eric
-
Postów
20 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez eric
-
-
Udało się,wszystko poprawnie!!!Przynajmniej tego (files encrypted) nie będę widział!Dziękuję!
-
nie mam mozliwości zmiany z .log na .txt-po prostu nie wiem gdzie to się zmienia albo w jaki sposób bo w tradycyjny nie idzie...;(
ps.Zrobiłem obydwa kroki 1 i 2 i dalej mam na dyskach te files encypted...co nie jest jakoś uciążliwe...
-
poniżej zał.
tylko nie mogę dodac tego właśnie bo to txt...?;(
nie dałem rady zmienić tego z .log na .txt-coś mam chyba zablokowane a,że sie bardzo spieszę to wysłałem Ci na pw-za co przepraszam!
-
Jeśli cokolwiek mogło by pomóc również innym osobom to mógłbym wysłać listę odwiedzanych stron z tego feralnego 23.09...pytanie czy to ma sens?
ps.Nie wiem czy to ma jakieś znaczenie ale tych notatek files encypted tym programem RansomNoteCleaner nie usunąłem-krzyczał,że odmowa dostępu...
-
łudzę się nadzieją stąd moje rozterki...
-
picasso Znalazłem w necie teraz taki przekaz-co myślisz o tym ...?
"Witam wszystkich. I dziękuje za poświęcony czas:]
Jestem twórcą w/w aplikacji.
Wielki Szacunek dla m4jkel'a któremu chciało się przeanalizować kod mojego programu.
Całość została napisana w języku Assembler (który uwielbiam) przy użyciu kompilatora Fasm. Poniżej opiszę w jaki sposób nastąpiła infekcja komputerów. Na życzenie jestem w stanie udostępnić źródło programu będące moją własnością.
Infekcja nastąpiła podczas instalacji
- NIE-oryginalnych programów,
- NIE-oryginalnych gier lub
- NIE-oryginalnych systemów operacyjnych
więc użytkownik gdyby KUPIŁ oryginalny software to nigdy by nie miał problemów.
Mój program z opóźnieniem czasowym podmienia boot sektor windowsa i zapisuje oryginalnego MBR w inne miejsce na dysku.
W momencie wpisania odpowiedniego kodu oryginalny bootsector powraca.
UWAGA dla użytkowników którzy zainfekowali się najnowszą wersją: INFEKCJA NASTĄPI 01 STYCZNIA 2014r.
więc prosze pamiętać żeby nie wysyłać sms-ów i wprowadzić kod z końcówką '27' lub 'XP' np
KarolGje27,
KarolGjeXP
KarolG27,
KarolGXP
(te kody są uniwersalne do każdej wersji mojego programu)
kontakt do mnie: carlosdelag(malpa)wp.pl
(proszę nie pisać gróźb ani obraźliwych słów bo i tak to oleję)
Wielka prośba: NIE WYSYŁAJCIE SMS-ów, bo otrzymany kod nie odblokuję wam komputera (jest to wada usługi Premium SMS która nie chciała mi wygenerować kodów zakończonych tymi oto znakami).
Komputer odblokuję się tylko gdy dwa ostatnie znaki to "27" (dla wersji WP A4792) lub "XP" (w wersji AP.HRM2).
Pozdrawiam i proszę o zamknięcie tematu.
Karol"
ps.ja jestem w pracy i dopiero wieczorem będę mógł to zweryfikować... ?czy nie ma z czego się cieszyć?
-
Chyba oszalałeś...nie płać,nigdy!-oszustom się nie płaci,trzeba będzie poczekać na decryptor i tyle,może minie sporo czasu ale ja wierzę,że szybciej się za to wezmą bo sprawa jest za poważna...;(
ps.ja też nie wspomnę z ilu lat zdjęcia itp mam...;(((
-
Z tego co TU piszą to podobno jest to atak przede wszystkim na Polskę od 23.09.16...
Chciałem Ci mocno podziękować za tą pracę!!! mimo,że dyski mam "puste/zakodowane" to i tak jesteś dla mnie Legendą!!!
Korzystam z Twoich rad i pomocy od 8-10 lat co najmniej,wiele Twoich komentarzy było dla mnie światełkiem w tunelu a także pomocą wydawało by się z sytuacji bez wyjścia -oby więcej takich osób matka ziemia rodziła jak Ty!!!
Gratuluję MVP!!!
btw.- Rozumiem ,że a propos Unblockupc Ransomware forum będzie aktualizowało dane...?;)Pozostała mi tylko modlitwa...
-
Czyli dany plik nie był zaszyfrowany podczas pierwszego wejścia do katalogu, ale po restarcie systemu przestał się otwierać? Czy na pewno? Czy na pewno te dane nie były już zaszyfrowane i po prostu wyszło to na jaw przy dokładniejszym sprawdzaniu?
Sądzę,że raczej była to kwestia właśnie dokładniejszego sprawdzenia i pewnie były zaszyfrowane od razu po "włamaniu"...;(((
-
Dorzucam pliki z XP:
Na XP jpg.niedostępne...,mp3 to samo,pdf+office też nic!!!Nie wiem czy dam radę psychicznie z tym wszystkim...;(((
Nie wiem czy to coś zmieni ale gry chodzą... ;)ale cała reszta do bani ;( -
Ok wieczorem wyślę po pracy ok.22.00 dopiero...w XP nie zaglądałem na dyski bo trochę pękałem...;(
pytanie-czy kopia z XP uratowałaby sytuację gdyby się okazało dzisiaj,że pliki/dyski nie są zainfekowane/zaszyfrowane...?
-
-
Pytanie czy tylko dyski systemowe?
-
Tak uruchomiłem dwa razy ponieważ jakoś zwiesił się,za drugim razem trwało to 1 min a wczesniej czekałem z pół godz.i stał w miejscu...
W tym pliku C:\ProgramData\encfiles.log znalazłem taką ilość rzeczy ,że raczej szkoda gadać-cały komp.jest zainfekowany/zaszyfrowany-nie mogę odpalić jakiegokolwiek zdjęcia ani muzyki...jedynie tylko w katalogach,w których jeszcze nie zajrzałem ani razu moge to zrobić ale po ponownym restarcie już lipa...;(((
-
Mam 2 systemy-pierwszy win 8.1 a drugi XP-generalnie korzystam z win 8.1 ale zawsze mogę wybrac xp jakby co... ?
ps.Jednak zmiany zachodzą jak tylko odpalę jakiś katalog i jakiś plik i po ponownym uruchomieniu komp...
-
Pytanie czy moge korzystac z tego komp.nadal i czy moge się z niego logować na inne portale/pocztę/itp...?Bo juz zauważyłem,że inne foldery mam zainfekowane i w każdym pojawia się ta notatka...
podsyłam skan z gmer:GMER 2.2.19882 - http://www.gmer.net Rootkit scan 2016-09-25 17:52:54 Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 GOODRAM_C40 rev.S8FM08.0 223,57GB Running: rup650n9.exe; Driver: C:\Users\sm\AppData\Local\Temp\pxrdqpow.sys ---- Threads - GMER 2.2 ---- Thread C:\Windows\system32\csrss.exe [580:588] fffff960009542d0 Thread C:\Windows\Explorer.EXE [1728:2092] 00007ffb70b0e630 Thread C:\Windows\Explorer.EXE [1728:4472] 00007ffb82e5e630 ---- Registry - GMER 2.2 ---- Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\RNG@RNGAuxiliarySeed -354047115 ---- Files - GMER 2.2 ---- File C:\Users\sm\AppData\Local\Mozilla\Firefox\Profiles\4qxxra7c.default-1439284011294\cache2\entries\98C49A666C7B4C086D8CAD3C590B13A9FA20101D 1177 bytes ---- EOF - GMER 2.2 ----
I jeszcze jedno pytanie -a jak mam 2 systemy postawione to na drugim te dyski będą do odczytu czy nie? -
robiłem w sobotę przywracanie systemu z 21.09 ale później zrobiłem kolejne i widzę,że z datą 24.09 teraz mi pokazuje...a komunikat jaki mi pozostawia ten wirus jako .txt na każdym dysku z tego pliku encrypted jest taki:
You used to download illegal files from the internet. Now all of your private files has been locked and encrypted! To unblock them visit one of these websites: hxxp://unblockupc.xyz hxxp://unblockupc.in hxxp://moscovravir.ru hxxp://******************** hxxp://******************** hxxp://unblockupc.club Your UID: ***************
dodatkowo zapuściłem teraz gmer...ale mięli jeszcze -
Punkt przywracania jest sprzed bo 21.09 a zdjęcie/infekcja/wirus jest z wczoraj...dostęp do dysków mam i otwieram wszystkie katalogi i wszystkie zdjęcia oprócz katalogu do którego skopiowałem tego wirusa a także z pulpitu nie otwierają się zdjęcia,dok,i poczta...możemy ew.spróbowac TeamViewer...lub cokolwiek co polecisz
-
Witam
Ściągnąłem z netu jakieś zdjęcie i stało się...pojawił się czerwony tekst na pulpicie (sam napis) o zaszyfrowaniu komp,dysków itd ale na szczęście tylko są zaszyfrowane jpg/pdf z pulpitu a także poczta (skrót)itd.Finalnie nie mogę otworzyć dok.tylko na pulpicie i zdjęć oraz tych zdjęć i plików z katalogu do którego skopiowałem feralne zdjęcie.
Zrobiłem skanowanie Malwarebytes,Norton Power Eraser,Kaspersky rescue disk,Highjackthis,natomiast Combofix nie działa bo mam win 8.1...?;(
Wszystkie programy poznajdowały różne rzeczy i je pousuwały natomiast pliki o których wspomniałem dalej nie da się ich otworzyć i tylko w tych dwóch lokalizacjach-pulpit i dysk niesystemowy w 1 katalogu,poczta dalej nie działa.Nazwa tego pliku,który się załadował to einfo...natomiast nie zainstalował sie ten plik.
Zrobiłem również przywracanie systemu sprzed pobrania feralnego zdjęcia ale dalej to samo-pliki i poczta nie da sie otworzyć.
Pliki .jse
w Dział pomocy doraźnej
Opublikowano
Witam
Załapałem infekcję jak się okazuje tylko na dysku sieciowym... jakimś "ścierwem" które nadpisuje pliki rozszerzeniem .jse (sprawa się potoczyła przed weekendem ok.środy/czwartku... zrobiłem reinstalację systemu i teoretycznie po sprawie- infekcja prawdopodobnie przyszła po poczcie lub fb...nie wiem dokładnie.
Natomiast pytanie mam jak to rozszyfrować lub odtworzyć...pliki wcześniej ważyły po kilkanaście mb/gb a teraz wszystkie ważą po tyle samo czyli po 587kb...generalnie zainfekowane są pliki pdf/excele/word i dwg.