CTB-Locker

[sok73]

Witam.

Mam komputer, który dopadł Critroni ("Your personal files are encrypted by CTB-Locker").
Z tego co widzę, jest to nowsza wersja, która rozszerzenie zmienia losowo (w moim przypadku .pogkqql).
Jestem w tej dobrej sytuacji, że mam niedawny backup plików i zależy mi tylko na pozbyciu się tej infekcji.
Komputer był skanowany na początku Kaspersky TDSSKiller ale nic nie znalazł.

Przed rozpoczęciem skanowania FRST zmieniłem tapetę na normalną i zakończyłem proces hglomif.
Skanowanie GMER zrobiłem już z procesem hglomif.exe, a zakończyłem avgui(AVG Antywirus).

Załączam raporty ze skanów:

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

TDSSKiller.3.0.0.44_05.02.2015_11.00.55_log.txt

[picasso]

Przed rozpoczęciem skanowania FRST zmieniłem tapetę na normalną i zakończyłem proces hglomif.

Skanowanie GMER zrobiłem już z procesem hglomif.exe, a zakończyłem avgui(AVG Antywirus).

Tak, GMER (zrobiony później niż FRST) wykazuje, że ten proces nadal aktywnie działa w tle jako ukryty. Dzieje się tak dlatego, gdyż proces startuje poprzez Harmonogram zadań:

 

---- Processes - GMER 2.1 ----
 

Process C:\Users\User\AppData\Local\Temp\hglomif.exe (*** suspicious ***) @ C:\Users\User\AppData\Local\Temp\hglomif.exe [2220](2015-02-04 17:05:10) 0000000000400000
 

==================== Scheduled Tasks (whitelisted) =============
 

Task: {A6CC8B56-B41C-4228-96A1-10D34946E422} - System32\Tasks\juixzej => C:\Users\User\AppData\Local\Temp\hglomif.exe [2015-02-04] () 
 

Tapeta na pewno się utrzymała? FRST wysyła sprzeczny komunikat. Niby tapeta przywrócona, a równocześnie komunikat o braku tej wartości:
 

==================== Other Registry Areas =====================
 

HKU\S-1-5-21-3639878282-2317462388-1843896377-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\User\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

ATTENTION: Missing Desktop Wallpaper Registry entry.
 

Zostały też do wyrzucenia pliki pomocnicze infekcji oraz zaszyfrowane pliki z dysku C (te w folderach aplikacji można wyrzucić).
 
 

[hr]

Wstępna akcja:
 

1. Otwórz Notatnik i wklej w nim:
 

CloseProcesses:
CreateRestorePoint:
Task: {A6CC8B56-B41C-4228-96A1-10D34946E422} - System32\Tasks\juixzej => C:\Users\User\AppData\Local\Temp\hglomif.exe [2015-02-04] () 
C:\ProgramData\oiukxod.html
C:\Users\User\Documents\!Decrypt-All-Files-pogkqql.bmp
C:\Users\User\Documents\!Decrypt-All-Files-pogkqql.txt
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: sc config "PLAY ONLINE. RunOuc" start= disabled
EmptyTemp:
 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 

2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.
 

3. Uruchom FRST ponownie, w polu Search wklej:
 

*pogkqql*;*decrypt*
 

Klik w Search Files i dostarcz wynikowy log. Może być ogromny. Jeśli nie wejdzie w załącznik, to spakuj do ZIP i shostuj gdzieś podając link.

[sok73]

Owszem, okno z odliczaniem czasu, po restarcie komputera jest widoczne.

Natomiast tapeta po restarcie nie zmieniła się (Jest windowsowa).

Logi wykonane.

 

Fixlog.txt

Addition.txt

FRST.txt

Search.txt

[picasso]

Akcja pomyślnie wykonana i nie ma już śladów by infekcja była aktywna.

 

1. Rekursywne usuwanie zaszyfrowanych plików. Na Pulpicie utworzyłeś folder Zaszyfrowane - nie wiem w jakim celu, ale jeśli jest w jakiś sposób potrzebny (eksperymenty), to go przesuń na inny dysk, bo skrypt FRST wykosi wszystkie pliki z suffiksami. Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:
CMD: rd /s /q C:\$Recycle.Bin
CMD: del /q /s C:\*pogkqql*

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Może długo się wykonywać. Pokaż wynikowy fixlog.txt.

 

2. Jeśli chodzi o tapetę:

 

Owszem, okno z odliczaniem czasu, po restarcie komputera jest widoczne. Natomiast tapeta po restarcie nie zmieniła się (Jest windowsowa).

Pokaż mi na zrzucie ekranu jak wygląda to "odliczanie". Poza tym, log Addition konsekwentnie notuje rozbieżność, a kopia tapety wg wyników Search jest zaszyfrowana:

 

C:\Users\User\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.JPG.pogkqql

[2014-08-22 20:19][2014-08-22 20:20] 0635824 ____A () 6A541AB4FAC829F4C889BA71AD29C75C

 

Po zrobieniu zrzutu ekranu jeszcze raz zresetuj ustawienia Tła Pulpitu, poprzednio akcja była robiona podczas czynnego procesu hglomif.exe. Jako obraz wybierz coś co na 100% nie jest zaszyfrowanym plikiem graficznym. Zresetuj system i dostarcz nowy log Addition.

[sok73]

Odliczanie było w oknie złośliwego oprogramowania. Teraz, gdy infekcja jest już usunięta, nie pokazuje się.
W bliźniaczym wątku:
https://www.fixitpc.pl/topic/25675-wpadło-mi-coś-okropnego-your-personal-files-are-encrypted-by-ctb-locker/#
 
Tapety windowsowe dało się załadować. Po wykonaniu zaszyfrowanych plików w folderze:

C:\Users\User\AppData\Roaming\Microsoft\Windows\Themes\

pozostała mi tylko tapeta, która jest aktualnie ustawiona i jeśli teraz zmienię na inną, to w tym folderze również się zmienia.

Można ją otworzyć za pomocą przeglądarki grafiki i ma rozszerzenie .jpg

Teraz w logu jest już też z rozszerzeniem .jpg.

 

Edit: A folder Zaszyfrowane zrobiłem, żeby mieć trochę bardziej przejrzysty pulpit

Addition.txt

Fixlog.txt

[picasso]

Ten odczyt z Wallpaper w Addition to chyba jakieś zaburzenia FRST. Nawiasem mówiąc, tam było od początku JPG w ścieżce, to jest ścieżka w rejestrze a nie na dysku. Ścieżka na dysku była w pliku Search.

 

Wszystko wykonane. Dotychczas było usuwanie zaszyfrowanych kopii z dysku C (funkcja Search FRST jest ograniczona tylko do systemowego). Jest tu jednak też partycja D. Co na niej jest (czy typ danych obejmowanych szyfrowaniem CTB-Locker), czy tam też są zaszyfrowane wtręty? Potwierdź, a wtedy będziesz mógł wykonać kolejny fixlist.txt do FRST o zawartości:

 

CMD: rd /s /q D:\$Recycle.Bin
CMD: del /q /s D:\*pogkqql*

[sok73]

Na dysku D: nie ma żadnych zainfekowanych plików.

Dziękuję za pomoc. Temat uważam za zamknięty.

[picasso]

Dodatkowe kroki:

 

1. Zastosuj DelFix.

 

2. Sugeruję odinstalować zbędnik AVG Web TuneUp (to taki firmowy "PUP"). Po tym w Google Chrome zweryfikuj czy wszystkie przekierowania mysearch.avg.com ustąpiły z wyszukiwarki i stron startowych.

 

3. Na wszelki wypadek zrób jeszcze dodatkowe skany za pomocą: ESET Online Scanner, Hitman Pro, Malwarebytes Anti-Malware. Jeśli coś znajdą, dostarcz raporty.

[sok73]

ad.1 - Wykonane

ad.2 - Wykonane

ad.3 - Tylko Anti-Malware znalazł jeden podejrzany plik w folderze "Pobieranie". Plik usunięty.

[picasso]

Na koniec:

 

1. Były usuwane zaszyfrowane pliki, co oznacza określone uszczerbki w katalogach aplikacji (np. katalogi rozszerzeń Google Chrome zostały przetrzebione). W przypadku widocznej usterki (brak ładowania jakiejś grafiki, etc.) należy dany program przeinstalować.

 

2. Na wszelki wypadek zmień hasła logowania w ważnych serwisach.

 

 

PS. A ten odczyt ostrzeżeniowy na temat tapety już wiem skąd. To była adnotacja z załadowanego w tle konta nVidia UpdatusUser (konto nietypowe, niedostępne jako "normalne"). Już zgłosiłam ten fakt autorowi i znaczniki ostrzeżeniowe zostały usunięte.