Witam
Na moim przenośnym dysku znalazłem dziwne kopie plików.
Do nazwy tych plików na końcu przed rozszerzeniem dodane jest „_1”, plik z tak zmienioną nazwą ma taką samą wielkość co plik orginalny ale jest nieczytelny coś jakby był zaszyfrowany.
Przykładowa nazwa pliku orginalnego
„Tony Buzan - Pamięć na zawołanie.zip”
plik nieczytelny „Tony Buzan - Pamięć na zawołanie_1.zip”
Windows defender nic nie wykrywa.
Pokaż jak wygląda ten plik w środku. Otwórz go za pomocą np. HxD. Wystarczy podgląd z samego początku pliku bo kontener ZIPa jest bardzo charakterystyczny - jeśli nie ma wyraźnego nagłówka gdzie zaczyna się od PK (504Bh), a potem tablicy z nazwami plików to znaczy że nie jest to *.zip. Jeśli od samego początku masz „sieczkę”, czyli brak wyraźnie regularnych struktur, nierzadko z zerami, to znaczy że plik jest najprawdopodobniej zaszyfrowany.
Po samym opisie, brzmi jak ransomeware. 
Wielkie dzięki za pomoc.
Mam jeszcze takie pytanie, czy istnieje możliwość rozniesienia się dziadostwa przez zaszyfrowany w ten sposób plik?
Poniżej podgląd pliku
Zaszyfrowane prawdopodobnie symetrycznym kluczem XOR przez ransomware.
Spróbuj zidentyfikować tutaj jaki to ransom poprzez przesłanie zaszyfrowanego pliku/-ów:
https://id-ransomware.malwarehunterteam.com/
Przez zaszyfrowany plik tego nie rozniesiesz, ale poprzez plik binarny np. *.exe lub skrypt / dokument MS Office ze złośliwym macro tak.
Wiele odmian ransomware potrafi samo się rozsiać po sieci lokalnej na podatnych, niezaktualizowanych urządzeniach. Na pewno nie podłączał bym żadnego dysku/pendrive gdzie masz ważne dane aktualnie do tego komputera.
Zaszyfrowany.
To teraz czeka Cię zabawa w detektywa jak zostałeś zarażony (gdzie i/lub z czego, i czy w ogóle ty czy tylko na innym komputerze, gdzie podpiąłeś np. „pendraka”, który został objęty „kuratelą” ;)).
Przez sam zaszyfrowany plik nie, ale tak jak @Domker napisał plus jeszcze inne scenariusze np. plik wykonywalny wywoływany przez AUTORUN.INF (oba z atrybutem systemowy, aby były niewidoczne na domyślnych ustawieniach Explorera); albo „faktura.pdf.exe” z ikoną Acrobat Reader-a lub Edge’a aby nietechniczny użytkownik myślał że to *.pdf (a technicznego też można w balona zrobić operując znakami odwracającymi kierunek pisowni jak będzie nieuważny) ponieważ domyślnie rozszerzenia są ukrywane „dla znanych typów plików” i prawie nikt tego nie włącza. Scenariuszy jest multum. Więc jeśli w między czasie podłączyłeś ten pendrive do innego komputera z Windows (Linux, macOS, Android etc. są odporne na wymienione przeze mnie wektory ataku) to załóż że i one zostały zainfekowane, i to samo ze wszystkimi nośnikami podłączonymi do niego.
Przykłady narzędzi (ale żeby użyć któregoś to musisz najpierw wiedzieć co zaszyfrowało twoje dane):
F-Secure czy Kaspersky też jakieś mają. Nie chciało mi się szukać.
Ten temat został automatycznie zamknięty 90 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.
