Wirus "CTB-LOCKER"

[jachu876]

Witam. Przez nieuwagę otworzyłem plik z wiadomości email. Gdy wyskoczył mi komunikat na pulpicie, sprawdziłem na forum co to jest. Trochę się załamałem, że odkodowanie plików jest awykonalne No cóż, mówi się trudno. Teraz proszę o pomoc, żeby to "dziadostwo" zniszczyć. Załączam obowiązkowe logi.

gmer.txt

FRST.txt

Addition.txt

Shortcut.txt

[spawciu]

Tak z ciekawości zapytam: co to za wiadomość, w jakim formacie przyszła, od kogo, jaki tytuł, czy wystarczyło jedno kliknięcie załącznika czy tez samo otwarcie listu? Pewnie wiele osób zastanawia się jak unikać takich wpadek i precyzyjna informacja jak @ wyglądał ustrzeże może niejedną osobę przed otwarciem takiej poczty. Pozdrawiam.

[jachu876]

Jestem na siebie wściekły! Zanim otworzyłem tego maila, pomyślałem że pewnie to jakiś wirus heh Ale głupia ciekawość wzięła górę, no i mam za swoje Co do wiadomości. Nie pamiętam tytułu wiadomości, ale była napisana w j. angielskim. Nazwa maila z zagranicznym imieniem i nazwiskiem. Też nie pamiętam, ale kojarze imię (chyba Elizabeth) W treści napisane było jedno zdanie, że autor wiadomości kogoś szuka czy coś potrzebuje (też nie pamiętam, bo nie przywiązywałem do tego uwagi) No i załącznik. Plik o małej pojemności (albo jako zdjęcie, albo jako dokument). Otworzyłem to i nic. Wiadomość zaraz skasowałem i ok. A po ok. 5 minutach zaczął się koszmar Czyli czarny ekran i komunikat na środku. Reszty pisać już nie muszę, bo spokojnie znajdziecie w necie wszystko na temat tego okropnego wirusa. Na moim przykładzie apeluje do wszystkich. Niech rozsądek bierzę górę a nie ciekawość bo podejrzane maile mogą przysporzyć naprawdę wiele kłopotów

[jachu876]

Otrzymałem kolejnego podejrzanego maila. Nie otworzę go tym razem Jednak pozwolę sobie Wam napisać dane na temat tej wiadomości.

 

Nadawca: Sindy Arnoux (whump@ste-dso.com)

Tytuł: Midlands UK

Treść wiadomości:
Afternoon,

------
Sindy Arnoux
+44 2476 08 02 97

 

Załącznik: gme_springs_ltd.zip (26,31 kB)

 

Tak to wygląda. Po otworzeniu maila nic się nie dzieje. Natomiast po otworzeniu załącznika może być różnie, dlatego nie będę otwierać. A jeżeli chcecie sprawdzić mogę przekazać odważnym na pocztę

[gajowy]

Nazwy nadawcy są zmienne, podobnie jak adresy e-mail. Treść wiadomości najczęściej zawiera adres, nr telefonu, czasem nazwę firmy. Wszystko to, aby wzbudzić zaufanie odbiorcy. Załącznikami są pliki zip lub cab.

[Zappa]

Odinstaluj z panelu programów ten śmieć, potem zrób nowy skan FRST i wstaw logi.

 

YAC(Yet Another Cleaner!) 

[jachu876]

Tego śmiecia już nie mam, skasowałem wcześniej.

Oprócz tych logów zrobiłem skany programami:

combofix

mbam

adwcleaner

Nie wiem czy wirus już całkowicie jest skasowany czy nie, ale nic podejrzanego nie zauważyłem.

Addition.txt

FRST.txt

Shortcut.txt

[Zappa]

Otwórz notatnik i wklej

 

CloseProcesses:
KLM-x32\...\Run: [] => C:\Users\Tomek\AppData\Local\Temp\wnqieun.exe <===== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1910233873-1700316264-2321489004-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-1910233873-1700316264-2321489004-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM-x32\...\Run: [] => C:\Users\Tomek\AppData\Local\Temp\wnqieun.exe <===== ATTENTION
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
U4 Avgfwfd; system32\DRIVERS\avgfwd6a.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X]
Task: {9C7A1883-C45A-4EFC-8AEC-F40607297F31} - System32\Tasks\bmicpen => C:\Users\Tomek\AppData\Local\Temp\wnqieun.exe <==== ATTENTION
Task: {C777653B-1170-4A35-B3F3-59049B783B5D} - System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask => Sc.exe start osppsvc
EmptyTemp:

 

plik zapisz jako fixlist.txt i umieść w C:\Users\Tomek\Downloads. Uruchom FRST i kliknij w Fix.  Po usuwaniu powstanie raport fixlog.txt - przedstaw go.

 

2. Zrób nowy skan FRST.

[jachu876]

Robota wykonana.

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[jachu876]

Czy mój komputer jest już bezpieczny? Czy mam jeszcze wykonać jakieś polecenia? Pozdrawiam

[picasso]

Zappa

 

Literówka w drugiej linii oraz został usunięty poprawny wpis:

 

Task: {C777653B-1170-4A35-B3F3-59049B783B5D} - System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask => Sc.exe start osppsvc

 

To część systemu licencjonowania pakietu Office - zadanie ma na celu restart usługi licencyjnej w predefiniowanytm czasie. Jeśli usługa nie działa, mogą się pojawić problemy typu "klucz niepoprawny" etc.

 

 

 

jachu876

 

Wymagane kolejne poprawki. Po pierwsze: nadal komponenty adware w raporcie widoczne ("FIFA 14 Ultimate Edition Key Generator" w Autostarcie, szczątki przekonwertowanego przez adware Google Chrome, foldery adware na dysku). Po drugie: usunięcie szczątków po szyfratorze oraz zaszyfrowanych plików z wszystkich katalogów.

 

1. Te ważne zaszyfrowane pliki gdzieś skopiuj na zewnętrzny nośnik. Akcja tylko na wszelki wypadek, bo żadnych widoków na deszyfrację.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FIFA 14 Ultimate Edition Key Generator.lnk [2015-04-10]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
Task: {201CF5A9-209E-4AD5-8FC0-EB0F6D3FCADB} - System32\Tasks\{F5541B6B-5842-4A8C-B2F7-24912C72A43F} => pcalua.exe -a "J:\Program Files\FIFA 14\__Installer\vc\vc2010sp1\redist\vcredist_x86.exe" -d "J:\Program Files\FIFA 14\__Installer\vc\vc2010sp1\redist"
Task: {34C85192-9A1D-4E75-BA30-870E1818A350} - System32\Tasks\{5F7730DA-A7F3-4F08-B95D-ECF817C58644} => pcalua.exe -a "J:\Program Files\FIFA 14\__Installer\dotnet\dotnet35sp1\redist\dotnetfx35.exe" -d "J:\Program Files\FIFA 14\__Installer\dotnet\dotnet35sp1\redist"
Task: {367068CF-787A-4AFE-9269-62CC93FB2179} - System32\Tasks\{F7A8569C-2EC7-4B6F-BAEB-4F4ABF9FF8C6} => pcalua.exe -a "C:\Program Files (x86)\SalePlus\0c9QbvsY7GF31y.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" ""
Task: {D38044B5-53BA-408A-9371-D0D73C490DB4} - System32\Tasks\{C57F00E5-E9C7-4388-B6C1-203692462626} => pcalua.exe -a "C:\Program Files (x86)\Bookolio\Bookolio.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" ""
C:\Program Files (x86)\Bookolio
C:\Program Files (x86)\appfast
C:\ProgramData\kwhempk.html
C:\ProgramData\{5967b0a1-0bde-d483-5967-7b0a10bdc284}
C:\ProgramData\{10a91f5a-b65e-8b69-10a9-91f5ab657d6a}
C:\Users\Tomek\AppData\Local\Temp-log.txt
Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: attrib -r -h -s C:\*aoayoqa* /s
CMD: del /q /s C:\*aoayoqa*
CMD: type C:\ComboFix.txt
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[jachu876]

Dopiero dzisiaj zalogowałem się i odczytałem post.

 

Robota wykonana.

Załączam logi.

FRST.txt

Fixlog.txt

[jachu876]

Dzisiaj rano włączam komputer i pojawiło się kolejne paskudztwo ;/

Odpaliłem combofixa. Załączam screeny i log.

DECRYPT_INSTRUCTIONS.txt

ComboFix.txt

FRST.txt

[Rucek]

Co do używania Combofixa to tutaj masz info, dlaczego lepiej nie używać: https://www.fixitpc.pl/topic/7-dezynfekcja-narz%C4%99dzie-combofix/?p=34

[jachu876]

Wiem Rucek. Źle postąpiłem

[jachu876]

Zrobiłem format partycji systemowej

[picasso]

Na zakończenie powiem, że to nowe "paskudztwo" to były dwa różne typy:

 

1. Kolejna infekcja szyfrująca "Crypt0L0cker", czyli mimo nazwy całkiem co innego, tzn. nowa wersja TorrentLocker: KLIK. Odszyfrowanie plików również awykonalne.

 

2. Adware nabyte poprzez próby poszukiwania dekoderów. Uruchomiłeś szkodnika, który był downloaderem ze śmieciami:

 

2015-05-13 07:22 - 2015-05-13 07:22 - 01525776 _____ (Dummy, Ltd.) C:\Users\Tomek\Downloads\Download decryptolocker exe_10924_i7728904_il345.exe

 

 

Zrobiłeś format. Temat zamykam.