To uczucie gdy siadasz przed komputerem i czujesz, że coś jest nie tak. Kilka nowych ikon na pulpicie, ale jakieś takie podejrzane, z bardzo dziwnymi nazwami i nieznanym rozszerzeniem (np. Hx6Oh8617uRvkbUflGDCcQY.blt). O! Jest jeszcze jedna ikona „How to restore files.hta”. Czyli o tym jak kolejna firma padła ofiarą ransomware.
Prowadzenie jakiejkolwiek działalności wiąże się nieustannie z podejmowaniem decyzji. Niektóre sprawy można odłożyć na później, inne nie. Jedną z rzeczy niecierpiących zwłoki jest zadbanie o bezpieczeństwo danych (program antywirusowy, backup etc.).
Zacznijmy od początku.
Dostajemy zgłoszenie od pewnej firmy (która zgodziła się na opisanie przypadku) o tym, że nie działa kilka aplikacji, oraz nie można odczytać danych zapisanych na dysku. „Możliwe, że nie ma zainstalowanej przeglądarki”. Podnosimy rękawicę, jedziemy na miejsce, tam okazuje się że firma padła ofiarą ransomware. Większość plików została zaszyfrowana, nie da się ich odczytać.
Rozpoznanie.
Wszystko wskazywało na to, że rozszerzenie *.blt pochodzi od wirusa o nazwie GLOBE. Twórca udostępnia program odszyfrowujący za 1 BTC czyli ~2900PLN przy czym ostrzega, by nie używać programu antywirusowego, ponieważ to i tak nic nie da, nie deszyfrować na własną rękę ponieważ może to skutkować całkowitą utratą plików.
Deszyfracja.
[tm_warning]Przed przystąpieniem do jakichkolwiek działań należy wykonać pełną kopie bezpieczeństwa![/tm_warning]
Na szczęście istnieje deszyfrator. Zaleźliśmy go na stronie: https://decrypter.emsisoft.com/download/globe2 aby odszyfrować pliki należy – jak na poniższej instrukcji – złapać i przeciągnąć na ikonę programu TEN SAM PLIK ale jeden zaszyfrowany a drugi w oryginalnej wersji (nie zaszyfrowany).
Teraz rozpoczęło się szukanie klucza deszyfrującego. W zależności od mocy obliczeniowej komputera, może to chwilę zająć.
i po jakieś chwili powinniśmy otrzymać klucz deszyfrujący:
Teraz wystarczy nacisnąć OK i na następnym ekranie będziemy mogli wybrać foldery, w których chcemy aby zostały odszyfrowane pliki.
Na potrzeby tego wpisu przygotowałem folder z zaszyfrowanym plikiem, ale równie dobrze można wybrać całą partycję, wtedy zostanie odszyfrowane wszystko.
Rzut oka czy faktycznie dane zostały odszyfrowane i są czytelne…
Trzeba przyznać, że poszło całkiem gładko. Dane są czytelne, można więc pobyć się zaszyfrowanych kopii.
Zabezpieczanie komputera.
To już temat na osobny wpis…