Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Crypt0L0cker - Zaszyfrowane pliki .encrypted

3MOON

Przez 3MOON
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

3MOON

3MOON

Opublikowano
Opublikowano

Witam

 

Mam prośbę o sprawdzenie, który to gad. Przedstawia się jak na obrazku a do nazw plików dopisuje .encrypted. Proszę również o pomoc w usunięciu aktywnej infekcji - chciałbym skopiować zaszyfrowane dane bez ryzyka przeniesienia wirusa na nośnik zewnętrzny (może kiedyś znajdzie się sposób na odszyfrowanie)...

Nie wiem co z GMERem. Po dość długim skanie wygenerował niewiele. Nie wiem o co chodzi...

 

PS z tego co widzę jest to coraz częstsza historia. Rozumiem, że taki system jak ten w logach aż się prosi o lanie ale może ma ktoś dobry sposób na prewencję? 

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

post-135-0-44980000-1465485008_thumb.jpg

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Tak, system prosi się o lanie: niewspierana platforma XP i to bez aktualizacji (SP2!!!!) oraz krytyczne wersje produktów Adobe i Java zainstalowane (typowa droga infekcji szyfrujących)...

 

To nie infekcja CryptoLocker tylko klon TorrentLocker. Zaszyfrowane pliki otrzymały rozszerzenie:

 

2016-06-07 09:36 - 2016-06-08 11:32 - 00037444 _____ C:\Documents and Settings\FPP\Pulpit\kupiec maj.7z.encrypted

 

Podobny temat: KLIK. Odkodowanie danych awykonalne... Nic nie jestem w stanie zrobić z danymi. Natomiast infekcja nadal aktywna, rzekomy IOBit w starcie (proces ypokakyf.exe). Działania usuwające infekcję:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\...\Run: [opcmuces] => C:\WINDOWS\ypokakyf.exe [660480 2016-06-08] (IObit )
Startup: C:\Documents and Settings\FPP\Menu Start\Programy\Autostart\siec.bat [2007-12-19] ()
S3 eapihdrv; C:\Temp\ehdrv.sys [135760 2016-05-20] (ESET)
S3 RT73; system32\DRIVERS\rt73.sys [X]
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v TaskbarNoNotification /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v HideSCAHealth /f
C:\Documents and Settings\All Users\Dane aplikacji\usyhefonigakyfem
C:\Documents and Settings\FPP\Ustawienia lokalne\Dane aplikacji\BIT6.tmp
C:\Documents and Settings\FPP\Pulpit\FPPCS7.lnk
C:\Temp\ehdrv.sys
C:\WINDOWS\ypokakyf.exe
CMD: netsh firewall reset
CMD: attrib -r -h -s C:\HOW_TO_RESTORE_FILES.* /s
CMD: del /q /s C:\HOW_Tw_RESTORE_FILES.*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Odinstaluj niebezpieczne wersje: Adobe Flash Player 10 ActiveX, Adobe Reader 9.1 - Polish, J2SE Runtime Environment 5.0, Java™ 6 Update 20.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik fixlog.txt może być ogromny, ze względu na rekursywne usuwanie plików HOW_TO_RESTORE_FILES z całego dysku C. W przypadku, gdy nie zmieści się w załącznikach, shostuj go na serwisie zewnętrznym i podaj link.

 

Na dalszą metę zalecany kompletny format dysku systemowego i wymiana systemu operacyjnego. Zaszyfrowane pliki możesz skopiować na nośnik zewnętrzny. Ale wg pliku Shortcut są skróty mapowania do udziałów zewnętrznych. Prawdopodobnie dyski sieciowe również podlegały szyfrowaniu....

Odnośnik do komentarza
3MOON

3MOON

Opublikowano
  • Autor
Opublikowano

Witam dzięki za odpowiedź

Raczej skupimy się na usunięciu aktywnej infekcji by spokojnie skopiować zaszyfrowane pliki. Potem format...

Log powstał w chwilę a mam zerowe zużycie procesora i pamięci więc chyba coś jest nie tak

czy linijka: CMD: del /q /s C:\HOW_Tw_RESTORE_FILES.* ma tak wyglądać czy jest tu literówka w nazwie usuwanego pliku?

Fixlog.txt

Odnośnik do komentarza
3MOON

3MOON

Opublikowano
  • Autor
Opublikowano

Ok niby lepiej  ale restartu nie było.

Problem posiadania tego systemu polega na potrzebie używania w nim DOSowego programu bazodanowego. Można go odpalić w xpmode (Win7) ale niestety nie jest tam możliwe uruchomienie  w trybie pełnoekranowym co jest dość kłopotliwe. Chyba, że jest jakieś rozwiązania, o którym nie wiem...

Oczywiście jak piszesz zaszyfrowane są też pliki we wszystkich udostępnionych folderach - przynajmniej do momentu, w którym zdążyłem wyciągnąć wtyczkę z sieci ;)

Fixlog.txt

FRST.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Ok niby lepiej ale restartu nie było.

Miałeś zrobić nowy skrypt zawierający tylko i wyłącznie tę jedną komendę, a nie kopiować poprzedni (wszystkie linie przed tą już zostały przetworzone i były nieaktualne). A restartu nie było, gdyż w żadnym z podejść nie wykonała się komenda EmptyTemp: i w tym przypadku literówka nie ma nic do rzeczy, nie jest wykluczone że to wina systemu.

 

 

Problem posiadania tego systemu polega na potrzebie używania w nim DOSowego programu bazodanowego. Można go odpalić w xpmode (Win7) ale niestety nie jest tam możliwe uruchomienie w trybie pełnoekranowym co jest dość kłopotliwe. Chyba, że jest jakieś rozwiązania, o którym nie wiem...

Sprawdź czy ruszy na DOSBox.

 

 

Wg najnowszego raportu FRST infekcja została usunięta, ale nie odinstalowałeś niebezpiecznych wersji Adobe i Java, które mogą doprowadzić do ponownego zainfekowania.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Drobny skrypt końcowy:

 

BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Adobe
RemoveDirectory: C:\FRST\Quarantine

 

Następnie przez SHIFT+DEL usuń folder C:\FRST oraz FRST i jego logi z folderu "Serwis" na Pulpicie. Na koniec wyczyść foldery Przywracania systemu: KLIK.

 

2. Natomiast system jest tu poważnym problemem. Coś z tym musisz zrobić. Ten XP nie ma nawet SP3, nie wspominając o masie łat wydanych po! Dodatkowo doraźnie można skorzystać z zabezpieczeń wyliczanych w przyklejonym temacie: KLIK.

 

Darmowe:

 

Anti-Exploit, Anti-Ransomware / Zabezpieczenia przed infekcjami szyfrującymi dane

Inne monitory / Anti-exe, śledzenie zachowań, HIPS* Jest powoli redukowane wparcie dla XP, m.in. ze względów czysto technicznych, nowe zabezpieczenia uniemożliwiają poprawną pracę na tym archaicznym systemie.
  • EMET 4.1 Update 1 - Ostatnia wersja kompatybilna z XP, usunięta przez Microsoft (podana postać archiwalna strony). Najnowsza linia 5.x ma już wyższe wymagania.
Odnośnik do komentarza
3MOON

3MOON

Opublikowano
  • Autor
Opublikowano

Ok dzięki

Wiem, że ten system to lipa. Zobaczę czy ten  DosBox może pomóc. Potrzeba czegoś co ustawi się raz bez konieczności ponownego klepania linijek do .bat. Czynność typu klik klik i panna zasysa program z serwera do jakiegoś emulatora. Jak napisałem XPMode się sprawdza ale nie uruchamia programów w trybie pełnoekranowym. 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...