Iako sam sa računalima i av-softverom kao i održavanjem više od 20 godina na "Ti", a komp mi je osnovni alat za posao, izgleda da opreza nikad nije dovoljno. Možda bi trebao biti malo i paranoičan ubuduće.
Prije par dana skinem sa neta par fajlova. Jedan kratki video, manual za novi mob i uglavnom ono što svi radimo na netu. Imam nekoliko sofvera koji paze na sve što se skida, skeniraju, upozore...I tako, jučer me pita žena: "...gdje su one fotke iz dvije-i-trinajste?" Kliknem na podatkovni hard pa na folder sa fotkama i videom i u tražilicu ukucam godinu. Fino mi izbaci popis, otvorim folder sa tim fotkama a unutra...ima fotki ali ih u stvari nema. Klik na fotku, neće. Pa onda "open with", neće. Pa promijeni ekstenziju, neće. I onda mi sine!! Pa fotke bi mi trebale biti jpg, png, tiff, psd...!! I onda - panika! Brzinski nasumični pregled po folderima i skoro sam dobio infarkt. Sve je zaključano! Osim fotki, ista stvar je i sa video fajlovima, sa mjuzom, nekim softverima...
U svakom folderu u kojemu su "zaključani" fajlovi, postoji txt fajl u kojemu je uputa kako i gdje platiti otključavanje. E kad me nije herc strefio!! A baš radi moguće havarije nikada ne držim bitne stvari na sistemskom hardu nego na fizički drugom, i pazim da su unutra samo slike, video, dokumenti i programi za reinstalaciju sa serijskim brojevima.
Dakle, txt fajl je "WGKDA-DECRYPT.txt" i u njemu piše: "
---= GANDCRAB V5.1 =---
***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .WGKDA
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------
| 0. Download Tor browser - https://www.torproject.org/
| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/121a065aa4de6328
| 4. Follow the instructions on this page
----------------------------------------------------------------------------------------
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
---BEGIN GANDCRAB KEY---
lAQAAN6mlaUmfaZEmlxIYCYfxftIfgvd7/9d7AoEcxPtdga0... (itd. itd...)
---END GANDCRAB KEY---
---BEGIN PC DATA---
7ftDEgLb/ZS0lcmZbHM61KPJ4wOTD7cK2A6MbtAgbXYAWLQC95+cYAdxKWDx9M/JPZC3AvSVpuCmRVvIb3Q4Qz+.... (itd. itd...)
---END PC DATA---
Naravno da nisam niti pomislio platiti. I onda je uslijedila bjesomučna potraga za mogućim rješenjem, od sinoć od 21h do jutarnjih sati :/
Isprobao sam par metoda, cmd, restore point, malwarebytes, spyware hunter, safe mode cmd..i, nula bodova! Žena na rubu plača a ja samo sa jednom željom: "evo izbrišite mi sve sa kompa u zamjenu za pola sata na samo sa hakerom!!" I već vidim scenarij kako mu zavezanog za stolac čupam nokte, vadim oko, polako guram užarenu šipku 10-ku u koljeno, gasim ćikove na vratu...Onda se sjetim da ne pušim, pa ta zadnja opcija otpada :)
E da, na kraju, već odustajem i pogledavam desno prema ladici gdje mi je windows cd. U stvari, pomirio sam se da je sve uzalud i da mi je ostalo nezaključanih samo 100tinjak fotki od prije par dana ali me kopka i to da ipak možda, možda, možda...Prije samog gašenja kompa još jednom kliknem i potražim savjet i naiđem na BitDefender besplatni alat za otključavanje fajlova koji su zaključani sa Grand Crabom, od verzije 1, 4, 5, pa do verzije 5.1.
Ajd, skinem ja to tek toliko da si umirim savjet da sam probao sve prije formatiranja, pročitam par redaka uputa kako-zašto i pokrenem program. Odredim za početak jedan folder sa 50ak fotki, da vidim da li program uopće radi. Za minutu, program stane i, velika zelena kvaćica uz koju piše da je gotovo al ubuduće da si radim backup jer možda ne bude svaki puta uspješno otključavanje.
Otvorim ja taj folder sa otključanim fotkama a tamo - helouuu! Sve fotke otključane! Sve je opet tamo kako je i bilo, plus zaključani fajlovi. Znači, radi! Super! Oduševljenje! Pokrenem ponovo program i odaberem opciju "full scan". Program odradi, otključa i to je to!!!
Ako budete trebali otključavanje, prvo i bezuvjetno je da dubinski skenirate hardove sa nekim boljim av alatom da bi se ransomware uklonio sa kompa. Ja sam to napravio sa Malwarebytes. Sam Bit Defender Decryption alat ne pronalazi ransomware i služi isključivo za otključavanje fajlova! Pazite da vam av softver ne pobriše wgkda teksualne fajlove, a par tih fajlova prije skeniranja i dekriptiranja skopirajte i spremite recimo, online. Ne brišite prije otključavanja fajl WGKDA-DECRYPT.txt jer je bez njega otključavanje nemoguće!!! U njemu su "ključevi" za dekriptiranje, tako da...
Skinite program GandCrab Ransomware decryption tool i sa te lokacije ga pokrenite (BDGandCrabDecryptTool.exe). Ja sam taj *.exe skopirao na desktop i pokušao pokrenuti, pa nije radio. Meni je radilo pokretanje samo sa lokacije gdje je izvorno skinut. Iako na Bit Defenderovoj stranici nema na popisu "moje" ektenzije "wgkda", iz priloženoga vidite da je odradio posao. Program ne otključava fajlove veće od 4GB ali sve ostalo je otključano!! Fotke, dokumenti i fajlovi su na broju, žena sretna, haker na životu (dok ga netko ne dohvati)
Nakon skeniranja i otključavanja, vaš log fajl, odnosno popis svih otključanih fajlova nalazi se na jednom od hardova, kod mene je na D:\temp\BDRansomDecryptor\BDRansomDecryptor
Rezultat otključavanja u mojem slučaju, iz *.log fajla je: Total decrypted files: [102886]
Ukoliko želite ponovo skenirati ili pokušati otključati nešto što nije uspjelo u prvom pokušaju, napravite kopiju log fajla da vam novi log fajl ne prepiše rezultate prvog skeniranja.
Nakon svega, sa win explorerom potražite sve fajlove sa ekstenzijom koju ste imali na fajlovima, odaberete sve i ctrl+del za brisanje.
Nadam se da sam nekome skratito muke i paniku