Πέμπτη, 19 Νοεμβρίου 2015

Ο νέος ιός helpme@freespeechmail.org που κλειδώνει τα αρχεία μπορεί να αποκρυπτογραφηθεί!


Ο νέος ιός helpme@freespeechmail.org που κλειδώνει τα αρχεία μπορεί να αποκρυπτογραφηθεί!

Σημείωση: 

Ο ιός χρησιμοποιεί έναν απλό αλγόριθμο και δεν έχει σχέση με τους γνωστούς ιούς τύπου Cryptolocker που τα αρχεία δεν μπορούν να επαναφερθούν. 

Το οτι αυτή την στιγμή δουλεύει η αποκρυπτογράφηση δεν σημαίνει οτι αυτό θα συνεχιστεί και στο μέλλον αφού η τεχνική του ιού μπορεί να βελτιωθεί.
  
Σε καμία περίπτωση μην πληρώνετε τα λύτρα αφού συνήθως όσοι το έχουν κάνει δεν έχουν καταφέρει να ξεκλειδώσουν τα αρχεία τους.




Ενας νέος ιος ransomware (καταβολής λύτρων) άρχισε να εμφανίζεται σε πολλούς υπολογιστές στην ελλάδα. Ο ιος κλειδώνει τα αρχεία σας και προσθέτει το helpme@freespeechmail.org στο όνομα του αρχείου. Πρόκειται για έναν ακόμα ιο τύπου Cryptolocker αλλά με δικό του σύστημα καταβολής λύτρων.

Οταν ένας υπολογιστής μολυνθεί, ο ιος θα δώσει στο μηχάνημα έναν μοναδικό αριθμό ID. Αυτός θα συσχετιστεί με την διεύθυνση ηλεκτρονικού ταχυδρομείου που θα προστεθεί στα αρχεία που κρυπτογραφήθηκαν, π.χ δώθηκε από τον ιο σε έναν υπολογιστή το ID 4126721512 και το αρχείο με όνομα filename.jpg κρυπτογραφήθηκε, τότε το όνομα του αρχείου θα γίνει filname.jpg.id-4126721512_helpme@freespeechmail.org.

Η μόλυνση αυτή επίσης αλλάζει την ταπετσαρία (wallpaper) του υπολογιστή με αυτή που βλέπετε παραπάνω, με πληροφορίες πως θα καταβάλετε τα λύτρα. Ευτυχώς η Kaspersky έφτιαξε ένα πρόγραμμα που λέγεται RakhniDecryptor και μπορεί να βρεί το κλειδί αποκρυπτογράφησης για τον ιο helpme@freespeechmail.org και άλλους της ίδιας οικογένειας.

Για να χρησιμοποιήσετε το RakhniDecryptor, πρέπει να το κατεβάσετε απευθείας από την ιστοσελίδα της Kaspersky. Ενώ μπορείτε να το βρείτε και αλλού, προτιμήστε να το καταβάσετε κατευθείαν από την Kaspersky ώστε να είναι η πιο καινούρια έκδοση.

Μόλις το κατεβάσετε το τρέχετε με διπλό κλικ και θα εμφανιστεί η εικόνα που βλέπετε παρακάτω.





Αν θέλετε να σκανάρετε δίσκους δικτύου που μπορεί να έχουν κρυπτογραφημένα αρχεία πατήστε στο Change Parameters και τσεκάρετε το Network Drivers. Μην πατήσετε το Delete crypted files after decryption button παρά μόνο αν βεβαιωθείτε 100% οτι το πρόγραμμα μπορεί να ξεκλειδώσει τα αρχεία σας.





Μόλις τελειώσετε με τις ρυθμίσεις πατήστε το OK και μετά το Start Scan button. Τότε θα σας ζητηθεί να επιλέξετε ένα κρυπτογραφημένο αρχείο.

Επειδή το πρόγραμμα μπορεί να μην υποστηρίζει 100% την αποκρυπτογράφηση του helpme@freespeechmail.org variant, πατήστε *.* στο πεδίο για όνομα αρχείου και πατήστε enter.

Αυτό θα δώσει εντολή στο πρόγραμμα να εμφανίσει κάθε είδους αρχείο συμπεριλαμβανόμενων και των αρχείων που έχουν κρυπτογραφηθεί με το freespeechmail.org. Μόλις επιλέξετε ένα κλειδωμένο αρχείο θα λάβετε ένα μήνυμα οτι η αποκωδικοποιήση μπορεί να διαρκέσει πολλές ώρες η και ημέρες. Πατήστε το OK και το πρόγραμμα θα ξεκινήσει την διαδικασία εύρεσης του κωδικού.

Αν αυτό πετύχει τότε το πρόγραμμα θα σκανάρει όλους τους δίσκους στο σύστημα σας για κρυπτογραφημένα αρχεία και θα τα ξεκλειδώσει. Οταν ολοκληρωθεί θα εμφανίσει ένα αρχείο καταγραφής για το πόσα αρχεία ξεκλείδωσε.

To RakhniDecryptor μπορεί να αποκρυπτογραφήσει τα αρχεία που έχουν κρυπτογραφηθεί και έχουν μετονομαστεί σε κάποια από τον παρακάτω κατάλογο:


<filename>.<original_extension>.<locked>
<filename>.<original_extension>.<kraken>
<filename>.<original_extension>.<darkness>
<filename>.<original_extension>.<nochance>
<filename>.<original_extension>.<oshit>
<filename>.<original_extension>.<oplata@qq_com>
<filename>.<original_extension>.<relock@qq_com>
<filename>.<original_extension>.<crypto>
<filename>.<original_extension>.<helpdecrypt@ukr.net>
<filename>.<original_extension>.<pizda@qq_com>
<filename>.<original_extension>.<dyatel@qq_com>
<filename>.<original_extension>_crypt
<filename>.<original_extension>.<nalog@qq_com>
<filename>.<original_extension>.<chifrator@qq_com>
<filename>.<original_extension>.<gruzin@qq_com>
<filename>.<original_extension>.<troyancoder@qq_com>
<filename>.<original_extension>.<encrypted>
<filename>.<original_extension>.<cry>
<filename>.<original_extension>.<AES256>
<filename>.<original_extension>.<enc>
<filename>.<original_extension>.<coderksu@gmail_com_id371>
<filename>.<original_extension>.<coderksu@gmail_com_id372>
<filename>.<original_extension>.<coderksu@gmail_com_id374>
<filename>.<original_extension>.<coderksu@gmail_com_id375>
<filename>.<original_extension>.<coderksu@gmail_com_id376>
<filename>.<original_extension>.<coderksu@gmail_com_id392>
<filename>.<original_extension>.<coderksu@gmail_com_id357>
<filename>.<original_extension>.<coderksu@gmail_com_id356>
<filename>.<original_extension>.<coderksu@gmail_com_id358>
<filename>.<original_extension>.<coderksu@gmail_com_id359>
<filename>.<original_extension>.<coderksu@gmail_com_id360>
<filename>.<original_extension>.<coderksu@gmail_com_id20>
<filename>.crypt@india.com.random_characters>
<filename>.<original_extension>.<hb15>
<filename>.<original_extension>.id-<id>_helpme@freespeechmail.org.

Αν τα αρχεία σας έχουν κρυπτογραφηθεί με κάποια από τις παραπάνω καταλήξεις, μην πληρώσετε τα λύτρα. Χρησιμοποιείστε το πρόγραμμα για να τα επαναφέρετε.


Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου