eric

Witam

Załapałem infekcję jak się okazuje tylko na dysku sieciowym...  jakimś "ścierwem" które nadpisuje pliki rozszerzeniem .jse (sprawa się potoczyła przed weekendem ok.środy/czwartku... zrobiłem reinstalację systemu i teoretycznie po sprawie- infekcja prawdopodobnie przyszła po poczcie lub fb...nie wiem dokładnie.

Natomiast pytanie mam jak to rozszyfrować lub odtworzyć...pliki wcześniej ważyły po kilkanaście mb/gb a teraz wszystkie ważą po tyle samo czyli po 587kb...generalnie zainfekowane są pliki pdf/excele/word i dwg.

Udało się,wszystko poprawnie!!!Przynajmniej tego (files encrypted) nie będę widział!Dziękuję!

nie mam mozliwości zmiany z .log na .txt-po prostu nie wiem gdzie to się zmienia albo w jaki sposób bo w tradycyjny nie idzie...;(

ps.Zrobiłem obydwa kroki 1 i 2 i dalej mam na dyskach te files encypted...co nie jest jakoś uciążliwe...

poniżej zał.

tylko nie mogę dodac tego właśnie bo to txt...?;(

nie dałem rady zmienić tego z .log na .txt-coś mam chyba zablokowane a,że sie bardzo spieszę to wysłałem Ci na pw-za co przepraszam!

Jeśli cokolwiek mogło by pomóc również innym osobom to mógłbym wysłać listę odwiedzanych stron z tego feralnego 23.09...pytanie czy to ma sens?

ps.Nie wiem czy to ma jakieś znaczenie ale tych notatek files encypted tym programem RansomNoteCleaner nie usunąłem-krzyczał,że odmowa dostępu...

łudzę się nadzieją stąd moje rozterki...

picasso Znalazłem w necie teraz taki przekaz-co myślisz o tym ...?

ps.ja jestem w pracy i dopiero wieczorem będę mógł to zweryfikować... ?czy nie ma z czego się cieszyć?

Chyba oszalałeś...nie płać,nigdy!-oszustom się nie płaci,trzeba będzie poczekać na decryptor i tyle,może minie sporo czasu ale ja wierzę,że szybciej się za to wezmą bo sprawa jest za poważna...;(

ps.ja też nie wspomnę z ilu lat zdjęcia itp mam...;(((

Z tego co TU piszą to podobno jest to atak przede wszystkim na Polskę od 23.09.16...

Chciałem Ci mocno podziękować za tą pracę!!!   mimo,że dyski mam "puste/zakodowane" to i tak jesteś dla mnie Legendą!!!

Korzystam z Twoich rad i pomocy od 8-10 lat co najmniej,wiele Twoich komentarzy było dla mnie światełkiem w tunelu a także pomocą wydawało by się z sytuacji bez wyjścia -oby więcej takich osób matka ziemia rodziła jak Ty!!!

Gratuluję MVP!!!

btw.- Rozumiem ,że a propos Unblockupc Ransomware forum będzie aktualizowało dane...?;)Pozostała mi tylko modlitwa...   

Czyli dany plik nie był zaszyfrowany podczas pierwszego wejścia do katalogu, ale po restarcie systemu przestał się otwierać? Czy na pewno? Czy na pewno te dane nie były już zaszyfrowane i po prostu wyszło to na jaw przy dokładniejszym sprawdzaniu?

Sądzę,że raczej była to kwestia  właśnie dokładniejszego sprawdzenia i pewnie były zaszyfrowane od razu po "włamaniu"...;(((

Dorzucam pliki z XP:

Na XP jpg.niedostępne...,mp3 to samo,pdf+office też nic!!!Nie wiem czy dam radę psychicznie z tym wszystkim...;(((

Nie wiem czy to coś zmieni ale gry chodzą... ;)ale cała reszta do bani ;(

Fixlog.txt FRST.txt

Ok wieczorem wyślę po pracy ok.22.00 dopiero...w XP nie zaglądałem na dyski bo trochę pękałem...;(

pytanie-czy kopia z XP uratowałaby sytuację gdyby się okazało dzisiaj,że pliki/dyski nie są zainfekowane/zaszyfrowane...?

komplet win 8.1+XP

Addition.txt FRST.txt Shortcut.txt gmer.txt ShortcutXP.txt AdditionXP.txt FRSTXP.txt GmerXP.txt

Pytanie czy tylko dyski systemowe?

Tak uruchomiłem dwa razy ponieważ jakoś zwiesił się,za drugim razem trwało to 1 min a wczesniej czekałem z pół godz.i stał w miejscu...

W tym pliku C:\ProgramData\encfiles.log znalazłem taką ilość rzeczy ,że raczej szkoda gadać-cały komp.jest zainfekowany/zaszyfrowany-nie mogę odpalić jakiegokolwiek zdjęcia ani muzyki...jedynie tylko w katalogach,w których jeszcze nie zajrzałem ani razu moge to zrobić ale po ponownym restarcie już lipa...;(((

Mam 2 systemy-pierwszy  win 8.1 a drugi XP-generalnie korzystam z win 8.1 ale zawsze mogę wybrac xp jakby co... ?

ps.Jednak zmiany zachodzą jak tylko odpalę jakiś katalog i jakiś plik i po ponownym uruchomieniu komp...

Fixlog.txt

Pytanie czy moge korzystac z tego komp.nadal i czy moge się z niego logować na inne portale/pocztę/itp...?Bo juz zauważyłem,że inne foldery mam zainfekowane i w każdym pojawia się ta notatka...

podsyłam skan z gmer:

GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2016-09-25 17:52:54
Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 GOODRAM_C40 rev.S8FM08.0 223,57GB
Running: rup650n9.exe; Driver: C:\Users\sm\AppData\Local\Temp\pxrdqpow.sys

---- Threads - GMER 2.2 ----

Thread C:\Windows\system32\csrss.exe [580:588] fffff960009542d0
Thread C:\Windows\Explorer.EXE [1728:2092] 00007ffb70b0e630
Thread C:\Windows\Explorer.EXE [1728:4472] 00007ffb82e5e630

---- Registry - GMER 2.2 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\RNG@RNGAuxiliarySeed -354047115

---- Files - GMER 2.2 ----

File C:\Users\sm\AppData\Local\Mozilla\Firefox\Profiles\4qxxra7c.default-1439284011294\cache2\entries\98C49A666C7B4C086D8CAD3C590B13A9FA20101D 1177 bytes

---- EOF - GMER 2.2 ----

I jeszcze jedno pytanie -a jak mam 2 systemy postawione to na drugim te dyski będą do odczytu czy nie?

robiłem w sobotę przywracanie systemu z 21.09 ale później zrobiłem kolejne i widzę,że z datą 24.09 teraz mi pokazuje...a komunikat jaki mi pozostawia ten wirus jako .txt na każdym dysku z tego pliku encrypted jest  taki:

You used to download illegal
files from the internet.
Now all of your private files
has been locked and encrypted!

To unblock them visit one
of these websites:
hxxp://unblockupc.xyz
hxxp://unblockupc.in
hxxp://moscovravir.ru
hxxp://********************
hxxp://********************
hxxp://unblockupc.club

 Your UID: ***************

dodatkowo zapuściłem teraz gmer...ale mięli jeszcze

Punkt przywracania jest sprzed bo 21.09 a zdjęcie/infekcja/wirus jest z wczoraj...dostęp do dysków mam i otwieram wszystkie katalogi i wszystkie zdjęcia oprócz katalogu do którego skopiowałem tego wirusa a także z pulpitu nie otwierają się zdjęcia,dok,i poczta...możemy ew.spróbowac TeamViewer...lub cokolwiek co polecisz

Witam

Ściągnąłem z netu jakieś zdjęcie i stało się...pojawił się czerwony tekst na pulpicie (sam napis) o zaszyfrowaniu komp,dysków itd ale na szczęście tylko są zaszyfrowane jpg/pdf  z pulpitu a także poczta (skrót)itd.Finalnie nie mogę otworzyć dok.tylko na pulpicie i zdjęć oraz tych zdjęć i plików z katalogu do którego skopiowałem feralne zdjęcie.

Zrobiłem skanowanie Malwarebytes,Norton Power Eraser,Kaspersky rescue disk,Highjackthis,natomiast Combofix nie działa bo mam win 8.1...?;(

Wszystkie programy poznajdowały różne rzeczy i je pousuwały natomiast pliki o których wspomniałem dalej nie da się ich otworzyć i tylko w tych dwóch lokalizacjach-pulpit i dysk niesystemowy w 1 katalogu,poczta dalej nie działa.Nazwa tego pliku,który się załadował to einfo...natomiast nie zainstalował sie ten plik.

Zrobiłem również przywracanie systemu sprzed pobrania feralnego zdjęcia ale dalej to samo-pliki i poczta nie da sie otworzyć.

Addition.txt FRST.txt Shortcut.txt