením živíte, tak si prosím kupte pořádný externí HDD. Ne 2.5″, ale 3.5″ s externím napájením.
      A po každém dokončení nějaké práce si to tam zálohujte.
      DIsk zapínat jen na tu dobu zálohy.
      Ztráty by to mělo minimalizovat.
      Ale pozdě bycha honit,… to jen pro příště. On Vám taky ten Váš HDD v PC může ze dne na den umřít a opět nebudete mít nic…

      • ak napsal:

        Tak na to plazí pouze a jedna jediná věc omýlaná stále do kola, zálohovat, zálohovat a zase zálohovat, pokud mě to živí, platí to dvojnásob a je jedno jaký OS používám.

      • Petr napsal:

        Tak to já jsem už takhle ztratil 3 TB dat.
        Zazálohoval jsem vždy na externí HDD a web. A už 3 HDD mi odešli a vždy mi vrátily peníze.

        Mám nový a snad to dopadne dobře.

        Jinak bych zkusil sledovací prográmek přitom dešifrování 1 souboru zdarma. Ten by to měl najít. pak hodit do Hex a zkusit najít rozdíl.

    • Jirka napsal:

      A to je jeden z důvodů proč se rozejít s Microsoftem, já to udělal před cca 8 lety a jsem teď happy. Kamarádka dnes přišla na winckách o účetnictví a další věci které ji živily.

      • unchained napsal:

        Nevidím důvod se rozcházet s Microsoftem, za tu spoustu let, co počítač používám,
        jsem si natáhla vir jednou a to už bude dobrých deset let zpátky, od té doby ani ťuk.

        Když mě počítač živí, pravidelná a důsledná záloha na externí disk by měla být samozřejmostí a dále pak stačí přemýšlet, když na počítači něco dělám…
        Tenhle vir se do kompu nedostane na jeden klik, naopak, co tak čtu, vyžaduje to docela účastnou aktivitu.

        To není nic, proti paní, člověk si musí jednou nabít, aby na to přišel, mě můj první problém stál celý systém a veškerá data, je to jen reakce na ten odpor k Microsoftu, protože koumáci vymysleli vira.

      • Petr napsal:

        No su zvědavý, jak pofrčí třeba Pohoda na Linuxu :-). Či jiný účetní systém. To by byl dobrý business to lidem nabízet, že jsou v bezpečí, to by se prodávalo, lidi na toto slyší a kór u účetnictví.

    • Martin napsal:

      ono to šifruje i rawy? nebo jedete do JPEGu? co jsem slyšel, tak RAWy to nechává napokoji.

      • Jana Sedláková napsal:

        Šifruje to i rawy. Jedině tiff ho nezajímá. Oni jsou všichni chytří, že si to otevře jen blbec, ale když je kolem vás frmol a nepovažujete to za až tak důležitou zprávu, čtete jedním okem a chyby v češtině nezaznamenáte. Na FB běhá text, kde chybí větší část slov a přesto je přečtete, takže všichni chytří jsou chytří, dokud nenaletí v nepozornosti jako já. Asi kdybych mail četla v klidu, nestali by se nic. A zálohuju, ale hotové fotkky, čerstvě nafocené rawy jsem bohužel nezálohovala. Ale stejně mi to vlítlo i do externího disku, který byl v té době připojen.

    • Zdeněk napsal:

      Pokud máte Windows Vista nebo novější, můžete zkusit ten postup, který popisoval pan Jirka – vrátit se k předchozí verzi dokumentu – odmáznout příponu .encrypted, pravé tlačítko myši a vybrat „Obnovit předchozí verze“, zkuste to, třeba to půjde.

    • Dano napsal:

      Zalohovat na Flickr. 1TB na fotky zdarma.

  24. Jana napsal:

    Mohu doporucit http://www.neslape.cz. Paní se mi ozvala behem 10 minut a alespon nektere soubory se ji podarilo obnovit.

    • ol napsal:

      Rozsifrovala zaheslovany soubory ? Jestli ano, jak se ji to povedlo ? Tuto sifrovaci metodu doposud neprolomil nikdo na svete.

      • Tomas K napsal:

        Prolomil. Jenomze se rozkriklo, kde udelali strujci viru chybu a nove verze maji lepsi sifru, takze je otazkou casu nez to zase bud prolomi, nebo tu bandu pochytaji a nektere sifrovaci klice zverejni. U zname jsem obnovil zasifrovance soubory pomoci Shadow Exploreru, viz. predchozi poznamky na VSS a shadow copy, coz je vlastnost defaultne zapnuta ve Windows Vista,7,8 a ona aplikace s velkou pravdepodobnosti zobrazi verze souboru pred zasifrovanim. Zakernost je, ze ten virus se snazi zasifrovat i pripojene disky, kdyz tam mate pripojen disk pro zalohovani, tak je to o to vetsi smula.

        • Motji napsal:

          Dešifrování zatím není možné, ale budeme doufat že se podaří. Jak psal Tomáš, data se dají obnovit přes stinovou kopii. Bohužel vir začal mazat i ty stínové kopie.
          Zatím radíme zašifrovaná data uschovat někde bokem a doufat.

  25. tom napsal:

    Hlavne prosim vas vyderacum nic neplatte! 1. nemate zaruku ze vam nejaky desifrovaci klic poslou! 2. kdyz jim dostatecne mnozstvi lidi zaplati, priste poslou jeste promyslenejsi verzi….

  26. PetrT napsal:

    https://servis.eset.cz/knowledgebase/article/View/323/46/jak-odstranit-postovni-vir-hesperbot#.VGsXmVSG91Y

    pokud se chytne včas, dají se zachránit data přes nouzák, nebo linux a pak postupovat.

    • Alice napsal:

      To je nesmysl. Je to rok staré a na tenhle vir popis na eset stránkách nefunguje. Nechápu co by jste tam chtěl chytat včas …. data jsou zašifrovaná … TEČKA …. nemáte klíče k rozšifrování ,nepomůže vám nic. Jen obnova ze zálohy …

      • Petr napsal:

        Alice, jak staré. Uvažujete trochu ?
        O data přijdete tak jako tak, jak píšu, leda ze zálohy, případně zachránit to co jde.

        Ale pokud nemáte v úmyslu reinstalovat celý systém, a zachránit alespoň něco (třeba účetnictví) tak tento postup funguje.

  27. Jirka napsal:

    Jedno z řešení (doufám, že ne jediné).
    Zkuste v původním umístění souboru, vymazat z názvu souboru „.encrypted“.
    Na přejmenovaném souboru dejte pravomyš > předchozí verze > obnovit (vyberte datum před zavirováním).
    Mělo by to fungovat na typech DOC, PPT, PDF, JPG.

    Bohužel u nás to nešlape… 🙁

    • Tereza Kuchtová napsal:

      Moc děkuji za radu, tímto způsobem se mi podařilo opět „zprovoznit“ většinu dokumentů.

  28. Martin napsal:

    Kolegovi se podařilo 14.11. otevřít inkriminovaný soubor a klasika. Hlášení zaplaťte, soubory zakryptované… Po pravdě, byl z toho našrot, protože tam měl důležitá data, jejichž ztráta ohrožovala jeho/naše podnikání. Podotýkám, že jsem více méně jen laik, nicméně vidina problémů byla taková, že jsem musel jednat. Notebook mně včera přinesl, když jsem četl první reakce uživatelů, propadal jsem skepsi. Nicméně pak jsem googlil a provedl popsané řešení, které i pomohlo dekryptovat napadené soubory. Apropos, zajímavé je, podle jaké logiky nebo klíče ten virus působil, protože některé adresáře a soubory stejného typu i podobného data zůstaly v pořádku. Na likvidaci samotné nákazy je asi řešení jasné, těch je na netu spousta. Já jsem postupoval podle návodu tady https://www.youtube.com/watch?v=Evy0xK1N2gc . Vím, že to asi nejde paušalizovat, nisméně tímto postupem šly opravdu soubory obnovit. Přeji všem podobné štěstí!

    • Paba napsal:

      Tento postup ale není žádné decryptování, nýbrž obnova souborů ze zálohy z tzv. „předchozích verzí“. Kdo má XP, které tuto funkcionalitu v sobě nemají, má smůlu. Novější systémy jsou na tom lépe, ale kdo tuto funkci nemá zapnutou, nebo má plný disk, tak je na tom stejně (špatně)…

    • shimpy napsal:

      Tohle řešení nedekryptuje soubory. Mám data na disku C i D. Z disku C mi Windows implicitně dělají body obnovení, tam to nebyl problém obnovit. Jenže disk D nebyl nijak nastaven a právě tam je většina zakryptovaných souborů. Ty prostě obnovit nejdou. Ale jen mě teda zajímá – pokud je možnost si na stránkách bezplatně otestovat jeden soubor pro rozšifrování, jak dlouho může trvat, než někdo vymyslí prográmek typu „TorrentUnlocker“ (který nefunguje) ?

  29. dylin napsal:

    17.11. mi prisla pravdepodobne dalsi verze toho sajrajtu ,

    domena http://cs-posta24.info

    , oficialni web CP mi zasilku s danym kodem nenasel …

  30. Mirek napsal:

    Jeste bych mel jednu poznamku – nevim zda to souvisi s problemem, ale zjistil jsem ze mi to pridalo asi 10 dalsich dns serveru v nastaveni site – mrknete se do nastaveni site – zda to tam mate take – nebo jsem to chytil jinde 🙁

    • Petr napsal:

      Ten je všem, co to spustili k ničemu. Podívejte se, jak je ten návod starý… 🙂

      • Petr napsal:

        Petře, jak staré. Uvažujete trochu ?
        O data přijdete tak jako tak, leda ze zálohy, případně zachránit to co jde.

        Ale pokud nemáte v úmyslu reinstalovat celý systém, a zachránit alespoň něco (třeba účetnictví) tak tento postup funguje.

  31. Jakub Preclik napsal:

    Zkousel jsem to stahnout z .info i .org. Nebyl jsem uspesny. File.zip obsahuje html kod hl. stranky bez css, to je vse. Je mozne, ze to deaktivovali? Castecne dobra zprava.

    • ol napsal:

      Pouzivate Firefox ? Ja jo a taky uz tu prilohu nemuzu stahnout. Pokud si dobre vzpominam, tak by mel mit nakou ochranu proti stahovani nebezpecnych souboru (vyrobce Firefoxu udrzuje databazi podezrelych www stranek). Ted jsem tu ochranu vypnul Preferences / Security / Block reported … (2x) a uz se to zase povedlo stahnout.

  32. Marian Franko napsal:

    Je to super virus! Klobuk dolu kto toto vymyslel. Aspon si zarobi. Tiez som ho vcera dostal a bol som z toho na srot. cenove ponuky, zmluvy a podobne , vsetko zakryptovane. Nic nepomaha. Nic. Len sme debatovali s kamosom ze treba pockat, kym to niekto neprelomi a potom to verim nejako obnovim. Teraz obnovujem zo zalohy , aspon to co mam zalohovane. Skurvena robota!

  33. Alice napsal:

    Oficiální zpráva ESETu která mi dnes došla po posouzení souborů které jsem jim zaslala.
    Zkráceno :
    **********
    nástroj pro decryptování je stále ve vývoji. Doporučuji sledovat stránku „servis.eset.cz“, kde nástroj zveřejníme, jakmile bude k dispozici. Můžete se také přihlásit k odběru skrze RSS a informaci o vydání nástroje tak dostanete okamžitě po jejím zveřejnění, které by mělo být během několika málo dní. V současné době neexistuje nástroj, který by dokázal soubory rozšifrovat.
    ***********
    To pro všechny co tady dávají odkazy na staré návody. Momentálně Vám pomůže jen obnova z záloh .

  34. Landalo napsal:

    Může soubor spustit i ten kdo nemá admin oprávnění?

    • Alice napsal:

      Ano, může

    • Honza napsal:

      Program/vir samozdřejmě spusti může. Proč by nemohl?
      Nic speciálního vir ke své činosti nepotřebuje.
      Prostě zakrypruje každý soubor v adresářích do kterých má uživatel práva zápisu. Není sebemenší důvod mít větší práva.

  35. Martin napsal:

    Zdravím,
    taky se mi to podařilo a vir mi zašifroval fotky a textové dokumenty, ale většina se mi podařila obnovit úplně jednoduchým způsobem a to tak, že klikni na složku kde jsou poškozené soubory, potom pravým tlačítkem myši a potom dám Obnovit předchozí verze a hotovo.

  36. Martina napsal:

    Mě se to podařilo taky otevřít. Pošta k nám chodí denně a já jsem ta, která poštu přijímá. Mail jsem pročetla v rychlosti s tím, že si přečtu přílohu (co kdyby na firmu nedošel nějaký balík náhodou). A protože je můj PC propojen nějak sítí s dalšimi dvěma PC (nebo jsou na stejným serveru), tak se vir dostal i do nich! 🙁 To jsem si říkala, že tohle se mi v životě nemůže nikdy stát!

  37. Xar napsal:

    Dobrý den, dostal jsem se do situace, že jsou ty data pro mě životní záležitost. Zkoušel to někdo zaplatit? Zkoušel jsem obnovit jeden file a prošel korektně. Má tedy někdo zkušenost s koupením dešifrovacího klíče?

    • Motji napsal:

      Dobrý den,
      máme odezvu, že po zaplacení výkupného jim byl klíč skutečně zaslán a soubory se podařilo dešifrovat. Nicméně stále je bez záruky, zda útočník klíč pošle nebo ne.

    • Lada napsal:

      Xar: Pokud se rozhodnete to risknout, dejte prosím vedet jak jste dopadl.

      • Xar napsal:

        Takže po zaplacení všechno proběhlo ok, sice ze strachem, ale data obnoveny!!!! Aspoň už jsem poučen

        • Paba napsal:

          @ Xar: na kolik vás ten klíč přišel?
          Z logiky věci (útočník chce vydělávat) bych očekával že klíč skutečně pošle a že bude funkční, ale na níže zmíněném webu (servis.eset.cz) je zmínka o případu že někomu poslali klíč, který nefungoval. Ale je otázkou kde se stala chyba, protože zájem útočníka (=podnikatele černé zóny netu) je aby mu jeho oběti důvěřovali a zaplatili.

          • Lada napsal:

            Xar: To utocnik podle nějakou aplikaci co to desifruje?

          • Davos napsal:

            to Paba: Po zaplacení a kliknutí na kontrolu platby dojde ke stažení programu který dešifruje data.

            Jen upozorním, pokud si vytvoříte peněženku a budete posílat platbu tak nezapomeňte na poplatek za převod. Je v řádu korun např. u peněženky Electrum jde o částku 0.0002bitcoin. Pokud na to zapomenete tak se tento polatek automaticky strhne z převáděné částky. Díky tomu pravděpodobně nedojde ke spárování platby.

  38. Láďa napsal:

    a ti co zaplatili, nelze klíč použít i na jíném zašifrovaném PC? … myslím, že by lidé radši zaplatili někomu co to „risknul“ než útočníkovi

  39. Jirka napsal:

    Obnovení souborů funguje. Je to piplačka, ale dá se zachránit všechno… Nejdřív odvirovat a pak postupně vše obnovit z předchozí verze.

    • Kristýna napsal:

      Odvirováno, vyčištěno, zkoušela jsem Obnovit předchozí verze, ale nejde to, vůbec tam žádné předchozí verze nejsou….

  40. Albi napsal:

    Všichni se zde bavíte, o odvirování a dešifrování. Mě by ale zajímalo, jestli existuje způsob jak tomuto viru předejít i když jej uživatel spustí. Zda jej již umí některý antivirový SW již detekovat a zastavit dříve než způsobí zmiňované škody

    • Tomáš napsal:

      Používám již mnoho let produkty Kaspersky a žádný problém ani tentokrát, přestože přítelkyně uvěřila, že má něco na poště. Malware byl blokován hned první den!

      Rozhodně je tedy potřeba mít vypnutý bod obnovy, pro kompletní odvirování. To platí pro všechny antiviráky.

      • Míra napsal:

        Tohle bych nedělal. Podle aktuálně dostupných informací je jediná šance obnova dat ze zálohy nebo „předchozích verzí“ přímo v systému. Smazáním všech bodů obnovy zároveň dojde se smazání nešifrovaných verzí souborů a není co obnovovat.

      • Akát napsal:

        Variantu tohoto poštovního trojského koně, kterou dostala před dvěmi dny kolegyně, Kaspersky dosud nedetekuje – podle webu virustotal.com . A jak sleduju od jara trojany, které v Česku chodí v mailech (výše pohledávky), tak je Kaspersky často nedetekuje s velkým zpožděním, jestli vůbec. Brzo je většinou detekují (abecedně) AVG, Avast, Eset-NOD32 – protože to jsou české (československé?) programy.

    • Paba napsal:

      Univerzální a 100% obrana neexistuje. Když máte to štěstí, že nejste v první vlně zasažených, tak antivirus může pomoci, protože škodlivý kód zařadí do svých signatur postupně všechny „slušnější antiviry“. Ale pokud jste v první vlně, tak s jistou dávkou štěstí by mohla pomoci AV heuristika, ale spolehlivější bude „zdravý rozum“ „poučeného uživatele“ (a toho není nikdy dost). A jakmile kód začnou AV detekovat, lze očekávat, že jej útočníci modifikují tak, aby se detekci vyhnuli… Takže nejlepší obranou je myslet a nespouštět… (to jste ale asi nechtěl slyšet? 🙂 MInimálně by měl být Průzkumník Windows nastaven tak, aby zobrazoval přípony souborů (odškrtnout volby „Nezobrazovat přípony známých typů…“ v Možnostech složky)

  41. kolemjdouci napsal:

    dle zkušenosti se na win7 32bit podařilo obnovit soubory ze stínové kopie, na win 7 64bit virus stinove kopie deaktivoval a smazal ..

  42. handa napsal:

    To je hrůza.

  43. Zdeněk K napsal:

    Jednou možností jak si dát pozor je řádně si prohlédnout adresu v adresním řádku.Musí tam být_ zelený zámek_ a nápis: Česká pošta, s.p.(CZ) https://www.ceskaposta.cz/uzitecne-nastroje/sledovani-zasilek-track-trace.
    To je šifrované spojení. Pokud je adresa jinak, tak je falešná.

    • Jana Sedláková napsal:

      Díky za radu, ale to už nám napadeným je jaksi k ničemu.
      Pořád nic? Klíč není? Zničilo mi to kromě jiného vánoční fotky asi 5 klientů, ostatní jsem bohudíky ještě měla na kartě nebo hotové, odeslané úschovnou, takže se za poplatek daly získat zpět. Jinak PC už mám doma, odvirovaný. Blokované soubory jsou na zvláštním disku a čekají na dešifrovací klíč. A já se modlím, aby už ho někdo vymyslel 🙁

      • Zabak napsal:

        Obavam se, ze obnova bez zalozni kopie nebude mozna-viz nizsi sprava z Esetu, kde nejpodstatnejsi cast je dole

        https://servis.eset.cz/Knowledgebase/Article/View/426/0/jak-se-chranit-ped-havti-ktera-sifruje-data#.VHSpv3zwt9A

        Upozornění:
        V předchozích variantách této havěti bylo možné analýzou zdrojového souboru a zašifrovaných dat nalézt klíč k dešifrování. Bylo tak možné zašifrované soubory obnovit. Současná varianta, která se šířila pod hlavičkou různých přepravních společností používá velmi bezpečný šifrovací algoritmus. Šifrování je navíc vícenásobné a pro každého uživatele jiné. Klíč pro dešifrování již není možné zjistit. Můžeme předpokládat, že každá další varianta bude opět o něco sofistikovanější.

        Podle posledních informací virus nešifruje kompletní obsah disku, u některých souborů pravděpodobně mění jen příponu. Alespoň u části změněných dat tak může pomoci vrátit souborům jejich původní příponu.

      • Petr napsal:

        http://www.spajk.cz – odstranění v nouzovém režimu – krok za krokem

  44. kyssling napsal:

    Může mě někdo říct zda případně odkdy Eset tento vir/Cryplocker začal detekovat případně (ideálně) nějaké srovnání antivirů kdo první připravil řetězce v aktualizaci ? Díky

  45. ggghhh napsal:

    Mám pár poznámek.
    Poznámka 1.: Dávejte si pozor, co spouštíte. Je otázka pár minut naprogramovat něco, co smaže vaše soubory. Je otázka pár desítek minut naprogramovat něco, co zašifruje vaše soubory. Jak sami vidíte, ani antivir vás nemusí ochránit, buďte při práci na počítači vždy bdělí! Pokud toho nejste schopni, tak minimálně při činnostech, které tu bdělost přímo vyžadují, protože jsou potenciálně nebezpečné.
    Poznámka 2.: Pokud je malware, který šifruje soubory, jde je rozdělit do dvou skupin. První jsou ty, které používají kvalitní šifrovací metodu (například AES, AES používá 7z, wi-fi, instrukce se přidávají do procesorů atd.) a šifrovací klíč je po zašifrování poslán tvůrci malware, přičemž ten klíč se na napadeném počítači nenachází. V takovém případě nejde soubory bez klíče rozšifrovat (tedy pokud není použitý klíč třeba 123456, případně nění nějak monitorován malware při konkrétním šifrování) – což je i případ malware v tomto článku. A ta druhá skupina jsou ty ostatní, například soubor je zašifrován pomocí AES, ale klíč je nějakým způsobem uložen v souboru (například vygenerovaný náhodný klíč, který je zašifrován hashem budoucí velikosti souboru a připojen na konec souboru). Po analýze našifrovaných souborů se v takovém případě dá vytvořit algoritmus na dešifrování.
    Poznámka 3.: Co si matně pamatuju, tak jsem zběžně testoval tento malware před několika dny ve virtuálce a pokud mě paměť neklame, šifroval pouze prvních 2 MB dat v souboru, takže pokud má někdo velké soubory, tak by snad nějaká část informací z nich šla teoreticky zachránit (ideální příklad: 10 MB zašifrovaný txt soubor stačí zobrazit v poznámkovém bloku a 8 MB dat by mělo být dostupných). Je ale možné, že si to pletu s jiným malwarem, tak to někdo ověřte.

  46. Blanka napsal:

    Dobrý den, jestli to chápu správně, když opíšu kontrolní číslice a stisknu Stáhnout ta havěť se mi do počítače nedostane, jak je někde uváděno. Problém vznikne až v momentu pokud bych stáhla soubor s příponou .exe ?

  47. Pišta napsal:

    Tak mě na serverech, kde shodou okolností před 14 dny spadlo zálohování, se povedlo data obnovit pomocí ShadowExploler. Data se zašifrovali v 15:59 a Shadow je obnovil z 12:00.

  48. Richard napsal:

    Proč v roce 2014 lidi nezálohujete? Třeba za 5$ měsíčně jakákoli data? http://www.backblaze.com

    • Marek napsal:

      me se to nastesti nestalo, pze to nejdulezitejsi zalohuju, ale deje se tak, protoze vetsina lidi, ze maji zalohovat, to pochopi, az kdyz se neco takoveho stane… clovek jim to muze rikat 100x 🙂

  49. Marek napsal:

    Shadow explorer data k vybranemu datu obnovi, ale cca v polovine obnovovani spadnul a od te doby jiz zadne body obnoveni nenasel ani system obnoveni. Co ted? Byly napadeny soubory obnovy? Da se s tim neco jeste delat? Nebo jen selhala sluzba VSS? Da se nejakym zpusobem nekde overit, zda shadowcopy soubory obnovy fyzicky na disku jeste jsou a pouzit je, treba na jinem stroji?

  50. Petr napsal:

    ODSTRANĚNÍ !!!
    Na http://www.spajk.cz je podrobný návod na odstranění toho sajrajtu v nouzovém režimu. Funguje to ihned!!!

    • Milan napsal:

      hmm, trapná reklama na spajk.cz, kde žádný návod není…

      • Paba napsal:

        ano návod na odstranění není, ale snad přínos může být aspoň se b tom, že se dozvíte informace v ucelenější formě než v méně přehledných diskuzních příspěvcích

      • petr napsal:

        Tak tedy takto:
        Útok pochází zatím z domén ceskaposta.net a ceskaposta.info, které však České poště nepatří, ta rozesílá zásilky z adresy ceskaposta@cpost.cz. Pokud zadáte kód a pokusíte se stáhnout informace o neexistující zásilce, stáhnete si do počítače virus. Jedná se o zákeřnou infiltraci Win32/Spy.Hesperbot, což je trojský kůň, vytvořený tak, aby získával informace o bankovních účtech napadeného. Umožňuje zaznamenávat stisknuté klávesy, vytvářet screenshoty a nahrávat videa, dokáže také vzdáleně ovládat napadený počítač. Opět je zde použita dvojitá přípona „zasilka.pdf.exe“ a opět musím zdůraznit – na dvojité přípony se nekliká!

        A jak virus odstranit?

        Přejděte do nouzového režimu. Při startu PC, jakmile zmizí úvodní informace BIOS (obvykle logo výrobce PC/základní desky, či informace o paměti, procesoru), je potřeba mačkat klávesu F8.

        Zobrazí se nabídka, ve které zvolte „Stav nouze“/“Nouzový režim“ (Safemod). Jakmile v tomto režimu Windows naběhnou, otevřete editor registru. Ve Windows 7/8/Vista stačí v nabídce Start napsat „regedit“ (bez uvozovek) a potvrdit klávesou „ENTER“. Ve Windows XP kliknete na nabídku Start-Spustit a napíšete opět „regedit“. Nyní se musíte proklikat do větve HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Zde bude uveden nějaký prapodivný název souboru, v příkladu wsadjgk odkazující i na umístění ve složce ProgramData.

        Název wsadjgk je pouze ilustrativní, soubor i složka mají pokaždé jiný název!

        V některých případech je cesta ke klíči v registru jiná, zkontrolujte tedy i umístění HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run !

        Nejprve smažte složku v umístění C:\ProgramData\wsadjgk. Složka ProgramData bývá standardně skryta, proto si povolte zobrazení skrytých složek. Po odstranění složky/složek s podivným názvem smažte i zmiňovaný klíč v registru.

        cp

        Restartujte počítač do běžného režimu a antivirovým programem zkontrolujte operační paměť, ta by již měla být čistá

  51. jar napsal:

    Tak u nas uz se to taky rozjelo. Vcera nas bombardovaly maily s postovni zasilkou. Vypada to, ze stahovane soubory uz jsou nefunkcni. Protoze dve kolegyne to spustily a nic se nestalo. Jedna ma XP a druha W7.
    odkaz smeruje na csposta24.org velikost souboru je/byla
    vcera DR389723928793201.exe 477 184 B a tvaril se jako ovladac GeForce 3D Vision ver. 7.17. dokonce to ma i ikonu
    dnes DR3829832729803.exe 473 088 B

  52. laik napsal:

    Patřím k těm blbům co si podvodný email od České pošty otevřeli. Klikla jsem i na odkaz Informace o zásilce. Stáhnul se mi zazipovaný soubor,ale ten nešel otevřít. Může se vir dostat do PC, ikdyž nebyl soubor otevřen? Vůbec tomu nerozumím. Projela jsem PC antivirem a nic nenašel. díky

    • jar napsal:

      Pokud jste ho stahla tak už ho tam máte.
      Ale vzhledem k tomu že vám nešel rozzipovat, tak počítám že jste ho nespustila, v tom případě se nic neděje. Smažte *.zip a je to ok.

  53. drek napsal:

    Šifrovací appka (cryptolocker) momentálně chodí i přes email s odkazem na doménu „cs-post24.com“. Phishing email se tvari, jako informace o vyzvednuti zasilky. Email je v češtině.

  54. jar napsal:

    Jen tak mimochodem, Česká pošta tomu moc nepřispívá, právě jsem dostal nevyžádaný mail na nějakou soutěž „Vyhrajte s balíky České pošty“

  55. petr napsal:

    A jak virus odstranit?

    Přejděte do nouzového režimu. Při startu PC, jakmile zmizí úvodní informace BIOS (obvykle logo výrobce PC/základní desky, či informace o paměti, procesoru), je potřeba mačkat klávesu F8.

    Zobrazí se nabídka, ve které zvolte „Stav nouze“/“Nouzový režim“ (Safemod). Jakmile v tomto režimu Windows naběhnou, otevřete editor registru. Ve Windows 7/8/Vista stačí v nabídce Start napsat „regedit“ (bez uvozovek) a potvrdit klávesou „ENTER“. Ve Windows XP kliknete na nabídku Start-Spustit a napíšete opět „regedit“. Nyní se musíte proklikat do větve HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Zde bude uveden nějaký prapodivný název souboru, v příkladu wsadjgk odkazující i na umístění ve složce ProgramData.

    Název wsadjgk je pouze ilustrativní, soubor i složka mají pokaždé jiný název!

    V některých případech je cesta ke klíči v registru jiná, zkontrolujte tedy i umístění HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run !

    Nejprve smažte složku v umístění C:\ProgramData\wsadjgk. Složka ProgramData bývá standardně skryta, proto si povolte zobrazení skrytých složek. Po odstranění složky/složek s podivným názvem smažte i zmiňovaný klíč v registru.

    cp

    Restartujte počítač do běžného režimu a antivirovým programem zkontrolujte operační paměť, ta by již měla být čistá

  56. Pavel napsal:

    No jo, no. Jediným řešením je prostě přechod na takové to nakousnuté, šťavnaté, hezké, chutné, spolehlivé jablíčko…. ty se při styku s koncovkou .exe prostě jenom kysele otřepou… 🙂

  57. Ales napsal:

    No jesteze mam doma Apple. Pocitac pouzivam jen pro brouzdani se po netu a vse mam na googlu. Tam se doufam ten virus take nedostane. Horsi az bude vyroben virus, ktery se bude zamerovat na tyto sluzby a bude spousten primo nejakym javascriptovym kodem na nejake strance. Dokazi si predstavit, ze by dany virus v GoogleScriptu vytvoril skript a trigger, ktery by jej spoustel i kdyz jiz nebudu pripojen. Masakr take bude, az nepujdou pocitace vypinat a budou jen usinat, to ten virus bude asi take tezke zastavit. V kazdem pripade preji vsem postizenym rychly navrat ztracenych informaci a rychle blokovani antivirama, protoze az nekomu z postizenych rupne v bedne a prejmenuje dany soubor a posle ho schvalne jako nejaky darek nebo ho necha sdilet, tak to teprve bude masakr.

  58. Martin napsal:

    Mozna si to predstavuju jako Hurvinek valku, ale to nikdo nemuze disasemblerovat ten vir a podivat se jak generuje to heslo? Nebo na 100% jde sledovat co se deje v operacni pameti, jake instrukce procesor zpracovava. Ja vim je to slozite, ale nerikejte mi ze to kluci z antivirovych spolecnosti neumi.
    Ten vir nemam tak nevim co vsechno zasifruje a co jen prejmenuje.
    Jak treba utocnik dokaze ten jeden soubor zase obnovit? Pozna snad kdo mu ho posila? Tzn. IP adresa, verze a jmeno web prohlizece, nazev zaheslovaneho souboru, nebo se pri odeslani doplnuje jeste nejaka informace?
    Proste jestli utocnik dokaze obnovit puvodni soubory, tak bud heslo ma nebo si ho generuje z informaci, ktere muze ziskat tim zaslanim toho souboru.
    Takze by mel jit vytvorit nejaky keygen.
    Jinak si myslim ze by soubory mely jit obnovit jako kdyz dojde ke smazani. V zavislosti na volnem miste na disku. Soubory se preci fyzicky nemazou dokud neni potreba misto pro nove.

    • lentílka napsal:

      Ano. představuješ si to jako Hurvínek válku.
      Zjednodušeně: Klíč se vygeneruje náhodný, pomocí AES a klíče se zašifují soubory a klíč se pošle na web tvůrce malware. Klíč nezjistíš, protože je generován náhodně, AES rozšifrovat nejde, potřebuješ klíč a klíč nemáš, ten má jen tvůrce malware. A jak pozná o jaký klíč se jedná? Uloží v zašifrovaném souboru třeba nějaký náhodný řetězec, který se pošle na web tvůrce malware spolu s klíčem. Vše se dá naprogramovat za pár desítek minut.
      Takže keygen vytvořit nejde, pokud klíč generuje náhodně. A k náhodnému řetězci nemáš přiřazený klíč, protože nemáš databázi řetezců a klíčů.
      Co se týče posledního, tedy mazání, při enkryptování ani nic mazat nemusíš, stačí přepisovat původní soubor a původní data ti fyzicky na disku zmizí (nemyslím tím zálohy již popisované, ty by bylo též vhodné, z pohledu malware, smazat, což nejspíš tvůrce tohoto malware bude mít třeba vyřešeno v příští verzi malware…).

  59. Tomas napsal:

    Ohledně toho, že to napadá i zálohy na externích nebo síťových discích, připojených přes písmenko nebo přes síťové okolí. Ono je zálohování a zálohování.
    – Nejbanálnější nakopírování na jinou partitionu je samozřejmě nanic, to je tak proti vlasní chybě, ale nestačí ani na pád disku.
    – Externí disk (ať už fyzicky jiný kotouček nebo síťový) je o parník lepší, to samozřejmě. Ale pokud na něj má uživatel plný přístup, respektive plný přístup ke své části, včetně možnosti urpavit/smazat dříve nahrané, tak na problémy typu tohoto viru je to taky málo.
    – Za takřka neprůstřelné považuji nějaké externí/cloudové úložiště, kam se denně sype kopie Vašich cenných dat a tu už nemůžete ovlivnit. Prostě tam bude a nejde přepsat, protože takové přístupy nemáte. Takové právo má je správce toho externího úložiště. A v něm funguje „pevný režim“, například že data zůstávají dva týdny ve dvou kopiích, a další dva měsíce v jedné kopii. Nejlépe v kombinaci s aplikačkou v počítači, která provádí to zálohování podle programu např. 1x týdně kompletní, zbytek změny od poslední kompletní. Díky tomu si třeba za měsíc můžete všimnout „aha, 13.11. se něco podělalo“ a natáhnout si zálohy ve stavu z 12.11. (protože víte, že i na konci prosince tam máte data za poslední čtvrtrok den po dni, a nikdo je nemohl změnit). A to ještě na zdvojených discích, kdyby náhodou jeden odešel, a v lepším případě každá kompletní záloha v jiné lokalitě, kdyby náhodou přišlo něco jako požár nebo povodně. Největší „práce“ je pak určit poslední nepoškozenou podobu dat.

    Bohužel takovéhle zálohování málokdo nabízí. Někdy tak fungují zálohy webových serverů, ale většinou nejsou využívané i pro zálohy lokálních počítačů. Plus si ten prostor musíte zaplatit, ale vzhledem k cenám v desetihalíříh za gigabajtoměsíc to nemusí být žádná pálka – pokud ve svém PC umíto oddělit životně důležitá data (dokumenty, poštu, případně protříděné fotky) od druhořadých (filmy, zbytné fotky, aplikace..). Další možností je mít domácí diskovou stanici, která takovéhle nastavení podporuje (tj. běžným způsobem neumožní update/delete záloh, které už tam leží). Ale o diskstation s takovým softwarem zatím nevím, budu rád za tipy. Trocuh se to dá přirovnat k zálohám na nepřepisovatelných cédéčkách, s kterými se ale samozřejmě musíte vypalovat, je tam určité riziko nečitelnosti, atd..

    Má někdo další tipy na neprůstřelné zálohování?

    • lentílka napsal:

      A co třeba google drive případně podobné uložiště?
      Todle to je dva roky starý článek:
      http://technet.idnes.cz/google-drive-efektivneji-0xy-/software.aspx?c=A120729_223226_software_dvr

      a píše se tam, že po smazání jsou soubory v google drive koši. Předchozí verze souborů uchovává google drive po dobu 30 dnů případně do 100 předchozích verzí.

      Nevím jak jsou na tom uložiště teď, ale jelikož jsem přišel před nedávnem o disk, začínám zálohování řešit. A nejspíš mi bude bohatě stačit 15 GB zdarma na google drive a 15 GB zdarma na Microsoft OneDrive.

      • Tomas napsal:

        Ale pokud je ke google drive přístup „proklikatelný v počítači“, tak se k němu tento virus zřejmě taky dostane, ne? A pokud i tam soubory ZAŠIFRUJE (nikoliv odstraní, aby byly obnovitelné z koše), tedy změní, tak je asi neobnovím. Nebo?

        • lentílka napsal:

          Nikde není psané, že je potřeba používat google drive s nastavením, kdy je proklikatelný přístup do google drive. A pokud se s takovým nastavením používá, tak je tam těch až 100 předchozích verzí souboru. Nebo máš dojem, že nějaký cryptolocker upravuje soubory více jak 100x? A i kdyby se s tímto více jak 100x upravením souboru počítalo, určitě by to nějak vhodně vyřešit šlo.

          • Tomas napsal:

            Pardon, těch 100 předchozích verzí i v případě úpravy jsem přehlédl. To je samozřejmě dobré, díky za tip.

  60. Cloudy napsal:

    Mám takovou teorii, torrentlocker apod. vytvořili a šíří je google a jiné společnosti, jež se chtějí dostat k většímu množství uživ. dat. A teď vážně:

    Zálohování osobních či dokonce firemních dat na cloudy ála google, či kamkoliv jinam, vyjde asi na stejnouúroveň, jako byste data tiskli na papír a vyhazovali je oknem. Pokud zde jakási lentilka tvrdí že na googlu je 15gb prostoru, je opravdu takový problém koupit externí disk za tisícovku, nebo 2 flashdisky po 2 stovkách a tam tyto data dle důležitosti jednou za den sypat. Neni to lepší než dávat data veřejně k dispozici?

    pozn.: šíří se tu nyní histerie okolo zálohování, samozřejmě kdokoliv s trochou soudnosti jež má cenné pracovní soubory či soubory na kterých strávil hodiny času vlastní práce, si tyto data zálohuje. Lidé kteří mají databáze pracovních fotek 5let do zádu, je samozřejmě musí mít na externím disku, ale zamyslete se popravdě, kolik konkrétních dat je nutné zálohovat. Pokud píšete, nebo děláte weby či databáze, je to v řádu jednotek až desítek mb na projekt. Pokud děláte foto, jsou to jednotky gb, možná, pokud řešíte video až poté jsou třeba stovky a více gb.

    Výsledek vlastní neschopnosti uživatelů, kterým vir sežral data (a toto je prakticky vždy o neschopnosti uživatelů) je to, že se nyní šíří histerie a jediné možné řešení je nasypat data zdarma na všechny cloudy které existujou… děcka proboha, disky, flashky i ty blbý CDčka se prodávají pořád, nesypte data na cloudy, zapláčete až o ně přijdete či až vám je někdo ukradne. Že jsou na cloudech zneužívány je samozřejmost. Jen se o tom moc nepíše. Cloudy jsou něco na úrovni veřejné knihovny – a tam si leze kdo chce a bere si co chce….

    • lentílka napsal:

      Podívej se laskavě na co jsem reagoval a jak jsem reagoval. Reagoval jsem na konkrétní příspěvek, kde má odpověď prakticky řešila to co daný uživatel chtěl, tedy službu s určitými paramatry a vlastnostmi. A též jsem doplnil, že daná služba bude vyhovovat mým potřebám.
      Nepsal jsem nic o tom, že dané řešení je jediné možné a vždy vhodné pro všechny. Co se týče dat, tak mnohdy ono neveřejné (podle tebe veřejné) ukládání naprosto stačí pro většinu dat, minimálně u mě, navíc v mém případě je mi dokonce jedno, jestli většina dat by byla uložena veřejně nebo neveřejně, pár mých dat jsem zachránil i tak, že jsem je stáhnul z mých veřejných uploadů (na uloz.to, vps), jedná se například o naprogramovaný kod, instalační kód a podobně. Pokud člověk nevěří nebo nechce dávat soubory na google drive, případně se jedná o opravdu citlivé soubory, je možné je tam dávat zaheslované v archivu (nebo máš problém i s AES 256 bits?) – například já bych tam dával citlivé dokumenty takto zaheslované v archivu, případně tam ty citlivé dokumenty nemusí člověk dávat vůbec pokud nechce. Já nikomu nebráním používat k zálohám jakékoliv řešení, ať každý používá co chce. Co se týče například mě a kleknutí disku, tak o své fotky jsem nepřišel, zůstaly i na paměťových kartách. Je teda vždy přistupovat individuálně.
      Opradu se histerie okolo zálohování nešíří. Jen je opravdu potřeba na to myslet, je to sice činnost navíc, ale přece jen méně namáhavá než obnovovat původní soubory tak, že je člověk vytvoří/vypracuje znovu nebo případně nejdou vypracovat znovu vůbec. A není to otázka pouze viru ale i selhání hw, jako v mém případě. A jak jsem psal, ať si každý zálohuje kam chce a jak chce podle svých potřeb, v mém případě mi bude vyhovovat google drive + onedrive a něco z pc na paměťovou kartu v mobilu a to v tom smyslu, v jakém jsem píšu v tomto příspěvku (fakt v mobilu nenechávám uloženou kdejakou vyfocenou píp nebo nezašifrované citlivé soubory).

    • Tomas napsal:

      Cloudy, moje diskuze se neubírala směrem, jestli je dobré zálohovat nebo ne. To asi není ntné řešit… Otázka byla, jak ideálně zkombinovat co nejefektivnější zálohování (často, samo, automaticky) vs. to, že tenhle virus umí šifrovat i připojené jednotky. Nikdo netvrdí, že se „za pár“ nedá koupit externí disk, ale jde o to, co se stane, až ho připojím k zavirovanému počítači.

      Pro zajímavost, shodou okolností i my děláme weby, takže kromě soukromého zálohování (a i rodinné fotky, ne fotky fotostudia, jsou pro mě velmi cenné, a nemají zrovna pár megabajtů…) samozřejmě uvažuju i o bezpečném zálohování firemních dat. Tady bych Vás rád upřesnil – jsou i firmy, jejichž weby mají databázi 5GB (zálohovanou klidně i hodinu po hodině) a uživatelská data (např. obrázky související s nabídkou zboží a služeb) tu máme taky 200GB na web (zálohované denně). Schválně si spočtěte, kolik dat to dělá při uchovávání záloh pro možnost obnovení 30 dnů nazpátek 😉 takže tady už stojí za to zamyslet se nad ideálním nastavení zálohování. (A ta data se průběžně mění, samozřejmě kombinace kompletních a inkrementálních záloh je, ale i tak jsme v terabajtech)

  61. Akát napsal:

    Pravá Česká pošta používá vícero domén (adres pro mail či v internetovám prohlížeči): cpost.cz, postaonline.cz, ceskaposta.cz. Avíza odesílá s odesílatelem ceskaposta@cpost.cz. U podvodných mailů to bylo jinak, ale adresu odesílatele mailu můžou i podvodníci nastavit na ceskaposta@cpost.cz.

  62. Marek napsal:

    vir smazal i shadowcopy, nicmene jsem je pomoci O&O Format Recovery obnovil. Obnoveni probehlo ale samozrejme do jineho adresare, ktery jsem pro obnovu zvolil. Jak ale z techto obnovenych „shadowcopy“ souboru dostat data, ktera tam evidentne jsou? Adresar System Volume Information lze treba i najinem stroji zpristupnit zmenou prav takeown + icacls, nicmene fyzicke soubory obnovy, jsou i tak nepristupne ci nejdou smazat. Premyslel jsem o tom, ze bych „zdravym“ WIN 7 s viditelnymi body obnovy O&O obnoveny soubor Shadowcopy podstrcil jako soubor funkcni Shadowcopy, ze ho prejmenuji, ale samotny „zdravy“ soubor shadow copy nelze smazat, zrejme protoze je s nim zakazano jakkoli manipulovat. Nenapada nekoho neco, jak na to vyzrat, ci jde nejakym zpusobem alespon neco z obnovenych souboru shadowcopy vytahnout?

  63. Davos napsal:

    Došlo mi pár dotazů na PM ohledně platby za dešifrovací program. Tak přidávám moje postřehy a návod jak zřídit bitcoinovou peněženku a provést platbu…

    http://www.servis-zlin.eu/clanky/cryptolocker-sifrovaci-vir-ktery-znepristupni-data-aneb-sledovani-zasilky-ceske-posty
    http://www.servis-zlin.eu/clanky/jak-zalozit-bitconovou-penezenku-a-prevest-na-ni-penize/

  64. Daver napsal:

    Potvrzuji další úspěšné dešifrování po zaplacení. Bitcoin zrovinka padl a podařilo se mi nakoupit za $348, celková platba pod 20tis.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*