Na pendrive znalazłem ślady działania crytpowalla 3.0 (wersji domyślam sie z porównania jego komunikatów ze zrzutami ekranów opublikowanymi w sieci) tzn. cryptowall zaszyfrował mi pendrive, ale na szczęście tam nie było nic ważnego. Z dat wynika że było to kilka dni temu w ciągu pół godziny mniej więcej (taki jest rozrzut czasu między plikami help_decrypt.* w różnych folderach) gdy włączyłem komputer rano na godzinkę, ale właściwie na nim nic nie robiłem, bo po włączeniu zająłęm się czymś innym, a potem zahibernowałem kompa. W następnych dniach komputer chodził po kilka godzin dziennie, były też restarty (update Windows).
Chciałem zapytać o parę rzeczy:
w c:\users\[user]\appdata\ znalazłem dwa foldery mniej więcej z tej samej godziny co zaszyfrowanie pendrive:
OICE_15_974FA576_32C1D314_38A5 (zawiera zaszyfrowany już plik *.pptx i standardowe 4 pliki help_decrypt, pliki są z godziną taką jak szyfrowane pendrive, choć sam folder ma datę utworzenia sprzed paru miesięcy, ale modyfikację sprzed pół godziny) oraz folder OICE_15_974FA576_32C1D314_1313 z jakimiś plikami tmp sprzed kilku tygodni (pliki i folder z tej samej minuty nawet)
Z tego wygląda mi, że robal przerwał działanie, ale może się mylę, nie wiem czy to możliwe.
Jeszcze w paru folderach \appdata\LocalLow i wszystkie z tej godziny gdy pendrive był szyfrowany
1 Jak sprawdzić czy on dalej działa i gdzie sprawdzić czy on w ogóle jest - bo może tylko z przeglądarki szyfrował bez instalowania się w systemie? W momencie infekcji tylko explorer chodził). O ile dobrze zrozumiałem, Cryptowall sukcesywnie szyfruje pliki folder po folderze, ale to przed użytkownikami ukrywa i dopiero na koniec, gdy już wszystko zaszyfrowane, to podmienia wszystkie oryginały na zaszyfrowane pliki)
2 czy muszę przystępować do usuwania Cryptowalla teraz? Nie bardzo mam czas teraz, a tego co widzę, jakby się zatrzymał, ale może bzdury opowiadam.
3 Co CryptoWall robi z plikami które są w folderach synchronizowanych z chmurą przez Google Disk? Tak samo jak z innymi postepuje? Bo jeśli je zaszyfrował gdy synchronizacja była wyłączona, to wystarczy (po oczyszczeniu kompa) skasować pliki, zreinstalować GDisk i ściągnąć z chmury wszystko.
4 jest jakaś dobra ogólna instrukcja usuwania tego syfu?
Wiele znalezionych stron o usuwaniu podaje instrukcje podejrzanie mi wyglądające i podobne do siebie, a podsuwąjace zawsze jakiś dziwny reklamowany soft do zainstalowania i ogólnie obawiam sie, że ten soft to coś w rodzaju Spy Huntera, czyli wypędzania diabła szatanem. Mam jakieś doświadczenie z FRST coś już udało mi się kiedyś tym skutecznie usunąć, samemu tworząc odp wpisy na podstawie znalezionych na tym portalu przykładów.