Thaiadmin

ท่านใดเคยโดน Ransomware ชื่อ WHAT IS SQ_ ผมโดนมันเข้ารหัสไฟล์ไว้หมดเลยครับ

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

ช่วยแนะนำหน่อยครับ ยังหาวิธีแก้ไม่ได้เลยครับ
Ransomware สร้างปัญหาทำให้ไม่สามารถเปิดไฟล์ได้ทุกชนิดเลยครับ

รูป


(จะเห็นว่า Ransomware มันแก้ชื่อไฟล์ให้ขึ้นต้นด้วย sq_ และสร้าง text ไฟล์ชื่อ "WHAT IS SQ_.txt" ไว้ครับ)

ข้อความขู่เอาเงินใน "WHAT IS SQ_.txt"

----------------------------------------------------------------------------------------------------
Hi.

Your files have been crypted by 2 algoritms - AES and RSA. Only we have private RSA key

All encrypted files now starting with sq_





You can buy our decryptor that will recover all your files. You need:

1) Send us 3 bitcoins on our bitcoin address 1EWWZb486HriwWfLWKs7wsnvPsx6ZDsC5t (Now 1 bitcoin approximately = 260 $)

Only we and you know about this address, so we will understand that its your payment.

You can check the balance of this address here https://blockchain.info/address/1EWWZb486HriwWfLWKs7wsnvPsx6ZDsC5t

2) Send us your unique identificator on our mail ke17@ruggedinbox.com and write us that you have been paid.

   You dont need send us any confirmation of your payment (we have installed bitcoin software and we will check your payment with this software)

3) Wait 1 or 2 or... 24 hours and we will send you decryptor (it is very easy to use it - you

need only run decryptor executable file and wait 1-10 hours and all files will be decrypted)



If we dont anwser on your letter more than 1 day then make your own mail account on www.ruggedinbox.com

(This action is very simple and takes 1-2 minutes) and send us your letter again

(some mail servers (for example hotmail.com and outlook.com) blocking letters to www.ruggedinbox.com)

   

Your unique identificator: 331-638-442

   

You can use one of those sites to change your money to bitcoins:



https://coins.co.th/en

https://bitcoin.co.th/merchants/

https://localbitcoins.com/country/th

www.howtobuybitcoins.info/th.html

www.goldux.com

www.kraken.com

www.bitquick.co





You dont need install any bitcoin software - you need only find bitcoin exchange service (also you can try find it here for your country http://www.google.com)



Additional information: before payment you can send us one small file (not bigger than 300 kilobytes).

and we will decrypt it before payment (also you need send us your unique identificator).

   

After that, we think that it will be evident that we have the program that can decrypt your files.



We dont want to destroy your files! We only need some money!
----------------------------------------------------------------------------------------------------

ออฟไลน์ joyhitech

  • *
  • 195
  • 1
    • สอนเทรดforex online
โดน  ไวรัส CTB-LOCKER 2.0-3.0 /CryptoLocker เข้ารหัสไว้หรือเปล่าครับ
ถ้าโดนจริง แล้วนำไฟล์Backupกลับมาไม่ได้  
ควักกระเป๋า จ่ายให้เขาไปครับ  16,000บาท  จ่ายเป็นเงินBitcoinนะครับ   เห็นคนจ่ายมา2-3คนแล้วครับ  ได้คืนจริง   มันคือโจรเรียกค่าไถ่ดีๆนี่เอง
มีเทพITหลายๆคน พยายามกู้แล้ว  ไมได้ครับ   เข้ารหัสไว้แน่นหนาจริงๆ   แถมแต่ละคนที่โดน เข้ารหัสไว้ต่างกันอีก

ออฟไลน์ joyhitech

  • *
  • 195
  • 1
    • สอนเทรดforex online
ลองอ่านด้านล่างนี้เพิ่มเติม
ผมจำไม่ได้ว่าเก็บมาจากกระทู้ไหน เว็บไหนแล้ว   มีประโยชน์จึงCopyเก็บไว้  ขออนุญาตเจ้าของบทความด้วยนะครับ


อ้างถึง
อ้างถึง
ผมจะบอกว่า เมื่อวันที่ 21 เวลา 05.11PM ที่ บ.ลูกค้า ผมก็โดน คัรบ เห็นน้องบอกว่า อยู่ดีดี มันก็ โผล่มา เล่นเครียดกันเฉพาะคนที่ดูแลระบบ และเจ้าของ บ. เลยทีเดียว :wanwan031:

ผมก็เลยเครียดทั้งคืนเลย เพราะ ข้อมูล Database ข้อมูลทางบัญชี ระเบียนลูกหนี้ ข้อมูลทางบัญชี ปี55 - 58 มูลค่าหลายล้านบาทโดน .encrypted เรียบ
คืนนั้นผมก็เลยไปหาข้อมูล ตอนแรก มันบอกว่า มันเป็น Ransomware  Cryptolocker เข้ารหัส RSA-2048 ผมละเครียดเลย เพราะว่า ใช้ BTC อยู่ รู้เรืองนี้ดี ว่ามันแกะไม่ได้  :wanwan004:

http://pantip.com/topic/33085141 ....> อันนี้ เป็นข้อมูลที่ เอาไว้อ้างอิง อ่านแล้ว จิตตกดี .... ตอกย้ำว่า แก้ไม่ได้  :wanwan009:

... แต่ก็หาไปเรื่อย จนเจอว่าที่เครื่องลูกค้าติดมันไม่ใช่  Cryptolocker แต่เป็น torrentlocker ซึ่งมันเป็น fake CryptoLocker
http://www.bleepingcomputer.com/virus-removal/torrentlocker-cryptolocker-ransomware-information ... ที่ผมหาเจอ ว่ามันไม่ใช่ Cryptolocker  :wanwan010:

เค้าบอกว่า มันใช้การเข้ารหัส แบบ AES แต่ก็ยังหาวีธีเข้ารหัส แก้ไม่ได้ เพราะมีการพัฒนาตลอดเวลา

มันติดแบบ เครื่อข่าย Mapdrive ด้วย ลูกค้าผมโดนไป 7 เครือง เครืองบัญชี 3 เครืองผู้ดูแลระบบ 2 เครื่อง Server 1 เครื่อง ต้นตอ อีก 1 ที่ยังหาสาเหตุจริงๆ ที่โดนไม่ได้ ไล่ History ทุกอย่าง เข้าเว็บตามที่น้องมันเข้าก็ หาสาเหตุไม่ได้  :wanwan010:

แต่ผมก็พอหาตัวแก้ Decrypt มาได้...http://[url=http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-ed-and-decrypter-has-been-made/]http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-ed-and-decrypter-has-been-made/]http://[url]http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-ed-and-decrypter-has-been-made/]http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-ed-and-decrypter-has-been-made/]http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-ed-and-decrypter-has-been-made/]http://[url]http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-ed-and-decrypter-has-been-made/[/url] :wanwan002: แต่มันก็กู้ ได้ แค่ Database MDB เท่านั้น แถมต้องมีไฟล์ เดียวกัน ที่เหมือนกัน ก่อนที่ โดน encrypt เอามาไว้ เปรียบเทียบ มาทำการ Decrypt อีก ....  :wanwan044:

สรุป ไฟล์อื่นๆ ตัว Decrypt มัน Decrypt ได้ แต่เปิดไม่ได้ ไม่มีประโยชน์  ลองหันไป พึ่ง Kaspersky Lab http://www.kaspersky.com/internet-security-center/threats/torrentlocker-malware โหลด  RannohDecryptor มาใช้ ไม่เห็นจะใช้ได้
ผมเลยโหลดทุกตัว ที่มันเกี่ยวกับ Ransomware  ที่ http://support.kaspersky.com/viruses/utility เพราะมีไฟล์ให้ลอง หลายแบบ ก็ไม่ได้   :wanwan009:

สรุป... วันรุ่งขึ้น ผมโชคดี เพราะ ระบบที่ ทางบ. ผมวางไว้ Database หลัก มันมี time Backup ไว้ และ มีการ decrypt Database ได้บางส่วน ในตอนกลางคืน ทำให้ บ.ลูกค้าผม ดำเนินการต่อได้ ในวันรุ่งขึ้น ... แต่ ข้อมูล Exel ถูก .encrypted หมด ซึ่งมีค่ามาก ..  :wanwan031: 0o

เจ้าของ ซึ่งเป็นเพื่อนผม บอกว่า ยอม ... ช่างมัน แต่ผม เจ็บใจ ... เพราะ 15 ปี ที่อยู่ตรงนี้ ทำงาน IT ไม่เคยเจอ เหมือนโดนหยาม มาก... แถมไม่รู้ว่าจ่ายแล้ว จะ Decrypt ได้จริงหรือ เปล่า หรือ โดนหลอก อีก แต่ต้องเสี่ยง เพราะ ถ้ารอเวลา มัน จะเสียไม่ คุ้ม กับ ที่แลกกับเวลาหาตัวแก้

สรุปผมเป็นคนดำเนินการ จ่ายเป็น BTC ซึ่งมัน จ่ายจริง มัน สูงกว่า 11,900 บาทมาก เพราะเราต้อง ซื้อจาก ตัวแทนที่เค้ารับแลกเปลี่ยนในไทย ผมเลือกที่นี่ https://bitcoin.co.th/ เพราะคิดว่า น่าจะไม่โดนโกง และ แถมตัวเว็บมันแจ้งบอกมาด้วย ว่า ให้แลก BTC ที่นี่ ...  :wanwan001:

ตอน 5 โมง ทางผมจ่ายครบตามที่กำหนด ก็ เลยได้ ตัว Decrypt มา ผมเลยโหลดมาเก็บหลายรอบเลย พอเอามา Decrypt เครื่องที่มีปัญหาเครืองแรก ปรากฎว่าได้ แต่ไม่หมด เพราะ มันไม่ Decrypt ผ่าน lan ด้วย .... เลยเอาไป Decrypt ที่ Server และเปิดเครืองที่มีปัญหาทั้งหมด ปรากฏว่า ได้ทั้งหมด ใช้เวลา แค่ 4 - 5 นาที เท่านั้น ไฟล์ ที่โดน 10000 กว่าไฟล์ ทั้ง 7 เครือง ได้กลับมาหมด

สรุปว่า ตอนมัน encrypt มันใช้เวลา เท่านี้ เหมือนกัน ... น่ากลัวชิบ....

สรุป เลยครับ จ่ายๆ ไปเถอะ คัรบ ถ้า ข้อมูลท่านมี ค่า แต่ ถ้า มันยอมได้ ไม่มีค่ามาก ค่อยๆ หา ตัวแก้ไป เรื่อยๆ ผมว่า น่าจะได้

ส่วนการแก้ปัญหา ผมว่า Backup ข้อมูลไว้ บ้าง ที่ สำคัญๆ หลาย ที่ อะไรที่ ไม่ค่อยใช้ เอามาเก็บ External บ้าง เพื่อป้องกันควาทมเสียหาย ทำ Authen จำกัดการเข้า ถึงไฟล์ เพรา เหตุที่เกิด,ุกค้าผม แชร์ มั่วกันไปหมด ผลมันเลยเกิดแถมมันคิดผ่าน Map drive ด้วย ไปกันใหญ่

รุปที่เป็นอนุศรณ์ ครับ

ใครอยากได้ ตัว decrypt ไปลอง Mail มาหาผม แล้วกันนะครับ แล้วผม จะส่งไปให้ นะคัรบ เพระา มันเป็นของ บ. ลูกค้าผม ผมจะข้อส่งไป ให้เทส นะครับ ลองหาๆๆ เอา ครับ ติดต่อเจ้าของเว็บ หรือ admin ก็ได้ครับ ถ้าหาเมลผมไม่เจอ นะ... เดีี่ยวผม ส่งไปให้ เทส ...  

แต่ไม่รับประกันว่าจะแก้ได้ เพราะ มันพัฒนาไปเรื่อยๆๆๆ ครับ  

ขอบคุณที่มาฟังผมบ่นนะ คัรบ :wanwan014: :wanwan010:

วันนี้มีคนโทรศัพท์มาขอ File จากผมไป decrypt ข้อมูลที่ติด

สรุป decrypt ไม่ผ่านนะครับ  :'(
เค้า เมลแจ้งผลมาแล้ว เสียหายหนักกว่าผมอีก เคสนี้ หลาย 10 ล้าน  ผมแนะนำว่า ถ้ามันสำคัญ ลองจ่ายดู ครับ แต่ควรไปคุยกับเจ้าของที่ต้องออกเงินก่อนนะครับ เผื่อเบิกไม่ได้

ไม่ต้องติดต่อมาขอไฟล์ไปเทสแล้วนะครับ สรุปผมว่า มันเข้ารหัสไม่เหมือนกันครับ น่าจะเครืองใครเครืองมัน ทำใจกันไปครับ
เออผมไม่ค่อยเข้ามาไทยเสียวนี้เท่าใหร่นะครับ ถ้าผมไม่เจอปัญหา ปกติอ่านอย่างเดียว
แค้นนนนนนนน   แค้นนนนนนนน

ลองอ่านด้านล่างนี้เพิ่มเติม
ผมจำไม่ได้ว่าเก็บมาจากกระทู้ไหน เว็บไหนแล้ว   มีประโยชน์จึงCopyเก็บไว้  ขออนุญาตเจ้าของบทความด้วยนะครับ


วันนี้มีคนโทรศัพท์มาขอ File จากผมไป decrypt ข้อมูลที่ติด

สรุป decrypt ไม่ผ่านนะครับ  :'(
เค้า เมลแจ้งผลมาแล้ว เสียหายหนักกว่าผมอีก เคสนี้ หลาย 10 ล้าน  ผมแนะนำว่า ถ้ามันสำคัญ ลองจ่ายดู ครับ แต่ควรไปคุยกับเจ้าของที่ต้องออกเงินก่อนนะครับ เผื่อเบิกไม่ได้

ไม่ต้องติดต่อมาขอไฟล์ไปเทสแล้วนะครับ สรุปผมว่า มันเข้ารหัสไม่เหมือนกันครับ น่าจะเครืองใครเครืองมัน ทำใจกันไปครับ
เออผมไม่ค่อยเข้ามาไทยเสียวนี้เท่าใหร่นะครับ ถ้าผมไม่เจอปัญหา ปกติอ่านอย่างเดียว
แค้นนนนนนนน   แค้นนนนนนนน



คุณ joyhitech
ผม PM ไปให้นะครับ