Cript0l0cker virus mi zakódoval soubory v počítači

email, který přinesl virus Cript0l0cker

Stalo se to na přelomu března a dubna 2017. Měl jsem, jako každý rok docela honičku nad uzávěrkami posledních klientů a tak jsem se zcela stoprocentně nesoustředil na přílohu e-mailu, který jsem otvíral. Zvláště, když měl v době uzávěrky v obsahu zprávy text se zněním „faktura v příloze“ nebo „platební údaje přikládám“. Tento e-mail byl v českém jazyce s poměrně dobrým slovosledem a poslal mi jej známý kontakt z adresáře. Při menší koncentraci tedy naprosto nezávadná zpráva, kterou jsem automaticky otevřel jako spoustu jiných e-mailů ten den.

Poučení: otevírat pouze ověřené e-maily s kvalitním podpisem, kvalitním vysvětlujícím textem a nejlépe předem vyžádanou přílohou o které víme, co obsahuje. Pokud si nejsme jisti, e-mail raději neotvírat a nebo si u odesílatele ověřit, že je to e-mail, který opravdu odeslal. O mém infikovaném e-mailu totiž odesílatel vůbec nevěděl a byl odeslán zcela automaticky, možná ani ne z  jeho počítače. Jeho e-mailová adresa byla zkrátka zneužita.

Přejmenované soubory

Po otevření e-mailu se stalo něco, na co budu dlouho vzpomínat. Netrvalo dlouho a potřeboval jsem při své práci otevřít nějaký soubor z počítače. Dozvěděl jsem se, že tento soubor buď neexistuje, nebo nelze otevřít, neboť má nepodporovaný formát. Při důkladném prostudování obsahu disku jsem zjistil, že mé soubory jsou KOMPLETNĚ zakódovány a přejmenovány a to na formát nazevsouboru.pripona.xxxxx, kde x jsou náhodně poskládaná písmena. Zkoušel jsem soubory přejmenovat do původního stavu, ale nejenže to nepomohlo, naopak jsem tím soubor definitivně odsoudil k zániku neboť oněch pět písmen slouží jako kód pro zpětné dešifrování souboru. Bez těchto písmen není možné soubor zpětně odkódovat.

Poučení: soubory nemazat, neměnit jejich název, nemazat pět písmen za příponou. Soubory není možné otevřít, jsou zakódovány a bez speciálního dešifrovacího klíče a aplikace na dešifrování je nebudete moci použít. Virus napadá soubory s příponou .jpg, .xls, .doc, .mdb, .xml a další datové soubory. Všiml jsem si, že nebyly infikovány soubory s příponou .zip.

how to restore files

zpráva vyděrače

Další zajímavou zprávu jsem objevil za pár minut nechápavého kroucení hlavou. Byl to html dokument s názvem „HOW_TO_RESTORE_FILES.HTML“ po jehož otevření jsem ztratil veškerou naději, že se jedná jen o nějaké nedopatření nebo snad omyl mého zraku. Můj počítač byl opravdu napaden zákeřným virem s názvem Cript0l0cker virus a soubory byly úmyslně poškozeny šifrovacím kódem s cílem vydírat mne o peníze. Toto stálo v uvedeném dokumentu, včetně přílohy, kde v českém  jazyce milý hacker vzkazuje, že vyžaduje 499 USD do pěti dní. Od šestého dne je cena dvojnásobná 999 USD a po měsíci nebude možné soubory obnovit vůbec. Tady končí veškerá legrace. V první chvíli jsem docela vážně uvažoval o tom, že danou cenu zaplatím. Zloděj a vyděrač ji však vyžaduje v bitcoin měně, neboť majitel bitcoinové peněženky je velmi obtížně dohledatelný nebo zcela anonymní. Takovou peněženku nevlastním a po prostudování návodu na její založení, který je poměrně komplikovaný jsem tuto cestu zavrhl. Nehledě na to, že přeci nebudu podporovat vyděrače a dávat mu šanci na to, že jeho činnost bude úspěšná.

Poučení: tady už je každá rada drahá. Konkrétně 499 USD, později dokonce 999 USD a hromada ztraceného času. Neplaťte vyděračům. Výsledek je nejistý. Po zaplacení dešifrovací kód nedostanete nebo bude nefunkční (není ověřeno). Údajně je pravděpodobnost úspěchu při dešifrování souborů tak 50 %.

Objevil jsem také možnost zkušebního dešifrování souborů. Tuto  možnost najdete na stránce s informací ohledně platby v bitcoinech v menu nahoře. Stojí tam „dešifrovat soubor zdarma“. Tato varianta Vás má zřejmě přesvědčit o tom, že dešifrování je možné s úspěchem. Zkusil jsem dešifrovat náhodný soubor a byl jsem úspěšný.

Poučení: dobře přemýšlejte,  který soubor necháte dešifrovat. Měl by to být nejdůležitější soubor z Vašich ztracených dat od kterého nemáte zálohu  nebo jej opravdu nutně potřebujete obnovit. Nechejte si čas  na rozmyšlenou a praxe v následujících několika hodinách dobře ukáže, který soubor Vám nejvíce chybí. Dešifrovat si jej můžete kdykoliv později, ale bude to  možné jen u jediného souboru.

Na základě předchozích zjištění jsem si uvědomil, jak vážná věc se stala. Byl napaden počítač, ve kterém jsou uloženy důležité soubory, jejichž hodnota je často jen těžko vyčíslitelná a co víc, byly napadeny také data našich klientů. Přestože je možné tyto data obnovit ze zálohy (pokud nějakou máte), vždy je zde riziko, že některé informace nebudou obnoveny nebo budou obnoveny neúplné či jinak poškozené. Z uvedeného důvodu jsem se rozhodl celou věc ohlásit na policii České republiky a to hned následující den po napadení. Na policii jsem strávil půl druhé hodiny sepisováním podrobného protokolu a dozvěděl jsem se, že má policie zájem o bitovou kopii mého disku s poškozenými soubory s tím, že se speciální oddělení PČR pokusí soubory dešifrovat. Následující den se tedy dostavili příslušníci se svými disky a na několik hodin mi odstavili počítač. To mě sice nepotěšilo, na druhou stranu pod heslem „naděje umírá jako poslední“ jsem zadoufal, že by se jim třeba mohlo podařit dešifrovací klíč najít. Přál jsem to hlavně tomu, kdo moje soubory zašifroval.

Poučení: uvědomte si, že došlo k poškození Vašich dat a že se Vám bude o této události hodit důkazní materiál při řízení s úřady státní správy jako je finanční úřad, správa sociálního zabezpečení, zdravotní pojišťovny, celnice, apod. V neposlední řadě budete možná potřebovat důkazní materiál pro pojišťovnu, která by Vám mohla uhradit náklady na obnovu dat z titulu pojištění „proti blbosti“ při výkonu povolání. Nejlepším důkazem je v tomto případě opravdu zpráva policie, i když Vás to bude stát hromadu práce a zřejmě i výpadky pracovního procesu Vaší firmy.

Jakmile jsem získal zpět kontrolu nad svým počítačovým systémem a měl jsem zprávu od policie a také jistotu, že se počítač nebude dále samovolně infikovat, protože virus po dešifrování souborů sám zmizí a dále v počítači nepůsobí (potvrzeno také ze strany ESET antivirus), začal jsem s obnovou poničených dat. Mohu je rozdělit na několik skupin:
– data, která byly zašifrována
– data, která zašifrována nebyla – ať už z důvodů odlišné přípony nebo proto, že bylo dosaženo kvóty množství zakódovaných dat.

Nezašifrovaná data jsem zkopíroval do nového systému souborů na vyhrazeném disku a začal jsem s obnovou poničených dat, které jsem do této nové složky postupně obnovoval:
– účetní data jsem obnovil poměrně snadno díky pravidelným zálohám a také díky tomu, že jsou archivována ve formátu .zip, kterého se šifrování naštěstí netýkalo,
– data uložená na Dropboxu bylo možné obnovit díky přístupu k historii verzí přímo v Dropboxu,
– mnoho souborů, které jsem dlouho nepoužíval jsem našel na externích discích nebo například v odeslané poště jako přílohu e-mailů.
– a samozřejmě se najdou i soubory, které zálohovány nebyly a které bohužel nebylo zatím možné obnovit z žádné zálohy. Část z nich bude zřejmě nutné vytvořit znovu (různé výkazy nebo tabulky), u jiných zjistíte, že je vlastně vůbec nepotřebujete.

Poučení: hlavu vzhůru. Vše se dá řešit. Důležité ponaučení je, že nikdy není dost záloh. Zálohovat je třeba často a systematicky. Důležitost souborů si uvědomíte většinou až o ně přijdete. Proto důležité soubory opravdu zálohujte na několik míst a nejlépe také na externí zařízení, která nejsou připojena do sítě (např. na externí disk). Dobrá volba pro zálohování je NAS s několika zrcadlícími se disky. Takové zařízení se dá koupit již od několika tisíc korun a může Vám zachránit spoustu práce a starostí.

Komentáře
  1. Martin napsal:

    Proč to policajti v různých zemích dávno neřeší? Vždyť tam vyděrač uvádí svou bitcoin peněženku. U té se dá vysledovat, odkud tam peníze přišly a kam odešly. Takže pokud je kdy vyděrač vymění za reálné peníze, tak se dá vystopovat.

    • Admin napsal:

      Podle mnoha komentářů právě u bitcoinové peněženky majitel vysledovat nelze, resp. může být vymyšlený a neověřený. Policie u nás byla, stáhla si bitovou kopii našich disků a nyní data zkoumá a hledá viníka 🙂

  2. Vojtěch napsal:

    S příponou foto.jpg.xxxx sem měl zkušenosti v loni mužů poradit vrimal@seznam.cz

Přidat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Vaše osobní údaje budou použity pouze pro účely zpracování tohoto komentáře.

  • Příspěvky e-mailem

    Vyplňte svou adresu

  • Kategorie