Crypto virus .ADOBE Dharma ransomware

Informácie o software, ankety...
Meken
King
King
Používateľov profilový obrázok
Príspevky: 1943
Registrovaný: 03 jan 2007, 15:17
Bydlisko: LM

Crypto virus .ADOBE Dharma ransomware

Príspevok od používateľa Meken »

EDIT:
Takze napadol ma crypto virus .ADOBE Dharma - je to ransomware, prepisuje vsetky subory na priponu .ADOBE vid obrazok
Prakticky neexistuje na to zatial ziaden desifrator - decrypter. Jedine zaplatit hekerovi a dufat, ze Ti to vie opravit a opravi...
Vacsinou Vas napadne cez RDP alebo kliknuie na daky odkaz/email.

Toto je stranka kde o tom pisu, ze .ADOBE sa vyskytol zaciatkom Novembra tohto roku atd. Viac info tu:
https://www.bleepingcomputer.com/forums ... ansomware/
Any files that are encrypted with Dharma (CrySiS) Ransomware will have an <id>-<id with 8 random hexadecimal characters>.[<email>] followed by the .dharma, .wallet, .onion, .zzzzz, .cezar, .cesar, .arena, .cobra, .java, .write, .arrow, .bip, .combo, .cmb, .brrr, .gamma, .monro, .bkp, .btc, .bgtx, .boost, .waifu, .funny, .betta, vanss, .like, .gdb, .xxxxx, .lock, .adobe, .AUDIT, .cccmn, .tron, .back, .Bear or .fire extension appended to the end of the encrypted data filename.

You can submit (upload) samples of encrypted files, ransom notes and any contact email addresses or hyperlinks provided by the cyber-criminals to ID Ransomware (IDR) for assistance with identification and confirmation of the infection.

Only the earlier .dharma, .wallet, .onion variants of Dharma (CrySiS) are decryptable. Unfortunately, there is no known method to decrypt files encrypted by the newer variants of Dharma (CrySiS) without paying the ransom and obtaining the private RSA keys from the criminals...including the .adobe variant.
SPRAVA OD HEKERA PRE MNA:
"Hello! Please write your ID. You can find it in files names(sample: id-56GC70DO).

Your files were encrypted. We can help unlock your files but you must pay for it in Bitcoins.
The cost for decryption during next 48 hours: 1,8 BTC.
our Bitcoin wallet: 13MMfKzq4LdFidWnAL2wfhp9KgKV9Fwdsj

After payment please write to us transaction ID!

Proof that we can decrypt your files:
you can send to us 1-3 files with simple extensions(jpg,xls,doc...) and low sizes(1 mb).
Files should not have the same extensions. One extesion - one file.
We will decrypt them and send files back to you. "
Prílohy
48355733_1244722259030098_7150484102406209536_n.jpg
yoggy

Re: Virus - crypto virus?

Príspevok od používateľa yoggy »

Ked sa pozriem na penazenku, tak ludia mu tam uz poslali cez 30 btc :shock:
Meken
King
King
Používateľov profilový obrázok
Príspevky: 1943
Registrovaný: 03 jan 2007, 15:17
Bydlisko: LM

Re: Virus - crypto virus?

Príspevok od používateľa Meken »

Našiel som kúpu descrypterov ale nie na toto Adobe

//autoeditácia príspevku (14 Dec 2018, 18:42)
Je to. Adobe dharma asi. No odstrániť to šlo ľahko, ale na desifrovanie súborov som nenašiel nič
jorg22
Medium Professional
Medium Professional
Používateľov profilový obrázok
Príspevky: 1087
Registrovaný: 12 aug 2006, 20:39
Kontaktovať používateľa:

Re: Virus - crypto virus?

Príspevok od používateľa jorg22 »

Tento typ virusov sa vola ramsonvare.
Niektore ramsonvare obsahuju chybu alebo kluc na desifrovanie priamo v sebe. Ak si na nete nenasiel nic na desifrovanie tak potom to je ta druha polovica, ktoru nikdy nerozsifrujes.

Jedina moznost je zaplatit alebo sa so subormi rozluc.

yoggy: Co je na tom divne. Ramsonvare je velmi dobry biznis a nieje vobec zlozite ho naprogramovat.
Meken
King
King
Používateľov profilový obrázok
Príspevky: 1943
Registrovaný: 03 jan 2007, 15:17
Bydlisko: LM

Re: Virus - crypto virus?

Príspevok od používateľa Meken »

Ano, za cely den som sa o tom docital viac nez dost.

https://www.bleepingcomputer.com/forums ... ansomware/

Proste nie je na to "liek" .. neda sa to desifrovat bez toho aby to clovek zaplatil

napada to cez RDP...

//autoeditácia príspevku (14 Dec 2018, 22:40)
Viete mi odporucit daky dobry recovery program, kludne aj plateny. Prakticky aby vedel, ze si konkretne vyberiem subory / priecinok a vyberiem si datum pred virusom alebo pred prepisanim, ci to daky vie.

Recovery programov je vela, ale hladaju skor zmazane subory a nevsimnu si, ze dany subor je "zasifrovany a premenovany"...

Alebo mozno trepnem, daky recovery co mi obnovy zmazany bod obnovenia? kory zmazal virus?
heker
Redeemer
Redeemer
Používateľov profilový obrázok
Príspevky: 11019
Registrovaný: 30 máj 2006, 20:27

Re: Crypto virus .ADOBE Dharma ransomware

Príspevok od používateľa heker »

Skusim tak laicky. Mas melon. Melom rozkrojis na 10 casti, ktore ulozis na stol. 6 casti zjes. Ostatne 4 casti schovas do chladnicky. Dokazes tych 6 casti vratit spat a obnovit? Nedokazes. Dokazes vytiahnut z chladnicky tie odlozene 4 casti, ktore oznacuju volne miesto? Dokazes. Kedze tvoje subory boli prepisane a najskor islo o prepis na rovnakej casti disku, tak ich prakticky nie je mozne obnovit. Obnovit by ich bolo mozne, ak by po nich vzniklo volne miesto - napriklad zmazanim, formarovanim, poskodenim particie alebo file systemu.

Tych 1,8 BTC ci kolko si pisal, to je slusna palka. Podla mna sa mozes rozlucit so subormi. A mozno so subormi aj peniazmi. V lepsom pripade si odloz tej disk a dufaj, ze mozno to niekto v blizkej dobe desifruje.

Inak jednu z prvych veci co robim po instalacii a nastavovani Windowsu je, ze vypinam RDP. Ako sa ukazalo neraz, je to dobra skusenost.
fildinko
Light Professional
Light Professional
Používateľov profilový obrázok
Príspevky: 859
Registrovaný: 27 mar 2007, 18:30
Bydlisko: MT

Re: Crypto virus .ADOBE Dharma ransomware

Príspevok od používateľa fildinko »

Uff, to sa ako dokázalo takéto niečo dostať do PC ?
jorg22
Medium Professional
Medium Professional
Používateľov profilový obrázok
Príspevky: 1087
Registrovaný: 12 aug 2006, 20:39
Kontaktovať používateľa:

Re: Crypto virus .ADOBE Dharma ransomware

Príspevok od používateľa jorg22 »

To by aj mna zaujimalo. Asi stahuje vela porna :D
Meken
King
King
Používateľov profilový obrázok
Príspevky: 1943
Registrovaný: 03 jan 2007, 15:17
Bydlisko: LM

Re: Crypto virus .ADOBE Dharma ransomware

Príspevok od používateľa Meken »

hh je to firemny PC na ktorom je nainstalovana len POHODA a SQL server. Takze dostal sa tam asi cez RDP (cez vzdialenu plochu) jedneho uzivatela...
heker
Redeemer
Redeemer
Používateľov profilový obrázok
Príspevky: 11019
Registrovaný: 30 máj 2006, 20:27

Re: Crypto virus .ADOBE Dharma ransomware

Príspevok od používateľa heker »

To si potom este dobre na tom. Nemecku firmu Krauss Maffei niekedy na prelome oktobra/novembra napadli tiez cryptovirusom. Zasiahnute su vsetky pocitace na firme v Nemecku, na Slovensku a aj v Rumunsku. Cela firma stoji, zamestnanci uz viac ako mesiac nechodia do roboty. Bolo tam vykupne tusim par tisic bitcoinov za desifrovanie diskov.

Co sa cudujem, je, ze v dnesnej dobe si spravcovia siete nedavaju pozor na to, aby bol operacny system vzdy aktualizovany, aby bol na kazdom PC aktualizovany antivirus, samozrejmostou je aj firemny firewall vratane firewall kazdeho PC.
Gothar
Moderátor
Moderátor
Používateľov profilový obrázok
Príspevky: 19341
Registrovaný: 21 feb 2005, 21:19
Bydlisko: KE

Re: Crypto virus .ADOBE Dharma ransomware

Príspevok od používateľa Gothar »

A hlavne je dolezity backup, idealne offline, aby ho to tiez nezasifrovalo. Akakolvek ochrana sa da obist, ale takto aspon firma/uzivatel nepride o najdolezitejsia data. V domacich podmienkach to je lahko realizovatelne s externym diskom - raz tyzdenne nahrat nove fotky/dokumenty a odpojit od PC.
Meken
King
King
Používateľov profilový obrázok
Príspevky: 1943
Registrovaný: 03 jan 2007, 15:17
Bydlisko: LM

Re: Crypto virus .ADOBE Dharma ransomware

Príspevok od používateľa Meken »

Ked vam poviem, ze sa zalohy robia na externy disk (uctovnictvo) , ale majitel externy disk neodpojil z PC, tak ... Proste ho nenapadlo, ze vobec existuje taky virus, co by to vedel takto poskodit...
jorg22
Medium Professional
Medium Professional
Používateľov profilový obrázok
Príspevky: 1087
Registrovaný: 12 aug 2006, 20:39
Kontaktovať používateľa:

Re: Crypto virus .ADOBE Dharma ransomware

Príspevok od používateľa jorg22 »

Preto sa v lepsich firmach odkadaju disky so zalohami do sejfu.
heker
Redeemer
Redeemer
Používateľov profilový obrázok
Príspevky: 11019
Registrovaný: 30 máj 2006, 20:27

Re: Crypto virus .ADOBE Dharma ransomware

Príspevok od používateľa heker »

Alebo na vzdialeny cloud.
Meken
King
King
Používateľov profilový obrázok
Príspevky: 1943
Registrovaný: 03 jan 2007, 15:17
Bydlisko: LM

Re: Crypto virus .ADOBE Dharma ransomware

Príspevok od používateľa Meken »

hh no presne v lepsich firmach :D ... my sme mala firma, prakticky som tam ja a majitel, eshop predaj milwaukee strojov a potom mala predajna so zeleziarstvom a pozicovna, takze takato vec nas vobec nenapadla, ale prisli sme o uctovnictvo za 10 rokov... I ked mali sme SQL server predtym aj na cloude cez telekom, tak sme ich oslovili, ci dade este drzia zalohu...

//autoeditácia príspevku (18 Dec 2018, 8:23)
Tu som nasiel tuto stranku, ze vraj vedia desifrovat aj ADOBE https://fastdatarecovery.com.au/ransomw ... -recovery/
hojko
Site Admin
Site Admin
Používateľov profilový obrázok
Príspevky: 37692
Registrovaný: 24 apr 2004, 18:29
Bydlisko: Európa
Kontaktovať používateľa:

Re: Crypto virus .ADOBE Dharma ransomware

Príspevok od používateľa hojko »

To urcite. Na internete najdes XYZ nazorov, ze to nejde desifrovat bez zaplatenia. Aj tak budes hladat a tapat sa v niecom co nejde spravit. nakoniec zaplatis za to 300, 1500, 4000 dolarov a neuvidis ani data, ani peniaze.
Meken
King
King
Používateľov profilový obrázok
Príspevky: 1943
Registrovaný: 03 jan 2007, 15:17
Bydlisko: LM

Re: Crypto virus .ADOBE Dharma ransomware

Príspevok od používateľa Meken »

No keby ti v uctovnictve chybalo cez 1000 dokladov, tiez by si tapal :D (tych co nemame zaevidovane)
ob3l1x
Moderátor
Moderátor
Používateľov profilový obrázok
Príspevky: 5018
Registrovaný: 03 okt 2004, 20:31
Bydlisko: New Zeland

Re: Crypto virus .ADOBE Dharma ransomware

Príspevok od používateľa ob3l1x »

Ved im posli nejaky subor na skusku a uvidis ci sa im to podarilo desifrovat alebo tam zavolaj ...
Gothar
Moderátor
Moderátor
Používateľov profilový obrázok
Príspevky: 19341
Registrovaný: 21 feb 2005, 21:19
Bydlisko: KE

Re: Crypto virus .ADOBE Dharma ransomware

Príspevok od používateľa Gothar »

Jasne, treba skusit ak ponukaju skusku zadarmo. Hlavne tie subory zatial nemaz, mozno sa neskor objavi free decryptor.
hojko
Site Admin
Site Admin
Používateľov profilový obrázok
Príspevky: 37692
Registrovaný: 24 apr 2004, 18:29
Bydlisko: Európa
Kontaktovať používateľa:

Re: Crypto virus .ADOBE Dharma ransomware

Príspevok od používateľa hojko »

Doklady ti chybat mozu, nech ich je aj 1000 tych dokladov. Ale pocitam, ze firma je platcom DPH a teda podava vykazy DPH. A tam mas uvedene sumy, DIC spolocnosti atd..., cize si vies spatne od tych dodavatelov tieto doklady vyziadat, aby ti poslali kopie. Platby kartou vies tiez teoreticky spravit, napriklad PHM za auto, leasing tiez, odvody a mzdy taktiez.
Napísať odpoveď