Crypto virus .ADOBE Dharma ransomware

Meken

EDIT:
Takze napadol ma crypto virus .ADOBE Dharma - je to ransomware, prepisuje vsetky subory na priponu .ADOBE vid obrazok
Prakticky neexistuje na to zatial ziaden desifrator - decrypter. Jedine zaplatit hekerovi a dufat, ze Ti to vie opravit a opravi...
Vacsinou Vas napadne cez RDP alebo kliknuie na daky odkaz/email.

Toto je stranka kde o tom pisu, ze .ADOBE sa vyskytol zaciatkom Novembra tohto roku atd. Viac info tu:
https://www.bleepingcomputer.com/forums ... ansomware/

Any files that are encrypted with Dharma (CrySiS) Ransomware will have an <id>-<id with 8 random hexadecimal characters>.[<email>] followed by the .dharma, .wallet, .onion, .zzzzz, .cezar, .cesar, .arena, .cobra, .java, .write, .arrow, .bip, .combo, .cmb, .brrr, .gamma, .monro, .bkp, .btc, .bgtx, .boost, .waifu, .funny, .betta, vanss, .like, .gdb, .xxxxx, .lock, .adobe, .AUDIT, .cccmn, .tron, .back, .Bear or .fire extension appended to the end of the encrypted data filename.

You can submit (upload) samples of encrypted files, ransom notes and any contact email addresses or hyperlinks provided by the cyber-criminals to ID Ransomware (IDR) for assistance with identification and confirmation of the infection.

Only the earlier .dharma, .wallet, .onion variants of Dharma (CrySiS) are decryptable. Unfortunately, there is no known method to decrypt files encrypted by the newer variants of Dharma (CrySiS) without paying the ransom and obtaining the private RSA keys from the criminals...including the .adobe variant.

SPRAVA OD HEKERA PRE MNA:

"Hello! Please write your ID. You can find it in files names(sample: id-56GC70DO).

Your files were encrypted. We can help unlock your files but you must pay for it in Bitcoins.
The cost for decryption during next 48 hours: 1,8 BTC.
our Bitcoin wallet: 13MMfKzq4LdFidWnAL2wfhp9KgKV9Fwdsj

After payment please write to us transaction ID!

Proof that we can decrypt your files:
you can send to us 1-3 files with simple extensions(jpg,xls,doc...) and low sizes(1 mb).
Files should not have the same extensions. One extesion - one file.
We will decrypt them and send files back to you. "

yoggy

Ked sa pozriem na penazenku, tak ludia mu tam uz poslali cez 30 btc

Meken

Našiel som kúpu descrypterov ale nie na toto Adobe

//autoeditácia príspevku (14 Dec 2018, 18:42)
Je to. Adobe dharma asi. No odstrániť to šlo ľahko, ale na desifrovanie súborov som nenašiel nič

jorg22

Tento typ virusov sa vola ramsonvare.
Niektore ramsonvare obsahuju chybu alebo kluc na desifrovanie priamo v sebe. Ak si na nete nenasiel nic na desifrovanie tak potom to je ta druha polovica, ktoru nikdy nerozsifrujes.

Jedina moznost je zaplatit alebo sa so subormi rozluc.

yoggy: Co je na tom divne. Ramsonvare je velmi dobry biznis a nieje vobec zlozite ho naprogramovat.

Meken

Ano, za cely den som sa o tom docital viac nez dost.

https://www.bleepingcomputer.com/forums ... ansomware/

Proste nie je na to "liek" .. neda sa to desifrovat bez toho aby to clovek zaplatil

napada to cez RDP...

//autoeditácia príspevku (14 Dec 2018, 22:40)
Viete mi odporucit daky dobry recovery program, kludne aj plateny. Prakticky aby vedel, ze si konkretne vyberiem subory / priecinok a vyberiem si datum pred virusom alebo pred prepisanim, ci to daky vie.

Recovery programov je vela, ale hladaju skor zmazane subory a nevsimnu si, ze dany subor je "zasifrovany a premenovany"...

Alebo mozno trepnem, daky recovery co mi obnovy zmazany bod obnovenia? kory zmazal virus?

heker · Príspevok od používateľa **heker** » 15 dec 2018, 2:32

Skusim tak laicky. Mas melon. Melom rozkrojis na 10 casti, ktore ulozis na stol. 6 casti zjes. Ostatne 4 casti schovas do chladnicky. Dokazes tych 6 casti vratit spat a obnovit? Nedokazes. Dokazes vytiahnut z chladnicky tie odlozene 4 casti, ktore oznacuju volne miesto? Dokazes. Kedze tvoje subory boli prepisane a najskor islo o prepis na rovnakej casti disku, tak ich prakticky nie je mozne obnovit. Obnovit by ich bolo mozne, ak by po nich vzniklo volne miesto - napriklad zmazanim, formarovanim, poskodenim particie alebo file systemu.

Tych 1,8 BTC ci kolko si pisal, to je slusna palka. Podla mna sa mozes rozlucit so subormi. A mozno so subormi aj peniazmi. V lepsom pripade si odloz tej disk a dufaj, ze mozno to niekto v blizkej dobe desifruje.

Inak jednu z prvych veci co robim po instalacii a nastavovani Windowsu je, ze vypinam RDP. Ako sa ukazalo neraz, je to dobra skusenost.

fildinko

Uff, to sa ako dokázalo takéto niečo dostať do PC ?

jorg22

To by aj mna zaujimalo. Asi stahuje vela porna

Meken

hh je to firemny PC na ktorom je nainstalovana len POHODA a SQL server. Takze dostal sa tam asi cez RDP (cez vzdialenu plochu) jedneho uzivatela...

heker

To si potom este dobre na tom. Nemecku firmu Krauss Maffei niekedy na prelome oktobra/novembra napadli tiez cryptovirusom. Zasiahnute su vsetky pocitace na firme v Nemecku, na Slovensku a aj v Rumunsku. Cela firma stoji, zamestnanci uz viac ako mesiac nechodia do roboty. Bolo tam vykupne tusim par tisic bitcoinov za desifrovanie diskov.

Co sa cudujem, je, ze v dnesnej dobe si spravcovia siete nedavaju pozor na to, aby bol operacny system vzdy aktualizovany, aby bol na kazdom PC aktualizovany antivirus, samozrejmostou je aj firemny firewall vratane firewall kazdeho PC.

A hlavne je dolezity backup, idealne offline, aby ho to tiez nezasifrovalo. Akakolvek ochrana sa da obist, ale takto aspon firma/uzivatel nepride o najdolezitejsia data. V domacich podmienkach to je lahko realizovatelne s externym diskom - raz tyzdenne nahrat nove fotky/dokumenty a odpojit od PC.

Meken

Ked vam poviem, ze sa zalohy robia na externy disk (uctovnictvo) , ale majitel externy disk neodpojil z PC, tak ... Proste ho nenapadlo, ze vobec existuje taky virus, co by to vedel takto poskodit...

jorg22

Preto sa v lepsich firmach odkadaju disky so zalohami do sejfu.

heker

Alebo na vzdialeny cloud.

Meken · Príspevok od používateľa **Meken** » 18 dec 2018, 8:23

hh no presne v lepsich firmach

... my sme mala firma, prakticky som tam ja a majitel, eshop predaj milwaukee strojov a potom mala predajna so zeleziarstvom a pozicovna, takze takato vec nas vobec nenapadla, ale prisli sme o uctovnictvo za 10 rokov... I ked mali sme SQL server predtym aj na cloude cez telekom, tak sme ich oslovili, ci dade este drzia zalohu...

//autoeditácia príspevku (18 Dec 2018, 8:23)
Tu som nasiel tuto stranku, ze vraj vedia desifrovat aj ADOBE https://fastdatarecovery.com.au/ransomw ... -recovery/

To urcite. Na internete najdes XYZ nazorov, ze to nejde desifrovat bez zaplatenia. Aj tak budes hladat a tapat sa v niecom co nejde spravit. nakoniec zaplatis za to 300, 1500, 4000 dolarov a neuvidis ani data, ani peniaze.

Meken

No keby ti v uctovnictve chybalo cez 1000 dokladov, tiez by si tapal

(tych co nemame zaevidovane)

Ved im posli nejaky subor na skusku a uvidis ci sa im to podarilo desifrovat alebo tam zavolaj ...

Jasne, treba skusit ak ponukaju skusku zadarmo. Hlavne tie subory zatial nemaz, mozno sa neskor objavi free decryptor.

Doklady ti chybat mozu, nech ich je aj 1000 tych dokladov. Ale pocitam, ze firma je platcom DPH a teda podava vykazy DPH. A tam mas uvedene sumy, DIC spolocnosti atd..., cize si vies spatne od tych dodavatelov tieto doklady vyziadat, aby ti poslali kopie. Platby kartou vies tiez teoreticky spravit, napriklad PHM za auto, leasing tiez, odvody a mzdy taktiez.

Crypto virus .ADOBE Dharma ransomware

Crypto virus .ADOBE Dharma ransomware

Re: Virus - crypto virus?

Re: Virus - crypto virus?

Re: Virus - crypto virus?

Re: Virus - crypto virus?

Re: Crypto virus .ADOBE Dharma ransomware

Re: Crypto virus .ADOBE Dharma ransomware

Re: Crypto virus .ADOBE Dharma ransomware

Re: Crypto virus .ADOBE Dharma ransomware

Re: Crypto virus .ADOBE Dharma ransomware

Re: Crypto virus .ADOBE Dharma ransomware

Re: Crypto virus .ADOBE Dharma ransomware

Re: Crypto virus .ADOBE Dharma ransomware

Re: Crypto virus .ADOBE Dharma ransomware

Re: Crypto virus .ADOBE Dharma ransomware

Re: Crypto virus .ADOBE Dharma ransomware

Re: Crypto virus .ADOBE Dharma ransomware

Re: Crypto virus .ADOBE Dharma ransomware

Re: Crypto virus .ADOBE Dharma ransomware

Re: Crypto virus .ADOBE Dharma ransomware