semiconductor

Na pendrive znalazłem ślady działania crytpowalla 3.0 (wersji domyślam sie z porównania jego komunikatów ze zrzutami ekranów opublikowanymi w sieci) tzn. cryptowall zaszyfrował mi pendrive, ale na szczęście tam nie było nic ważnego. Z dat wynika że było to kilka dni temu w ciągu pół godziny mniej więcej (taki jest rozrzut czasu między plikami help_decrypt.* w różnych folderach) gdy włączyłem komputer rano na godzinkę, ale właściwie na nim nic nie robiłem, bo po włączeniu zająłęm się czymś innym, a potem zahibernowałem kompa. W następnych dniach komputer chodził po kilka godzin dziennie, były też restarty (update Windows). Chciałem zapytać o parę rzeczy: w c:\users\[user]\appdata\ znalazłem dwa foldery mniej więcej z tej samej godziny co zaszyfrowanie pendrive: OICE_15_974FA576_32C1D314_38A5 (zawiera zaszyfrowany już plik *.pptx i standardowe 4 pliki help_decrypt, pliki są z godziną taką jak szyfrowane pendrive, choć sam folder ma datę utworzenia sprzed paru miesięcy, ale modyfikację sprzed pół godziny) oraz folder OICE_15_974FA576_32C1D314_1313 z jakimiś plikami tmp sprzed kilku tygodni (pliki i folder z tej samej minuty nawet) Z tego wygląda mi, że robal przerwał działanie, ale może się mylę, nie wiem czy to możliwe. Jeszcze w paru folderach \appdata\LocalLow i wszystkie z tej godziny gdy pendrive był szyfrowany 1 Jak sprawdzić czy on dalej działa i gdzie sprawdzić czy on w ogóle jest - bo może tylko z przeglądarki szyfrował bez instalowania się w systemie? W momencie infekcji tylko explorer chodził). O ile dobrze zrozumiałem, Cryptowall sukcesywnie szyfruje pliki folder po folderze, ale to przed użytkownikami ukrywa i dopiero na koniec, gdy już wszystko zaszyfrowane, to podmienia wszystkie oryginały na zaszyfrowane pliki) 2 czy muszę przystępować do usuwania Cryptowalla teraz? Nie bardzo mam czas teraz, a tego co widzę, jakby się zatrzymał, ale może bzdury opowiadam. 3 Co CryptoWall robi z plikami które są w folderach synchronizowanych z chmurą przez Google Disk? Tak samo jak z innymi postepuje? Bo jeśli je zaszyfrował gdy synchronizacja była wyłączona, to wystarczy (po oczyszczeniu kompa) skasować pliki, zreinstalować GDisk i ściągnąć z chmury wszystko. 4 jest jakaś dobra ogólna instrukcja usuwania tego syfu? Wiele znalezionych stron o usuwaniu podaje instrukcje podejrzanie mi wyglądające i podobne do siebie, a podsuwąjace zawsze jakiś dziwny reklamowany soft do zainstalowania i ogólnie obawiam sie, że ten soft to coś w rodzaju Spy Huntera, czyli wypędzania diabła szatanem. Mam jakieś doświadczenie z FRST coś już udało mi się kiedyś tym skutecznie usunąć, samemu tworząc odp wpisy na podstawie znalezionych na tym portalu przykładów.