Problem z Cryptolockerem HOWTO_RESTORE_FILES_cflin

[lookki]

Witam,

zwracam się z uprzejmą prośbą pomocy. Mój problem zaczął się podczas podczas przeglądania internetu. Wyświetlał się monit windows o wprowadzeniu zmian czy jakiejś aktywacji (system jest oryginalny). Zauważyłem, że monit wyświetlał się dość natarczywie ( jeśli klikałem nie). Program Malwarebytes nic nie znalazł. Jednak w końcu kliknąłem tak (co było chyba błędem) i następnie wyświetlił się monit bodajże o kontrolę konta użytkownika związany z plikiem vssadmin.exe (tu klikałem cały czas nie, jednak coś natarczywie powodowało jego wyświetlanie). Po tym byłem niemal pewny że coś jest nie tak. Następnie zrobiłem znów skan Malwarebytes i wykryto jakieś 12 zagrożeń, a następnie wyleczono. Jednak po ponownym uruchomieniu pojawiło się mnóstwo plików w wielu folderach o nazwie HOWTO_RESTORE_FILES_cflin.html oraz HOWTO_RESTORE_FILES_cflin.txt (zajmują w sumie trochę miejsca, chciałbym się pozbyć ich oraz zniknęła moja tapeta wcześniej spersonalizowana). Dodatkowo pojawiła się lokalizacja sieciowa z wyżej wymienionymi plikami. Każde uruchomienie ponowne wyświetla jakies pliki tekstowe i strone z instrukcją z podanymi linkami jak przywrócić dostęp do plików po angielsku. Wiem, że to jest ściema i tych linków ruszam ;D Proszę o pomoc gdyż chciałbym uniknąć formatu. Z góry dziękuję za szybką odpowiedź i pomoc.
PS: Przepraszam za nieco chaotyczną wypowiedź lecz jest pisana na szybko i zaznaczam, że pierwszy raz mam do czynienia z Cryptolockerem. W załączniku:
1- lokalizacja sieciowa (nadmieniam że przed infekcją na dysku C było około 72GB, a teraz niecałe 70GB wolnej przestrzeni tak więc te pliki muszą sporo ważyć.
2- przykładowo wpakowały się do folderu Autodesku, ale z tego co zaobserwowałem tak jest w przypadku także innych folderów (dosłownie wszędzie się te 2 pliki władowały). Moje przypuszczenia dotyczą także pliku regsvr32.exe, gdyż po starcie systemu plik ten uruchamia jakieś 2 pliki .dll (nie systemowe gdyż data utworzenia ich to data wystąpienia problemu czyli 12.10.2015). Mimo usunięcia tychże plików po uruchomieniu ponownym wyświetla się monit, że plik regsvr32.exe nie może załadować tych plików. Oprócz w/w problemów mam wrażenie że system pracuje w miarę normalnie, może oprócz nieco spowolnionej pracy IE11 (od momentu wyświetlania tego 1 monitu z 3 zdania). Jak uruchomię ponownie komputer postaram się dodać kolejne zdjęcia związane z regsvr32.exe.

[picasso]

Proszę dostosuj się do zasad działu i dostarcz obowiązkowe raporty z FRST i GMER.

 

Dodatkowo, dostarcz log z narzędzia IDTool.

[lookki]

Logi FRST i GMER w załącznikach. W przypadku IDTool mam wrażenie, że postęp stoi w miejscu bądź coś jest nie tak. Status programu "Checking CryptoWall Flag".

Dodatkowo dodałem zdjęcia 3 i 4 ilustrujące działanie pliku RegSvr32.exe po uruchomieniu ponownym komputera.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[picasso]

Proces systemowy vssadmin.exe był uruchamiany, gdyż malware szyfrujące dane wywoływało komendę usuwania wszystkich punktów Przywracania systemu, obecnie Przywracanie systemu jest kompletnie zdeaktywowane. Wg raportów malware nie jest już czynne, choć pozostały puste odpadki które próbują się uruchamiać, dlatego też widzisz błędy z regsvr32.

 

Przerwij działanie programu IDTool, jeśli zbyt długo będzie "zawieszony". Wstępnie na podstawie samego modelu nazwy plików HOWTO_RESTORE_FILES_* to wygląda na wariant infekcji TeslaCrypt. Jaki suffiks otrzymały zaszyfrowane dane osobiste (dokumenty i inne pliki): .exx, .xyz, .zzz, .aaa, .abc, .ccc? Sprawdź wszystkie dyski, szyfratory danych jadą po wszystkich dostępnych.

 

 

Pierwsza faza usuwania:

 

1. Wejdź do konfiguracji Przywracania systemu i zaznacz Ochronę dla dysku C:. Obrazek z konfiguracji w tym temacie: KLIK.

 

2. Przez Panel sterowania odinstaluj stare wersje naruszające bezpieczeństwo: Adobe Flash Player 17 ActiveX, Java 7 Update 51.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\39C0.lnk [2015-03-10]
Startup: C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8F60.lnk [2015-03-10]
HKU\S-1-5-21-1320927441-3038179963-326650102-1000\...\Run: [Epsbtion] => regsvr32.exe C:\Users\Michal\AppData\Local\Epsbtion\kdmnimbc.dll 
HKU\S-1-5-21-1320927441-3038179963-326650102-1000\...\Run: [usnpmedia] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Michal\AppData\Local\Odkics\mtkhomvj.dll
HKLM-x32\...\Run: [etcfg] => C
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
IE Session Restore: HKU\S-1-5-21-1320927441-3038179963-326650102-1000 -> - funkcja włączona.
Task: {1BC8AB68-DBC3-439F-8D6D-33CF31AD62AE} - System32\Tasks\{7097DD7F-5C59-4CA5-95DC-B637060D4123} => pcalua.exe -a "D:\Gry\The Vanishing of Ethan Carter\Binaries\Launcher.exe" -d "D:\Gry\The Vanishing of Ethan Carter\Binaries"
Task: {20BC3D1D-6951-4976-BAE4-491DBD9CE2B3} - System32\Tasks\{02ED49F6-A749-46FB-94DE-5AD643E0B1EB} => pcalua.exe -a "D:\Forum france\ALCATEL_ADB_RNDIS_Driver for MTK SP 2013_03_29\ALCATEL_ADB_RNDIS_Driver2013_03_29\install.exe" -d "D:\Forum france\ALCATEL_ADB_RNDIS_Driver for MTK SP 2013_03_29\ALCATEL_ADB_RNDIS_Driver2013_03_29"
Task: {403BD8AC-A754-4834-891C-CDD2625134FF} - System32\Tasks\{D4D33C9B-E016-4FC8-9ACD-70AF01FE5C3E} => pcalua.exe -a "D:\Gry\Sacred 3\_CommonRedist\vcredist\2008\vcredist_x64.exe" -d "D:\Gry\Sacred 3\_CommonRedist\vcredist\2008"
Task: {9FEB6817-DD0C-47F0-B7D2-0EF0349EF502} - System32\Tasks\{87405FE9-3886-45BC-9BF9-234EE4B8EED0} => pcalua.exe -a "C:\Program Files\GRAPHISOFT\ArchiCAD 18\Uninstall.AC\uninstaller.exe"
Task: {F71E5BB7-A8C0-4C7A-A93E-5C3295A36B01} - \Origin -> Brak pliku 
C:\Program Files (x86)\DAEMON Tools Lite
C:\ProgramData\{6a960249-18be-785d-6a96-6024918b0924}
C:\ProgramData\{8834ed44-aca7-ee74-8834-4ed44acab512}
C:\ProgramData\7824b102000003cf
C:\ProgramData\DAEMON Tools Lite
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Contrast PL
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Techland
C:\ProgramData\Orbit
C:\Users\Michal\AppData\Local\Epsbtion
C:\Users\Michal\AppData\Local\Odkics
C:\Users\Michal\AppData\LocalLow\{7BBDBDC4-2F16-40DC-B488-B909DFF47F1D}
C:\Users\Michal\AppData\LocalLow\{A760A828-6D5A-40B5-8B98-C65733BDABF2}
C:\Users\Michal\AppData\LocalLow\{D5A090E3-0AED-447E-852A-1AE89D63AA2A}
C:\Users\Michal\AppData\Roaming\g78rfdsafhi
C:\Users\Michal\AppData\Roaming\DAEMON Tools Lite
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
CMD: netsh advfirewall reset
CMD: attrib -h -s C:\HOWTO_RESTORE_FILES_* /s
CMD: attrib -h -s D:\HOWTO_RESTORE_FILES_* /s
CMD: attrib -h -s F:\HOWTO_RESTORE_FILES_* /s
CMD: del /q /s C:\HOWTO_RESTORE_FILES_*
CMD: del /q /s D:\HOWTO_RESTORE_FILES_*
CMD: del /q /s F:\HOWTO_RESTORE_FILES_*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik fixlog, ze względu na zadaną komendę rekursywnego usuwania plików HOWTO_RESTORE_FILES_* z wszystkich dysków, może być przeogromny. W przypadku jeśli nie zmieści się w załącznikach, spakuj go do zip i shostuj gdzieś podając link.

[lookki]

Co do sufiksu to zauważyłem w kilku miejscach pliki .txt.ccc (patrz zdjęcie 5 oraz 6). Więcej dziwnych  rozszerzeń nie widzę. Po wykonaniu 4 kroków załączam również logi FRST. Fixlog można pobrać stąd: http://speedy.sh/EvPy4/Fixlog.txt

FRST.txt

[picasso]

Usuwanie przeprowadzone pomyślnie. Zanim przejdziemy do czynności końcowych:

 

 

Co do sufiksu to zauważyłem w kilku miejscach pliki .txt.ccc (patrz zdjęcie 5 oraz 6).

To niestety jeden z najnowszych wariantów TeslaCrypt, którego nie może odkodować TeslaDecoder. Choć na wszelki wypadek sprawdź co mówi dekoder. "Kilku miejscach" = szyfrowanie powinno wystąpić w bardzo wielu miejscach na wszystkich dyskach. Jeśli chodzi o dysk C, to przedstaw gdzie konkretnie utworzyły się zaszyfrowane pliki.

 

Uruchom FRST, w polu Szukaj wklej:

 

*.ccc

 

Klik w Szukaj plików. Wynikowy log może być ogromny, więc ponownie wykorzystaj hosting a nie załączniki.

[lookki]

TeslaDecoder już na starcie wyświetla mi pewien komunikat i nie wiem co czy coś mam tam robić (zdjęcie 1). FRST plik Search pod linkiem: http://speedy.sh/2KbpC/Search.txt

[picasso]

Komunikaty TeslaDecoder są zgodne z przypuszczeniami - program nie może odkodować plików tej wersji TeslaCrypt. A jeśli chodzi o kontynuację sprzątania dysków, to potrzebuję więcej czasu na przejrzenie ogromnych wyników z dwóch plików Fixlog.

[lookki]

Co do sprzątania dysków rozumiem, że to wymaga wiele pracy i czasu, więc cierpliwie czekam. W końcu Pani poświęca swój czas na pomoc w zwalczeniu tego "ustrojstwa".

[spawciu]

... W końcu Pani/Pan poświęca swój czas na pomoc w zwalczeniu tego "ustrojstwa".

 

Kliknij w nick picasso - kobieta.

[picasso]

Zostały zaszyfrowane pliki w następujących ścieżkach (licząc też "w dół"):

 

 

 

 

C:\Program Files\Autodesk

C:\ProgramData\Autodesk

C:\ProgramData\AMD

C:\ProgramData\DSS

C:\ProgramData\Solidshield

C:\ProgramData\Steam

C:\Saves\SKiDROW

C:\Users\Michal\.thumbnails

C:\Users\Michal\Graphisoft

C:\Users\Michal\AppData\Local\AMD

C:\Users\Michal\AppData\Local\Autodesk

C:\Users\Michal\AppData\Local\EA Games

C:\Users\Michal\AppData\Local\IsolatedStorage

C:\Users\Michal\AppData\Local\Microsoft\Device Metadata

C:\Users\Michal\AppData\Local\Microsoft\Device Stage

C:\Users\Michal\AppData\Local\Microsoft\Internet Explorer\Tiles

C:\Users\Michal\AppData\Local\Microsoft\Media Player\Pamięć podręczna grafiki

C:\Users\Michal\AppData\Local\Microsoft\Redist

C:\Users\Michal\AppData\Local\Microsoft\Windows\WER\ReportQueue

C:\Users\Michal\AppData\Local\Microsoft\Windows Mail\Stationery

C:\Users\Michal\AppData\Local\Microsoft\XLive\Content

C:\Users\Michal\AppData\Local\qBittorrent

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\Adblock Plus for IE

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\AMD

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\ASUS Xonar DX Audio

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\Autodesk\Autodesk Robot Structural Analysis Professional 2015

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\Autodesk\Autodesk Robot Structural Analysis Professional 2014

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\Autodesk\AutoCAD 2015

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\Bandizip

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\GRAPHISOFT\ArchiCAD 18

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\MAXON\CINEMA 4D R16 Student

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\MATLAB\R2009b

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\MPC-HC

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\Microsoft Office\Office14

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\Microsoft Mouse and Keyboard Center

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\NVIDIA Corporation\Installer2\installer.{AEF6AC55-72F2-4D11-9263-89D19823EBD9}

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\Rockstar Games\Social Club

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\Tracker Software\PDF Viewer\SearchProviders

C:\Users\Michal\AppData\Local\VirtualStore\Program Files\Common Files\Autodesk Shared

C:\Users\Michal\AppData\Roaming\Adobe\Flash Player

C:\Users\Michal\AppData\Roaming\Doublefine\TheCave

C:\Users\Michal\AppData\Roaming\Arrowhead

C:\Users\Michal\AppData\Roaming\Autodesk

C:\Users\Michal\AppData\Roaming\MAXON\CINEMA 4D R16 Student_9801025C

C:\Users\Michal\AppData\Roaming\MathWorks

C:\Users\Michal\AppData\Roaming\MAXON\CINEMA 4D R16 Student_9801025C

C:\Users\Michal\AppData\Roaming\Microsoft\Excel

C:\Users\Michal\AppData\Roaming\Microsoft\Windows Photo Viewer

C:\Users\Michal\AppData\Roaming\Mobile Action

C:\Users\Michal\AppData\Roaming\Petroglyph

C:\Users\Michal\AppData\Roaming\Steam

C:\Users\Michal\AppData\Roaming\Trine3

C:\Users\Michal\AppData\Roaming\uplay

C:\Users\Michal\AppData\Roaming\Wise Registry Cleaner

C:\Users\Public\Music\Sample Music

C:\Users\Public\Pictures\Sample Pictures

C:\Users\Public\Videos\Sample Videos

 

 

 

 

Najbardziej poszkodowane zdają się być programy firmy Autodesk oraz ArchiCAD. Możemy usunąć z dysku C wszystkie zaszyfrowane kopie, a określone programy z widocznymi ubytkami po prostu potem przeinstalujesz (szczególnie Autodesk). Problem jest też na inych dyskach, ale to już uporządkujesz na własną rękę. Akcje tyczące dysku C:

 

Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Michal\AppData\Local\Microsoft\Media Player\Pamięć podręczna grafiki
RemoveDirectory: C:\Users\Michal\AppData\Local\Microsoft\Windows\WER\ReportQueue
CMD: attrib -h -s C:\*.ccc /s
CMD: del /q /s C:\*.ccc

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, bo dużo plików do skasowania będzie. Powstanie kolejny fixlog.txt. Tak jak poprzednio, shostuj gdzieś i podaj link.

[lookki]

Jeszcze tak dopytam ten fix zajmie się programami Autodesk , czy muszę je przeinstalować na własną rękę (czy może chodzi o przeinstalowanie po włączeniu fixa). Program przestanie działać tak? A czy jest możliwość że zostały zaszyfrowane jakieś pliki które już wcześniej (tzn przed infekcją) wykonałem w danym programie, a są na jakimś podłączonym dysku (chyba, że infekcja dotyczy głównie dysku C)? Czy fix działa w ten sposób że usuwa pliki z danym rozszerzeniem czy po prostu przywraca domyślne (pytam, gdyż nie chciałbym przykładowo utracić jakichś rysunków, tudzież jakichś plików na których pracuję). Przyznam szczerze że cały czas używam tychże programów włącznie z Robotem, póki co nie widziałem dziwnych rozszerzeń w moich plikach i programy teoretycznie działają prawidłowo. Przepraszam, że tyle pytań zadaję, ale jestem laikiem w tych sprawach niestety. Jeśli fix wiąże się z przeinstalowaniem tychże programów, możliwe że dłuższą chwilę mi zejdzie zanim się do tego zabiorę

[picasso]

Infekcja atakuje wszystkie możliwe dyski twarde, przenośne i sieciowe, które były dostępne podczas jej wystąpienia, więc problemem nie jest tylko dysk C, ale także pozostałe obecnie widoczne w systemie oraz każdy inny który był wówczas podpięty. Zakres szkód zależy od tego jak szybko ubito infekcję i przerwano wykonujący się w tle proces szyfrowania.

Ten Fix FRST usuwa zaszyfrowanie pliki *.ccc tylko i wyłącznie z dysku C, w żaden sposób nie naprawia plików i nie zastępuje ich wersjami poprawnymi (w przeciwnym wypadku nie byłoby tu wcale problemu z zaszyfrowanymi wersjami), ani nie reperuje zdefektowanych programów. Usuwane pliki *.ccc nie działają wcale, więc operacja nie naruszy Twoich osobistych plików które są obecnie sprawne (nie mają rozszerzenia *.ccc).

Reinstalacja programów to osobna sprawa. W programach zostały zaszyfrowane takie pliki jak szablony, dokumentacja, obrazki programów, dlatego była mowa o przeinstalowaniu danej aplikacji. Te uszkodzenia nie są zbyt widoczne i mogą nie zostać wyłapane na pierwszy rzut oka. Reinstalację programów można przeprowadzić w późniejszym czasie, nie musi być to od razu.

[lookki]

Ok fixlog można pobrać stąd :

http://speedy.sh/GhZNM/Fixlog.txt

[picasso]

Skrypt usunął pliki *.ccc z dysku C:. Jak mówiłam, na własną rękę do zrobienia też porządki na pozostałych dyskach oraz ewentualne reinstalacje programów w przypadku jawnego wykracia jakiś braków. Kończymy temat:

 

1. Skasuj pobrane narzędzia i ich logi z folderu D:\Instalki\Cryptolocker 12.10.2015\Nowy folder oraz podobnych. Następnie zastosuj DelFix.

 

2. Sugeruję wyposażyć się w jeden z tych programów specjalizowanych w zabezpieczeniach przed infekcjami szyfrującymi dane: KLIK.

[lookki]

Ad. 1 Narzędzia i logi skasowane. Log z DelFix w załączniku.

Ad. 2 Te programy to coś w rodzaju antywirusa przed cryptolockerami tak?

DelFix.txt

[picasso]

Te programy to coś w rodzaju antywirusa przed cryptolockerami tak?

To nie są "antywirusy" i nie zastąpią takowych, tylko inne typy programów starające się zapobiec infekcji szyfrującej dane.

 

DelFix wykonał zadanie. Możesz usunąć z dysku plik C:\delfix.txt.

[lookki]

Ok. Usunąłem Delfix. Póki co programy Autodesk chodzą (może cryptolocker zaszyfrował mniej istotne pliki), ale pewnie w wolnym czasie je przeinstaluje.

[picasso]

Jak mówiłam, infekcja szyfrowała tylko określone pliki Autodesk, głównie szablony i dokmentację, co sprowadza się do tego, że sam program per se będzie działał, a jakiś brak ujawni się tylko w szczególnych zadaniach z wykorzystaniem np. tych szablonów.

[picasso]

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor.

 

* Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.