Witam,
tak jak w temacie Panowie i Panie mam niemały problem z wirusem, który 24.10.2015 zainfekował mój komputer. Jak zapewne każdemu ze zwracających się o pomoc do Państwa bardzo zależy mi na odzyskaniu danych, chiałbym jednak zaznaczyć, że na takowym odzyskaniu może zależeć mi kapkę bardziej od innych gdyż na początku grudnia będę bronił zacięcie swojej pracy dyplomowej (reżyseria dźwięku), stąd NIEODZOWNIE potrzebuję PCeta w takim wydaniu jakim prezentował się on przed infekcją Tytułem niepotrzebnego wstępu to tyle więc przechodzę szybciutko do rzeczy
Nad rozwiązaniem problemu spędziłem około tygodnia (z marnym skutkiem), piszę w takim razie co udało mi się w tym czasie ustalić i zrobić:
1. wydaje mi się, że komputer zainfekowało przynajmniej dwa wirusy:
-pierwszy - CryptoLocker (TeslaCrypt v. 0.2.5): skrypt zakodował moje pliki pozostawiając po sobie rozszerzenie .ccc, skasował punkty odzyskiwania systemu Shadow sprzed zainicjowania działania, wydaje mi się, że po wszystkim usunął plik key.dat (na tej stronie: http://blogs.cisco.com/security/talos/teslacrypt wyczytałem, że do odzyskania danych potrzebny jest ten plik i program firmy Cisco aby je odkodować) w obrębie, którego mógł pracować (próbowałem szukać tego pliku wszelakimi programami takimi jak: Get Data Back, Data Recovery Pro, Recuva, Shadow Explorer i spróbować go odzyskać jednak bez powodzenia) oraz pozostawił po sobie pliki: howto_recover_file_cvuyk.txt, howto_recover_file_cvuyk.html i chyba plik cryptolocker.exe. Na koniec wyskoczyło podobne okno:
W pliku RSA-2048.txt załączam fragment informacji z powyższego okna, dotyczącą danych odnośnie płatności za uzyskanie klucza odkodywującego.
W rejestrze systemu: [HKEY_CURRENT_USER\Software\C5A39C411BB7A5C9] znalazłem również adres BitCoin:
-drugi - nie mam pojęcia czym może być natomiast jego skutkiem jest fakt, iż katalogi z dysku zewnętrznego zostały pozamieniane na pliki bez żadnego rozszerzenia, które nie zajmują fizycznie miejsca (nie są to pliki skrótów). Przy podglądzie całego dysku w oknie "Mój komputer" dysk jednak jest prawie cały zapełniony (tak jak przed infekcją).
2. linki, które mówiły o tych tematach a mnie zaciekawiły to: https://securelist.com/blog/research/71371/teslacrypt-2-0-disguised-as-cryptowall/
http://www.bleepingcomputer.com/forums/t/575875/new-teslacrypt-version-released-that-uses-the-exx-extension/page-3?do=findComment&comment=3708349
3. poczyniłem również wymagane logi oraz te, które nie są wymagane (ComboFix zrobiłem zanim polecono mi Wasze forum jako najlepsze w kraju , stąd przepraszam jeśli coś niniejszym namieszałem) a mogą pomóc w rozwiązaniu tematu:
-logi wymagane:
FRST.txt
Addition.txt
Shortcut.txt
GMER (long).txt
GMER (long dysk I).txt
GMER (short).txt
-logi bonusowe:
ComboFix.txt
UsbFix_Report.txt
PODSUMOWANIE: tak jak już napomknąłem na wstępie: BŁAGAM O POMOC! gdyż bez niej moja obrona pracy będzie niemożliwa. Z góry dziękuję i serdecznie pozdrawiam