steam

Dobrze przewidziałaś bo zrobiłem kopię także zaszyfrowanych danych, dziękuję że zostawiłaś pliki identyfikacyjne - niech leży ze wszystkim i czeka

AD. 1 - Plan mam taki żeby zainstalować Win7 a następnie Win10 + Kasperskiego, kiedy usuwać te przestarzałe programy o których wspomniałaś? Jak to najlepiej zrobić jak stawiam wszystko od nowa? Podobno usunięcie NIS może nawet wysypać system...

AD.2 - Na reszcie PCtów w domu już mam to zainstalowane i na moim to zrobię

Trochę offtop ale mam jeszcze jedno pytanie - jak zainstaluje Win7 to musze wgrać mu wszystkie aktualizacje i potem dopiero wgrywać Win10 czy mogę od razu na czystą 7 wgrać 10?

averdianer, aplet w uruchomionej grze wyświetlił informację o aktualizacji klienta, po kliknięciu "OK" zamyka się okienko, wyłączenie gry->aktualizacja->włączenie - tak wygląda norma. Tutaj po kliknięciu "OK" gra zawiesiła się. Zamknąłem ją z poziomu Menedżera Zadań i wyłączyłem komputer. Pierwsze podejrzane pliki datowane były na 2:33 czyli czas po wyłączeniu gry a wyłączeniem PC. Może to zbieg okoliczności szczególnie że picasso wskazała jeszcze przynajmniej 4 drogi infekcji. Zresztą nie ma już nad czym gdybać.

picasso, mam pytanie - czy mogę bezpiecznie wykonać kopie tych danych które są na dysku i nie zostały zaszyfrowane? Nie chciałbym zainfekować sobie dysku zewnętrznego....

Dodatkowo w związku z tym że fixlog był potężny możemy poprostu po tym jak zgram to co potrzebuje zrobić format dysku i zakończyć mój temat.

Proszę, log z naprawy i reszta logów z FRST

http://speedy.sh/ADjb7/Fixlog.txt

Addition.txt

FRST.txt

Powód skomplikowania jest bardziej prozaiczny - nie miałem jak tego zrobić sam więc zleciłem to komuś innemu.... Cóż, osoba swoje zadanie wykonała w 99%, zrobiła zrzuty, spakowała i wysłała na serwer, poza jedną rzeczą - zapomniała hasła do paczki z zrzutem pamięci... Bywa, dlatego odpuściliśmy temat zrzutów z modem mgrzeg i została podjęta wyżej decyzja o czyszczeniu encrypter w tym przypadku nie zadziałał ponieważ pomimo rozszerzenia nie szyfruje plików powyżej ~160Mb - to info jest w którymś wątku z zagranicznych stron które wrzucaliśmy w temacie ale dalej jest aktywny dlatego tak długo nie mogłem wrzucić raportów z frst i gmer bo non-stop się szyfrowały

koniec off topa

wrzucam skany i czekam na dalsze instrukcje

gmer.txt

Addition.txt

FRST.txt

Shortcut.txt

Czy są jakieś wyniki analiz? Pytam, gdyż trzeba w końcu podjąć decyzję tyczącą czyszczenia systemu ... lub format.

Sprawa mocno się skomplikowała więc nici z analizy tych danych. W wyniku tego możemy przejść do czyszczenia systemu. Co zrobić najpierw, wykonać nowe skany gmer i frst ?

Wykonałem wczoraj wymagane zrzuty pamięci oraz aktywności sieciowej oraz przesłałem w prywatnej wiadomości do moderatora mgrzeg. Czekam na dalszy rozwój sytuacji, szyfrowanie dalej trwa ponieważ wszystkie logi sukcesywnie dostają rozszerzenie .ccc.

Mam jeszcze jedno pytanie, wszystkie te kroki mam wykonywać na normalnie uruchomionym komputerze czy w środowisku WinRE ? Ewentualnie w używając jakiegoś innego środowiska ?

Czy możesz przygotować pełen zrzut pamięci tego procesu? Czy możesz przygotować równocześnie zrzut ruchu tcp / http?

Jeżeli tylko dostane szczegółowe instrukcje jak to zrobić to jak najbardziej.

To zagadnienie teoretyczne: KLIK. W praktyce to oznacza, że zanim zrzucisz dump pamięci, proces szyfrowania posunie się dalej, a nawet może się ukończyć przed zebraniem danych. Czyli pozwolisz zaszyfrować w tle kolejne dane nie mając absolutnie żadnych gwarancji, że w pliku dump cokolwiek zostanie znalezione. Druga sprawa, postęp szyfrowania nie jest tu tak naprawdę znany, wyłączenie komputera mogło i tak nastąpić "za późno".

Myślę że nie mam już nic więcej do stracenia, lepiej spróbować jeżeli jest chociaż cień szansy. Nie przeszkadza mi bycie królikiem doświadczalnym  zastanawiałem się nad stworzeniem dużej ilości plików na przykład .txt metodą kopiuj/wklej aby encrypter je ciągle szyfrował - może to byłby sposób żeby podtrzymać jego działanie jak najdłużej - sami musicie ocenić czy skuteczny.

Jeśli chcesz prowadzić te eksperymenty, to nie włączaj na razie komputera tylko w pierwszej kolejności zabezpiecz wszystkie jeszcze niezaszyfrowane dane (o ile takowe są) z wszystkich partycji posługując się zewnętrznym bootowanym nośnikiem CD / USB, wykluczone by dane kopiować z poziomu uruchomionego Windows. Przekopiowane dane muszą być na nośniku, który nie będzie w ogóle dostępny w trakcie ponownego uruchomienia systemu, bo czynna infekcja je i tak zaszyfruje.

Generalnie z tego co zdążyłem jeszcze wtedy przeglądnąć to wszystko co najważniejsze już było zaszyfrowane, także ten krok możemy pominąć.

Dla jasności: infekcja jest definitywnie czynna, widać w raporcie FRST obiekty w starcie. Tylko że jej usunięcie wykluczy powyższe eksperymenty, więc decyduj co robimy "od razu".

Nic nie usuwamy - eksperymentujemy, liczę się z konsekwencjami tego działania ale lepiej spróbować coś zrobić niż się poddać i zrobić format dysku. Późno odpowiadam ale miałem na ten weekend zaplanowany wyjazd i nie miałem jak się z państwem skontaktować. Od jutra będę w domu i będzie można rozpocząć pracę przy maszynie.

Zdecydowanie odradzam kontakt z cyberprzestępcami i płacenie im haraczu. Musisz sobie odpowiedzieć na pytanie jak ważne są te dane, by ryzykować taki kontakt. Nie ma gwarancji, że nie zostaniesz oszukany.

Przyjąłem do wiadomości.

Witam,

tak jak w temacie mam problem z wirusem, który 10.11.2015 zainfekował mój komputer (Windows 7 home oryginalny, aktualne bazy windows defender, flash player itp aktualizowane na bieżąco, niestety nieaktywny norton internet security - wygasła subskrypcja) w trakcie/po aktualizacji składnika platformy Steam. Szczerze mówiąc jestem okazjonalnym graczem dlatego nie interesuje mnie odzyskanie niczego związanego z grami - bardziej zależy mi na zdjęciach i dokumentach tekstowych/arkuszach excel związanych z praca. Dokładnie zapoznałem się z większością tematów na fixitpc i wiem że w przypadku wersji 2.1.0a nie ma praktycznie żadnej szansy na odszyfrowanie tych plików zainteresowało mnie jednak to co przeczytałem tu: http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information#decrypt

"Can only be decrypted if victim was able to capture the key being sent to the server at the time of encryption."

W moim przypadku szyfrowanie trwa dalej ponieważ w miarę szybko wyłączyłem komputer. Druga wskazówka to to że w trakcie gdy wykonywałem obowiązkowe logi z frst i gmer te z pierwszego programu po ponownym uruchomieniu komputera zostały zaszyfrowane.

Czy jest realne abym uzyskał ten klucz w trakcie szyfrowania?

Ponieważ zastanawiam się nad jeszcze jednym rozwiązaniem o którym kiedyś przeczytałem na niebezpiecznik.pl:

http://niebezpiecznik.pl/post/jak-walczyc-z-cryptolockerem-i-innymi-przypadkami-ransomwareu/

Zapłacić i zgłosić wymuszenie w swoim banku - procedurą CHARGEBACK. Problem jest tylko jeden, nie miałem z tym nigdy styczności, może ktoś z was miał i wie na przykład że jest to skuteczne. W przypadku gdy to rozwiązanie miało by szansę powodzenia mogło by pomóc komuś w przyszłości odzyskać dużo ważniejsze dane.

Oczywiście załączam potrzebne logi i czekam cierpliwie na odpowiedź

P.S Przypomniała mi się jeszcze jedna rzecz w folderze głównym czyli tym od nazwy zalogowanej osoby poza HOWTO_RESTORE_FILES_xxxxx.html oraz HOWTO_RESTORE_FILES_xxxxx.txt był plik ydcfwkop.exe datowany tak samo jak te "howto", jako wydawca widniało "intrusion falcon". Może to dodatkowo w czymś pomoże.

FRST.txt

Addition.txt

Shortcut.txt

gmer pelny.txt