help_your_files, how_recover i zaszyfrowane pliki

[henio]

miałem HELP_YOUR_FILES ransomware, którego (mam nadzieję) się pozbyłem przez skanowanie ADWcleaner, Anti-Malwere i HitmanPro

niestety wiele plików zostało zaszyfrowanych

czy jest jakis sposób (oprócz płacenia okupu) na ich odszyfrowanie?

[picasso]

Pliki HELP_YOUR_FILES to jest najnowsza wersja CryptoWall 4.0. Niestety odszyfrowanie danych jest awykonalne. Opis infekcji: KLIK.

 

Druga sprawa, zasady działu mówią, że należy dostarczyć obowiązkowe raporty, które udowodnią czy infekcja została dobrze wyczyszczona: KLIK.

 

PS. AdwCleaner to program do innych zadań. Nie adresuje infekcji szyfrujących.

[henio]

w załaczeniu logi ze skana

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

Uwagi w kwestii używanych narzędzi:

- Shadow Explorer nie nadaje się pod system XP i nic na nim nie robi, to program dla systemów Vista i nowszych, które mają inny bardziej zaawansowany mechanizm Przywracania systemu.

- SpyHunter to skaner z czarnej listy, naciągacz. Trzymać się z daleka od niego. Stosowałeś też wątpliwe produkty marki Paretologic.

 

Jak już powiedziałam, z zaszyfrowanymi plikami przemienionymi przez CryptoWall w takie oto "alfanumeryczne" ciągi nie da się nic zrobić:

 

2015-12-02 19:28 - 2015-12-02 19:28 - 03079072 _____ C:\Documents and Settings\slawek\Moje dokumenty\mted5.w0

2015-12-02 19:28 - 2015-12-02 19:28 - 00544688 _____ C:\Documents and Settings\slawek\Moje dokumenty\gh9wr3jb3.1v

2015-12-02 19:28 - 2015-12-02 19:28 - 00300588 _____ C:\Documents and Settings\slawek\Moje dokumenty\3o9l14uee5.2ev64

2015-12-02 19:28 - 2015-12-02 19:28 - 00054156 _____ C:\Documents and Settings\slawek\Moje dokumenty\wv3jujl.5kou9

2015-12-02 19:28 - 2015-12-02 19:28 - 00053596 _____ C:\Documents and Settings\slawek\Moje dokumenty\00pj570f32.8d6

2015-12-02 19:28 - 2015-12-02 19:28 - 00023884 _____ C:\Documents and Settings\slawek\Moje dokumenty\9txl16l6a8.946q

 

Infekcja nie jest już czynna, ale są do usunięcia pliki HELP_YOUR_FILES* z wszystkich dysków oraz inne drobne korekty.

 

1. Odinstaluj stare wersje: Java 8 Update 60, RealPlayer. Problemem jest też stary Adobe Reader XI (11.0.08) - Polish, nowsze wersje nie mają wsparcia dla XP, tę wersję którą masz co najwyżej można ręcznie zaktualizować do wersji 11.0.13 i to wszystko co się da na XP.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2015-12-03] ()
S3 GMSIPCI; \??\I:\INSTALL\GMSIPCI.SYS [X]
AlternateDataStreams: C:\Documents and Settings\slawek\Local Settings:init
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Program Files\ParetoLogic
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\HitmanPro
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\ParetoLogic
RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\7f30610
RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\7164054
RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\www.shadowexplorer.com
RemoveDirectory: C:\Documents and Settings\slawek\Ustawienia lokalne\Dane aplikacji\www.shadowexplorer.com
RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\cc3e11"
CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\a7905487f"
CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK"
CMD: del /q "C:\Documents and Settings\slawek\SendTo\Android (ALLPlayer Pilot).lnk"
CMD: del /q C:\WINDOWS\system32\Drivers\EsgScanner.sys
CMD: attrib -r -h -s C:\HELP_YOUR_FILES.* /s
CMD: attrib -r -h -s D:\HELP_YOUR_FILES.* /s
CMD: attrib -r -h -s E:\HELP_YOUR_FILES.* /s
CMD: attrib -r -h -s F:\HELP_YOUR_FILES.* /s
CMD: attrib -r -h -s G:\HELP_YOUR_FILES.* /s
CMD: attrib -r -h -s H:\HELP_YOUR_FILES.* /s
CMD: attrib -r -h -s I:\HELP_YOUR_FILES.* /s
CMD: attrib -r -h -s J:\HELP_YOUR_FILES.* /s
CMD: attrib -r -h -s K:\HELP_YOUR_FILES.* /s
CMD: del /q /s C:\HELP_YOUR_FILES.*
CMD: del /q /s D:\HELP_YOUR_FILES.*
CMD: del /q /s E:\HELP_YOUR_FILES.*
CMD: del /q /s F:\HELP_YOUR_FILES.*
CMD: del /q /s G:\HELP_YOUR_FILES.*
CMD: del /q /s H:\HELP_YOUR_FILES.*
CMD: del /q /s I:\HELP_YOUR_FILES.*
CMD: del /q /s J:\HELP_YOUR_FILES.*
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Mozilla\Firefox\Extensions /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik fixlog.txt może być przeogromny, jeżeli plików HELP_YOUR_FILES jest nadal spora ilość. Gdyby się nie zmieścił do załącznika, po prostu shostuj gdzieś log i dostarcz link.

[henio]

zrobiłem tak jak napisane, ale widzę że pliki HELP_YOUR_FILES.png pozostały

FRST.txt

Fixlog.txt

[picasso]

Skrypt FRST nie został wykonany. Otwórz plik Fixlog i porównaj formatowanie z moim postem. Wklejając do Notatnika skleiły się wszystkie linie, a przejścia do nowej linii muszą być identyczne jak w moim poście. Powtarzaj zadanie.

[henio]

skany po wykonaniu

 

Fixlog.txt

FRST.txt

[picasso]

Zadania zostały wykonane. Jeszcze poprawka na odpadkowe elementy po odinstalowaniu RealPlayer. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Real
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks
RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\Real
RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\RealNetworks
RemoveDirectory: C:\Program Files\Real
RemoveDirectory: D:\Documents and Settings\slawek\Pulpit\Stare dane programu Firefox
CMD: del /q C:\WINDOWS\Tasks\Real*.job

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe logi FRST nie są mi potrzebne.

[henio]

zrobione

Fixlog.txt

[picasso]

Na koniec:

 

1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

2. Sugerowane dodatkowe zabezpieczenia specjalizowane pod kątem infekcji szyfrujących dane: KLIK.

[henio]

tym razem how_recover

działanie brutalnie przerwane twardym resetem. restart w trybie awaryjnym i skanowanie Anti-Malware, który wykruł i pousuwał pewne zagrożenia

niektóre podejrzane pliki pokasowane manualnie

infekcja chyba nie jest aktywna bo dysk nie mieli

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt.txt

[picasso]

To jest ciągle ten sam komputer, tematy sklejam razem. I jest wysoce niepokojące, że nastąpił drugi nalot infekcji szyfrującej. Coś jest nieszczelne lub popełniono identyczny błąd jak wcześniej.

 

Tym razem infekcja TeslaCrypt i zaszyfrowane kopie plików z rozszerzeniem .vvv. Owszem, infekcja nie jest już aktywna, ale nadal są ślady po jej pobycie, zarówno w rejestrze, jak i na dysku. Przeprowadź następujące operacje:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] 
HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Run: [browserMe] => C:\Documents and Settings\slawek\Dane aplikacji\BrowserMe\ChromeUpdate.exe
HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Run: [a09b6bddd0] => C:\Documents and Settings\slawek\Dane aplikacji\a09b6bddd0\c09ec.exe
HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Policies\Explorer: [TaskbarNoNotification] 1
HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Policies\Explorer: [HideSCAHealth] 1
RemoveDirectory: C:\Documents and Settings\slawek\Ustawienia lokalne\Dane aplikacji\ycev
CMD: del /q C:\DelFix.txt.vvv
CMD: attrib -h "C:\Documents and Settings\All Users\*.exe"
CMD: attrib -h "C:\Documents and Settings\All Users\Dane aplikacji\@system3.att"
CMD: del /q "C:\Documents and Settings\All Users\*.exe"
CMD: del /q "C:\Documents and Settings\All Users\Dane aplikacji\@system3.att"
CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\wpulog.txt"
CMD: attrib -r -h -s C:\how_recover* /s
CMD: attrib -r -h -s D:\how_recover* /s
CMD: attrib -r -h -s E:\how_recover* /s
CMD: attrib -r -h -s F:\how_recover* /s
CMD: attrib -r -h -s G:\how_recover* /s
CMD: attrib -r -h -s H:\how_recover* /s
CMD: attrib -r -h -s I:\how_recover* /s
CMD: attrib -r -h -s J:\how_recover* /s
CMD: attrib -r -h -s K:\how_recover* /s
CMD: del /q /s C:\how_recover*
CMD: del /q /s D:\how_recover*
CMD: del /q /s E:\how_recover*
CMD: del /q /s F:\how_recover*
CMD: del /q /s G:\how_recover*
CMD: del /q /s H:\how_recover*
CMD: del /q /s I:\how_recover*
CMD: del /q /s J:\how_recover*
CMD: del /q /s K:\how_recover*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt - jeśli za duży do załącznika, shostuj gdzieś i podaj link. I opisz co to za komputer, czy podlega jakiejś sieci, co robiono w obu przypadkach wystąpienia infekcji.

[henio]

komputer nie jest w sieci

ten sam system na 2 dyskach, infekcja 2x przy starcie systemu z tego samego dysku

infekcje pociagniete z neta podejrzewam strone imagetwist.com (miał być plik jpg)

w obu przypadkach infekcji komputer zresetowany na twardo- mam jeden dysk ata, który strasznie mielił w trakcie szyfrowania plików.

pierwszym razem (późny, po około 1,5 godziny) restart w normalnym trybie, skan adware, a dnia następnego zauważone zmiany w plikach (zaszyfrowane) i skan Anti-Malware i HitManpro

drugim razem, restart w trybie awaryjnym (dość szybko, po kilku minutach), skan Anti-Malware i manulane kasowanie niektórych (głównie exe i unnych z czasem utworzenia około infekcji) plików w documents and settings

za drugim razem zaczęły również wyskakiwać jakieś komunikaty (chyba 2 lub 3), że coś się dzieje (jakieś pliki exe startują) 

 

w załączeniu pliki

Fixlog.txt

FRST.txt

[picasso]

Znowu miałeś problem z poprawnym przeklejeniem zawartości skryptu z posta do Notatnika, sklejone linie, wiele zadań się nie wykonało. Powtarzaj skrypt o takiej postaci, przejścia do nowej linii mają być identyczne w Notatniku:

 

RemoveDirectory: C:\Documents and Settings\slawek\Ustawienia lokalne\Dane aplikacji\ycev
CMD: attrib -s -h "C:\Documents and Settings\All Users\*.exe"
CMD: del /q "C:\Documents and Settings\All Users\*.exe"
CMD: del /q C:\DelFix.txt.vvv
CMD: del /q C:\WINDOWS\mru.dat
CMD: attrib -r -h -s C:\how_recover* /s
CMD: attrib -r -h -s D:\how_recover* /s
CMD: attrib -r -h -s E:\how_recover* /s
CMD: attrib -r -h -s F:\how_recover* /s
CMD: attrib -r -h -s G:\how_recover* /s
CMD: attrib -r -h -s H:\how_recover* /s
CMD: attrib -r -h -s I:\how_recover* /s
CMD: attrib -r -h -s J:\how_recover* /s
CMD: attrib -r -h -s K:\how_recover* /s
CMD: del /q /s C:\how_recover*
CMD: del /q /s D:\how_recover*
CMD: del /q /s E:\how_recover*
CMD: del /q /s F:\how_recover*
CMD: del /q /s G:\how_recover*
CMD: del /q /s H:\how_recover*
CMD: del /q /s I:\how_recover*
CMD: del /q /s J:\how_recover*
CMD: del /q /s K:\how_recover*
EmptyTemp:

 

Dostarcz wynikowy fixlog.txt. Powinien być ogromny.

[henio]

tekst wkleja mi w notatnik w jednej lini, stąd moja 'pomyłka'

Fixlog.txt

FRST.txt

[picasso]

Skrypt wykonany. Te same kroki końcowe z DelFix do wykonania co poprzednio. Na dysku w katalogu "Moje dokumenty" są też zaszyfrowane śmieci, to już samodzielnie posprzątaj. Sugeruję jednak zrobić format dysku.

 

I teraz kwestia zabezpieczeń:

- Wtyczki Adobe Flash do aktualizacji. Poza tym, zaktualizowałeś już wprawdzie Adobe Reader, ale czy on naprawdę jest tu potrzebny?

- Podawałam programy specjalizowane w zabezpieczeniach przed szyfratorami. Na dysku widać tylko pobrany CryptoMonitor, ale nie zainstalowany. Czy były jakieś przeszkody? Jeśli ta aplikacja stwarza problemy, to skorzystaj z CryptoPrevent.

- Brak także jakiegokolwiek antywirusa. Dobierz z czołówki (nie z niszy) dowolnego darmowego lub komercyjnego, który Ci się podoba.

[picasso]

W temacie wystąpiło aż podwójne szyfrowanie CryptoWall > TeslaCrypt, więc tu raczej nic nie zdziałamy. Na wszelki wypadek jednak podaję informację:

 

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor.

 

* Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.