Zaszyfrowane pliki *.ccc

[Darek80]

Witam. Mam niestety ten sam problem po skanowaniu komputera SpyHunterem z niewiadomomego pochodzenia, wszystkie moje pliki zostały zaszyfrowane. Załączam logi i BŁAGAM o pomoc, jeśli da się coś zrobić.

 

Oczywiście pierwsze moje pytanie powinno brzmieć czy mój komputer jest jeszcze zainfekowany bo nie chce podłączać do niego żadnego dysko aby przegrać przynajmniej to co zostało.

Addition_20-11-2015_06-48-47.txt

FRST_20-11-2015_06-48-47.txt

fullscanGMER.txt

quickscanGMER_.txt

[picasso]

Nazwy logów FRST wskazują, że je wyciągnąłeś z folderu C:\FRST\Logs. To archiwum. Logi bieżące są tworzone zawsze tam skąd uruchamiasz FRST, w tym przypadku C:\Users\Julka\Downloads.

 

Infekcja TeslaCrypt została nabyta przypuszczalnie przez exploit umieszczony na jakiejś stronie wykorzystujący luki w nieaktulizowanym oprogramowaniu (są takie kwiatki u Ciebie, bp. stare wtyczki Adobe) lub otworzenie szkodliwego załącznika w e-mail. SpyHunter nie jest przyczyną problemu, został zainstalowany już po fakcie w celu "rozwiązania" problemu, a to że jest to skaner wątpliwy reklamujący się jako rzekoma solucja dla tej infekcji, to inna sprawa. Tak, Twój system jest zagrożeniem, w starcie siedzi infekcja, więc podpięcie osobnego dysku będzie się równać natychmiastowemu szyfrowaniu danych. To nie jedyny problem, widać także masę innych śmieci, które jednak mają podrzędne znaczenie w kontekście szyfratora: masowe przekierowania adware, fałszywe "Google Chrome" - ghokswa Browser, wątpliwe programy typu WinThruster i YAC (Yet Another Cleaner). Infekcja wyczyciła wszystkie punkty Przywracania na zero.

 

W linkowanym temacie już wyjaśniłam kwestię zaszyfrowanych danych - plików ccc nie da się odkodować. Moja rola sprowadza się tylko do wyczyszczenia systemu z tego co się da. Podobna decyzja do podjęcia jak w linkowanym temacie:

- Czyszczę system tylko w podstawowy sposób, byś mógł skopiować określone dane na dysk zewnętrzny, następnie format dysku.

- Czyszczę system dokładnie, choć nie będę w stanie naprawić ubytków programowych, format odłożony na czas bliżej nieokreślony.

[Darek80]

Z gory dziekuję za szybką odpowiedż. Jesli bym chciał odzyskać pewne dane,  (chodzi o zdjęcia i niektóre dokumenty) to czy mogę wyczyścić system i skopiować określone rozszyfrowane pliki, nawet pofragmetowane? Czy po prostu juz na nic nie mam szans?

[picasso]

W pierwszej kolejności należy usunąć infekcję ze startu. Tak więc, mam przechodzić do tej operacji? Dopiero po tej akcji można podejmować jakiekolwiek próby z plikami na dysku. Ostatnią szansą jest tu program do odzyskiwania danych, ale szanse spadają im dłużej działa system i im więcej jest na nich operacji. Niestety w przypadku pierwszych symptomów infekcji należało natychmiast wyłączyć komputer i dostać się do systemu z zewnątrz, ale trudno się zorientować od razu że coś jest nie tak. A skopiować zaszyfrowane kopie na inny nośnik można, na wszelki wypadek gdyby kiedyś w przyszłości jednak pojawiła się solucja.

[Darek80]

Dzięki. Tak proszę usunmy to jak najszybciej. Jakie kroki powinienem zrobić najpierw.

[picasso]

Ograniczam się tylko do podstawowych ingerencji, stąd opuszczam masowe usuwanie plików "how_recover". Akcje wstępne do wykonania:

 

1. Odinstaluj SpyHunter 4, uTorrentControl2 Toolbar, WinThruster, YAC(Yet Another Cleaner!). YAC jest bardzo inwazyjny i może utrudnić operacje.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
HKU\S-1-5-21-4176386080-2144407497-1899277294-1001\...\Run: [fgdh4563] => C:\Users\Julka\AppData\Roaming\xffue-a.exe [331776 2015-11-18] ()
HKLM-x32\...\Run: [fgdh4563] => C:\Users\Julka\AppData\Roaming\xffue-a.exe [331776 2015-11-18] ()
HKLM-x32\...\Run: [] => [X]
HKLM\...\Run: [PopularScreensavers Home Page Guard 64 bit] => "C:\PROGRA~2\POPULA~2\bar\1.bin\AppIntegrator64.exe"
Startup: C:\Users\Julka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_moe.HTML [2015-11-19] ()
Startup: C:\Users\Julka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_moe.TXT [2015-11-19] ()
Task: {94C61E71-06F2-469E-88BD-298D56CAC2C7} - System32\Tasks\ghokswaBrowserUpdateUA => C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe [2015-10-20] () 
Task: {A4D461FF-94E3-42DB-A797-4DC786B93C17} - System32\Tasks\ghokswaBrowserUpdateCore => C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe [2015-10-20] () 
S2 browserServer_2015.08.27.11.31.05; C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe [362208 2015-10-20] ()
R0 pavboot; C:\Windows\System32\drivers\pavboot64.sys [33800 2009-06-30] (Panda Security, S.L.)
S3 cpuz134; \??\C:\Users\Julka\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]
S1 {90280f97-bcf9-4f01-b773-3eeda0515e95}Gw64; system32\drivers\{90280f97-bcf9-4f01-b773-3eeda0515e95}Gw64.sys [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKU\S-1-5-21-4176386080-2144407497-1899277294-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo
HKU\S-1-5-21-4176386080-2144407497-1899277294-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo
SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL =
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1441000773&from=zzgbkk123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo&q={searchTerms}
SearchScopes: HKLM-x32 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxp://startsear.ch/?aff=1&src=sp&cf=11708afd-eac7-11e0-a1b0-2c27d7a5566a&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1441000773&from=zzgbkk123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1441000773&from=zzgbkk123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL =
SearchScopes: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001 -> {d43b3890-80c7-4010-a95d-1e77b5924dc3} URL =
BHO-x32: Brak nazwy -> {b6d2ec49-14f2-c18a-896a-d4ca7857cc1a} -> Brak pliku
Toolbar: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - Brak pliku
FF NewTab: chrome://quick_start/content/index.html
FF DefaultSearchEngine: delta-homes
FF SelectedSearchEngine: delta-homes
FF Homepage: hxxp://www.delta-homes.com/?type=hp&ts=1430819501&from=wpm05053&uid=HitachiXHTS725050A9A364_110228PCK404GLH04XWJX
FF Plugin HKU\S-1-5-21-4176386080-2144407497-1899277294-1001: @lightspark.github.com/Lightspark;version=1 -> C:\Program Files (x86)\Lightspark 0.5.3-git\nplightsparkplugin.dll [brak pliku]
FF SearchPlugin: C:\Users\Julka\AppData\Roaming\Mozilla\Firefox\Profiles\yyu7xbvz.default-1413487133669\searchplugins\delta-homes.xml [2015-11-12]
FF SearchPlugin: C:\Users\Julka\AppData\Roaming\Mozilla\Firefox\Profiles\yyu7xbvz.default-1413487133669\searchplugins\_how_recover_moe.HTML [2015-11-19]
FF SearchPlugin: C:\Users\Julka\AppData\Roaming\Mozilla\Firefox\Profiles\yyu7xbvz.default-1413487133669\searchplugins\_how_recover_moe.TXT [2015-11-19]
CHR HomePage: Default -> hxxp://www.delta-homes.com/?type=hp&ts=1430819501&from=wpm05053&uid=HitachiXHTS725050A9A364_110228PCK404GLH04XWJX
CHR StartupUrls: Default -> "hxxp://www.delta-homes.com/?type=hp&ts=1430819501&from=wpm05053&uid=HitachiXHTS725050A9A364_110228PCK404GLH04XWJX"
CHR DefaultSearchURL: Default -> hxxp://search.delta-homes.com/web/?type=ds&ts=1430819501&from=wpm05053&uid=HitachiXHTS725050A9A364_110228PCK404GLH04XWJX&q={searchTerms}
CHR DefaultSearchKeyword: Default -> delta-homes
AlternateDataStreams: C:\Users\Julka\Local Settings:init
C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml
C:\Program Files (x86)\SSFK.exe
C:\Program Files (x86)\ghokswa Browser
C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
C:\ProgramData\Temp
C:\Users\Julka\xobglu16.dll
C:\Users\Julka\xobglu32.dll
C:\Users\Julka\AppData\Local\70149b02515b3bb20dd492.47983420
C:\Users\Julka\AppData\Local\8546
C:\Users\Julka\AppData\Local\Chromium
C:\Users\Julka\AppData\Local\CRE
C:\Users\Julka\AppData\Local\fabulous_09111903
C:\Users\Julka\AppData\Local\ghokswa
C:\Users\Julka\AppData\Roaming\xffue-a.exe
C:\Users\Julka\AppData\Roaming\E0F416BD-1428165423-D85B-F0AC-2C27D7A5566A
C:\Users\Julka\AppData\Roaming\Godeb
C:\Users\Julka\AppData\Roaming\Hoolapp Packages
C:\Users\Julka\AppData\Roaming\Kiehve
C:\Users\Julka\AppData\Roaming\wi_upd
C:\Users\Julka\AppData\Roaming\Xuerw
C:\Users\Julka\AppData\Roaming\Yzda
C:\Users\Julka\Downloads\File.Downloader__9581_il196.exe
C:\Users\Julka\Downloads\Spyhunter-4.5.7.3531-Key-Generator.rar.ccc
C:\Users\Julka\Downloads\SpyHunter-Installer.exe
C:\Users\Public\Documents\ghokswa
C:\Windows\System32\drivers\pavboot64.sys
CMD: for /d %f in (C:\Users\Julka\AppData\Local\{*}) do rd /s /q "%f"
Reg: reg delete HKCU\Software\Classes\ghokswaHTM /f
Reg: reg delete HKCU\Software\ghokswa /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\ghokswa /f
Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v ghokswa /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\ghokswa /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SpyHunter 4 Service" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\facemoods" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Default Manager" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh firewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition i Shortcut (poprzednio zabrakło go). Dołącz też plik fixlog.txt.

[Darek80]

Oto moje logi. Jeszcze raz dziekuje za pomoc.

Czy moge sprobowac odzyskac cos z tych plikow? Chodzi mi o kilka najwazniejszych plikow .doc. Czy mozesz zproponowac uzycie jakies programu, aby przynjamniej sprobowac czy sie uda?

Addition.txt

Fixlog.txt

Shortcut.txt

FRST.txt

[picasso]

Jeśli nikt jeszcze nie odpisał, a chcesz uzupełnić / poprawić post, stosuj funkcję Edytuj. Posty powyżej skleiłam.

 

1. Akcje pomyślnie wykonane. Infekcja nie jest już czynna. Drobne poprawki, bo ujawniły się dwa elementy tej infekcji: przejęta tapeta (to skoryguj ręcznie w opcjach Windows wybierając puste tło lub dowolny niezaszyfrowany plik) oraz jeden wpis rejestru CustomCLSID (już wybrakowany, zajmie się nim poniższy skrypt). Otwórz Notatnik i wklej w nim:

 

CustomCLSID: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\imagehlp.dll => Brak pliku 
Task: {0D33C210-6541-4279-90A7-E8304DE03D55} - System32\Tasks\ghokswaCheckTask => C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe
Task: {54029C32-FA59-426E-A835-A691C280329A} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe
Task: {949FDCBB-16EB-4EF2-92B0-4DE809AB32BC} - System32\Tasks\WinThruster => C:\Program Files (x86)\WinThruster\WinThruster.exe 
Task: {B1E88474-738F-4053-BA05-54D22F7BF69E} - System32\Tasks\WinThruster_UPDATES => C:\Program Files (x86)\WinThruster\WinThruster.exe 
Task: {FDB5E9FB-49CA-4B7D-974B-3186EC07C342} - System32\Tasks\WinThruster_DEFAULT => C:\Program Files (x86)\WinThruster\WinThruster.exe 
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentControl2 Toolbar

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

2. Jeśli chodzi o użycie programu do odzyskiwania danych, to możesz owszem spróbować, ale ciemność widzę. Proponowany program do operacji: TestDisk.

Perspektywy są słabe, gdyż system (z czynną infekcją) aktywnie działał wykonując cały czas zapisy, Ty aktywnie działałeś instalując kolejne programy, notabene znów się pojawiła kolejna instalacja McAfee Security Scan. Podstawowa zasada przy odzysku danych to natychmiast wyłączyć komputer, by zapobiec kolejnym zapisom na dysku, i zrobić surowy obraz dysku. Na to jest już cokolwiek za późno, zbyt dużo się działo. I tu jest istotna sprawa: programów do odzyskiwania danych nie wolno instalować na dysku / dyskach z których ma nastąpić odzyskiwanie danych. Obecnie to oznacza, że należy użyć jakiś nośnik USB z wersją portable danego programu lub podpiąć dyski tego systemu pod całkiem inny komputer na którym to będzie zainstalowany program do odzysku danych.

 

 

PS. Gdy będziesz na wszelki wypadek kopiował ważne zaszyfrowane pliki na nośnik zewnętrzny, to skopiuj też pliki identyfikacyjne z folderu Dokumenty:

 

C:\Users\Julka\Documents\recover_file_kpnxjvfvh.txt

C:\Users\Julka\Documents\recover_file_mpenxqpha.txt

C:\Users\Julka\Documents\recover_file_yoyadmbpn.txt

C:\Users\Julka\Documents\recover_file_wtmciimpx.txt

[Darek80]

DZIEKUJĘ, DZIĘKUJE, DZIĘKUJE. Nie spodziewałem się tak indywidulnego podejścia. 

 

P.S Jeszcze jedno pytanie. Zastanawiam się teraz jednak nad formatowaniem dysku. I mam w związku z tym pytanie.Czy moze wystarczy zainstalowac Windows 10 i nie formatatowac? Czy jednak zalecasz format.

[picasso]

P.S Jeszcze jedno pytanie. Zastanawiam się teraz jednak nad formatowaniem dysku. I mam w związku z tym pytanie.Czy moze wystarczy zainstalowac Windows 10 i nie formatatowac? Czy jednak zalecasz format.

Owszem, sugeruję format dysku C ze względu na szkody wyrządzone przez infekcję. Natomiast instalacja Windows 10 zrobiona techniką bezpośredniej aktualizacji z Windows 7 via Windows Update nie rozwiąże problemu zaszyfrowanych plików na dysku C. Tak wykonana aktualizacja zachowuje wszystkie zainstalowane programy i foldery osobiste użytkownika, więc śmietnik po szyfratorze pozostanie. Tu należy wykonać tzw. "czystą instalację" Windows 10: KLIK.

[picasso]

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor.

 

* Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.