Skocz do zawartości
eric

Wirus zablokował .jpg .pdf .mp3 .word .excel

Rekomendowane odpowiedzi

Witam

 

Ściągnąłem z netu jakieś zdjęcie i stało się...pojawił się czerwony tekst na pulpicie (sam napis) o zaszyfrowaniu komp,dysków itd ale na szczęście tylko są zaszyfrowane jpg/pdf  z pulpitu a także poczta (skrót)itd.Finalnie nie mogę otworzyć dok.tylko na pulpicie i zdjęć oraz tych zdjęć i plików z katalogu do którego skopiowałem feralne zdjęcie.

Zrobiłem skanowanie Malwarebytes,Norton Power Eraser,Kaspersky rescue disk,Highjackthis,natomiast Combofix nie działa bo mam win 8.1...?;(

 

Wszystkie programy poznajdowały różne rzeczy i je pousuwały natomiast pliki o których wspomniałem dalej nie da się ich otworzyć i tylko w tych dwóch lokalizacjach-pulpit i dysk niesystemowy w 1 katalogu,poczta dalej nie działa.Nazwa tego pliku,który się załadował to einfo...natomiast nie zainstalował sie ten plik.

 

Zrobiłem również przywracanie systemu sprzed pobrania feralnego zdjęcia ale dalej to samo-pliki i poczta nie da sie otworzyć.

 

Addition.txt FRST.txt Shortcut.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Opis wskazuje, że doszło do infekcji szyfrującej dane. I prawdopodobnie odszyfrowanie plików awykonalne (czyli utrata danych), skanery nie pomogą odszyfrować plików (mogą jedynie usunąć infekcję która do tego doprowadziła). Jest tu za mało danych, jest multum takich infekcji i muszę wiedzieć o którą chodzi. Proszę o raporty z FRST i GMER.

 

PS. Tak, ComboFix nie działa na nowszych systemach niż pierwsza wersja Windows 8. I tak nic by tu nie wskórał.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Dodałeś logi. W logu następujące elementy:

 

2016-09-24 04:04 - 2016-09-24 10:20 - 00000328 _____ C:\Users\sm\Downloads\Files encrypted.txt
2016-09-24 02:25 - 2016-09-24 04:03 - 00000020 _____ C:\Users\sm\Documents\uid.txt
2016-09-24 02:25 - 2016-09-24 04:03 - 00000020 _____ C:\Users\sm\AppData\Roaming\uid.txt
2016-09-24 02:25 - 2016-09-24 04:03 - 00000020 _____ C:\ProgramData\uid.txt

 

To Unblockupc Ransomware i obecnie nie ma szans na odkodowanie plików: KLIK. Punkty Przywracania odpadają, używałeś najstarszy dostępny, który najwyraźniej został utworzony już po ataku infekcji. Poza tym, jest tu masa dysków / partycji i zapewne każdy z nich podlegał szyfrowaniu, a Przywracanie systemu domyślnie chroni tylko dysk systemowy, więc ta metoda i tak nie ma tu zastosowania. Jedyne więc co możesz zrobić, to skorzystać z programów do odzyskiwania danych, ale czarno to widzę. Dysk cały czas był na chodzie, liczne zapisy (w tym Przywracanie systemu), co sukcesywnie obniża zdolność odzysku poprzednich wersji. Poza tym, nie jest do końca znana natura infekcji, jeśli wymazuje dane w tzw. "bezpieczny sposób", to nawet odzysk tą metodą odpada.

 

Jedyne czym jestem się w stanie zająć, to doczyszczenie śmieci w logu i nic więcej. Decyduj co robimy.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Punkt przywracania jest sprzed bo 21.09 a zdjęcie/infekcja/wirus jest z wczoraj...dostęp do dysków mam i otwieram wszystkie katalogi i wszystkie zdjęcia oprócz katalogu do którego skopiowałem tego wirusa a także z pulpitu nie otwierają się zdjęcia,dok,i poczta...możemy ew.spróbowac TeamViewer...lub cokolwiek co polecisz ;)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Cytat

Punkt przywracania jest sprzed bo 21.09 a zdjęcie/infekcja/wirus jest z wczoraj...

 

Wg FRST nie ma takiego punktu Przywracania w systemie, najstarszy punkt jest datowany na 24:

 

==================== Punkty Przywracania systemu =========================

24-09-2016 04:00:13 Operacja przywracania
24-09-2016 20:09:56 Norton_Power_Eraser_20160924200956449
24-09-2016 20:14:10 Operacja przywracania
25-09-2016 12:51:52 Norton_Power_Eraser_20160925125151644

 

Cytat

dostęp do dysków mam i otwieram wszystkie katalogi i wszystkie zdjęcia oprócz katalogu do którego skopiowałem tego wirusa a także z pulpitu nie otwierają się zdjęcia,dok,i poczta...możemy ew.spróbowac TeamViewer...lub cokolwiek co polecisz

 

Jak mówię, nie ma sposobu na odkodowanie plików. Jedyne co Ci zostaje, to próba użycia programu do odzyskiwania danych. Szanse są marne, bo dysk podlegał zapisom.

 

A czyszczenie systemu ze śmieci to sprawa podrzędna.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

robiłem w sobotę przywracanie systemu z 21.09 ale później zrobiłem kolejne i widzę,że z datą 24.09 teraz mi pokazuje...a komunikat jaki mi pozostawia ten wirus jako .txt na każdym dysku z tego pliku encrypted jest  taki:

 

You used to download illegal
files from the internet.
Now all of your private files
has been locked and encrypted!

To unblock them visit one
of these websites:
hxxp://unblockupc.xyz
hxxp://unblockupc.in
hxxp://moscovravir.ru
hxxp://********************
hxxp://********************
hxxp://unblockupc.club

 Your UID: ***************


dodatkowo zapuściłem teraz gmer...ale mięli jeszcze

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Skoro wcześniej był jednak starszy punkt Przywracania, a nie pomógł, nie jest wykluczone że zaszyfrowane dane po prostu nie były w nim uwzględnione lub infekcja wykonała jakąś manipulację uniemożliwiającą ten rodzaj operacji. Nic więcej tu nie da się obecnie wymyślić, jedynie próba z programem do odzyskiwania danych. Jeśli to zawiedzie, zachować zaszyfrowane pliki w nadziei, że w przyszłości pojawi się dekoder. Na razie zero szans na dekoder, ta infekcja jest świeża i nawet jej mechanizm nie jest obecnie w pełni znany.

 

Tak, wiem co Ci się pokazuje. Te notatki ransom nie są szkodliwe same w sobie i można je usunąć. W linku który podałam autor serwisu Ransomware ID już wstawił do niego dane o tej infekcji, czyli przypuszczalnie RansomNoteCleaner obsługuje już usuwanie notatek tej infekcji.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Pytanie czy moge korzystac z tego komp.nadal i czy moge się z niego logować na inne portale/pocztę/itp...?Bo juz zauważyłem,że inne foldery mam zainfekowane i w każdym pojawia się ta notatka...

podsyłam skan z gmer:

 

GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2016-09-25 17:52:54
Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 GOODRAM_C40 rev.S8FM08.0 223,57GB
Running: rup650n9.exe; Driver: C:\Users\sm\AppData\Local\Temp\pxrdqpow.sys

---- Threads - GMER 2.2 ----

Thread C:\Windows\system32\csrss.exe [580:588] fffff960009542d0
Thread C:\Windows\Explorer.EXE [1728:2092] 00007ffb70b0e630
Thread C:\Windows\Explorer.EXE [1728:4472] 00007ffb82e5e630

---- Registry - GMER 2.2 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\RNG@RNGAuxiliarySeed -354047115

---- Files - GMER 2.2 ----

File C:\Users\sm\AppData\Local\Mozilla\Firefox\Profiles\4qxxra7c.default-1439284011294\cache2\entries\98C49A666C7B4C086D8CAD3C590B13A9FA20101D 1177 bytes

---- EOF - GMER 2.2 ----


I jeszcze jedno pytanie -a jak mam 2 systemy postawione to na drugim te dyski będą do odczytu czy nie?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Cytat

Pytanie czy moge korzystac z tego komp.nadal i czy moge się z niego logować na inne portale/pocztę/itp...?Bo juz zauważyłem,że inne foldery mam zainfekowane i w każdym pojawia się ta notatka...

 

Wg raportów FRST i GMER nie ma wpisów startowych i procesów infekcji, robiłeś zresztą Przywracanie systemu które cofnęło zmiany (lub infekcja ukończyła zadanie i samoczynnie się skasowała). Notatki ransom powinny być na wszystkich dyskach w większości folderów i dokładnie tego się spodziewałam mówiąc o obecności wielu dysków, a dziwić tu może że masz tylko częściowo zaszyfrowane dane w obrębie jednego folderu a nie wszędzie. To standardowe zachowanie takich infekcji - wstawiają komunikaty o opłatach za odkodowanie plików w ogromnej ilości miejsc, tam gdzie próbowały szyfrować dane. Po to powstał program RansomNoteCleaner, by masowo je usunąć.

 

 

Cytat

I jeszcze jedno pytanie -a jak mam 2 systemy postawione to na drugim te dyski będą do odczytu czy nie?

 

Co masz na myśli? Ten rodzaj infekcji próbuje szyfrować dane na każdym dostępnym dysku lokalnym i sieciowym, więc może być coś tam namieszane. Czy na pewno dane na innych dyskach są nienaruszone?

 

 

 

1. Doraźnie możesz doczyścić te śmieci o których mówiłam (odpadki adware, wpisy puste i lokalizacje tymczasowe). Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Zip: C:\ProgramData\encfiles.log;C:\Users\sm\Documents\uid.txt;C:\Users\sm\Downloads\Files encrypted.txt
GroupPolicyScripts-x32: Ograniczenia <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\...\Winlogon: [Userinit] C:\Windows\SysWOW64\userinit.exe,
U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [28272 2016-09-25] ()
S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X]
S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X]
MSCONFIG\Services: HitmanProScheduler => 2
MSCONFIG\Services: Nimzap => 2
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku
Task: {056795F2-CF65-4221-B486-5221608A113D} - System32\Tasks\Informacje o aplikacji 1.56.4 => C:\Users\sm\AppData\Local\Informacjeo\cscapi.exe
Task: {3F9F910B-A3CA-4608-B9CE-AFD127823FE9} - System32\Tasks\{B2CB4621-D84A-4218-B576-8814C159E8B8} => pcalua.exe -a E:\PROGRAMY\Sterowniki\Sterowniki-klawiatura+mysz\g9\setpoint510_g9.exe -d E:\PROGRAMY\Sterowniki\Sterowniki-klawiatura+mysz\g9
Task: {7F3C904B-B841-4A04-AFD3-548B414F335E} - System32\Tasks\{C7CA1648-059C-46E7-BC6C-5320B3FC5030} => pcalua.exe -a "K:\Program files\cod4\pb\pbsetup.exe" -d "K:\Program files\cod4\pb"
Task: C:\Windows\Tasks\DailyJive.job => c:\programdata\{2292c750-c4bc-3ec0-2292-2c750c4b1d43}\setup.exe <==== UWAGA
Task: C:\Windows\Tasks\EasyDrag.job => c:\programdata\{62300322-db80-0674-6230-00322db80c8b}\frank 2014 movie soundtrack 320kbps.exe <==== UWAGA
Task: C:\Windows\Tasks\TruFilters.job => c:\programdata\{8b86d72e-7d33-680b-8b86-6d72e7d35cb9}\sevensetup.exe <==== UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKU\S-1-5-21-3889843123-173433419-3160748714-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm
HKU\S-1-5-21-3889843123-173433419-3160748714-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms}
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
SearchScopes: HKU\S-1-5-21-3889843123-173433419-3160748714-1001 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
SearchScopes: HKU\S-1-5-21-3889843123-173433419-3160748714-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
SearchScopes: HKU\S-1-5-21-3889843123-173433419-3160748714-1001 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions
C:\Program Files\Reimage
C:\ProgramData\uid.txt
C:\ProgramData\Kaspersky Lab Setup Files
C:\ProgramData\RogueKiller
C:\ProgramData\Norton
C:\Users\sm\AppData\Local\Temp.dat
C:\Users\sm\AppData\Local\NPE
C:\Users\sm\AppData\Roaming\fvVDTAjCtH
C:\Users\sm\AppData\Roaming\uid.txt
C:\Users\sm\AppData\Roaming\Opera Software
C:\Users\sm\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk
C:\Users\sm\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK
C:\Users\sm\AppData\Roaming\Microsoft\Windows\SendTo\The Bat!.LNK
C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The Bat!.LNK
C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\uTorrent.lnk
C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\sub2divx332
C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\sub2divx332_videoaudio.pl
C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks
C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\xln-online-installer-win
C:\Users\sm\Desktop\RogueKiller-39028-dp.exe
C:\Users\sm\Downloads\Files encrypted.txt
C:\Users\sm\Documents\uid.txt
C:\Windows\Reimage.ini
C:\Windows\system32\Drivers\TrueSight.sys
CMD: ipconfig /flushdns
CMD: netsh advfirewwall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

Na Pulpicie powstał też plik Upload.zip. Shostuj gdzieś i wyślij mi na PW link.

 

2. Nabite notatki ransom możesz spróbować usunąć za pomocą RansomNoteCleaner (należy wybrać typ infekcji i wskazać, by czyszczenie odbyło się z całości dysku).

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Mam 2 systemy-pierwszy  win 8.1 a drugi XP-generalnie korzystam z win 8.1 ale zawsze mogę wybrac xp jakby co... ;)?

 

ps.Jednak zmiany zachodzą jak tylko odpalę jakiś katalog i jakiś plik i po ponownym uruchomieniu komp...

 

Fixlog.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Skrypt FRST uruchomiłeś dwa razy (to skrypt jednorazowego użytku i nie zrobi ponownie tego samego) i było to niepożądane (nadpisałeś plik Upload.zip i skopiował się tylko jeden plik). W każdym razie wygląda na to, że plik C:\ProgramData\encfiles.log trzyma listę wszystkich plików, które podlegały szyfrowaniu. Jest tam ogromna ilość ścieżek z innych dysków, np. I: czy K:... Otwórz ten plik i sprawdź wszystkie ścieżki tam wyliczane czy w tych miejscach są zaszyfrowane dane. Jeśli tak, zakres szkód jest obszerniejszy niż to raportowałeś.

 

 

Cytat

Mam 2 systemy-pierwszy win 8.1 a drugi XP-generalnie korzystam z win 8.1 ale zawsze mogę wybrac xp jakby co... ;)?

 

Jeśli chodzi o sam fakt przestawiania który system startuje, to nie widzę problemu.

 

 

Cytat

Jednak zmiany zachodzą jak tylko odpalę jakiś katalog i jakiś plik i po ponownym uruchomieniu komp...

 

Co masz na myśli? Jakie zmiany?

 

 

PS. I proszę już odpowiadaj w nowym poście.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Tak uruchomiłem dwa razy ponieważ jakoś zwiesił się,za drugim razem trwało to 1 min a wczesniej czekałem z pół godz.i stał w miejscu...

 

W tym pliku C:\ProgramData\encfiles.log znalazłem taką ilość rzeczy ,że raczej szkoda gadać-cały komp.jest zainfekowany/zaszyfrowany-nie mogę odpalić jakiegokolwiek zdjęcia ani muzyki...jedynie tylko w katalogach,w których jeszcze nie zajrzałem ani razu moge to zrobić ale po ponownym restarcie już lipa...;(((

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Czyli twierdzisz, że dane są cały czas szyfrowane? Poproszę o nowe raporty FRST i GMER - raporty zrób z obu systemów, z Windows 8.1 i Windows XP.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Chodzi o uruchomienie skanów FRST i GMER z poziomu każdego systemu po kolei będąc zalogowanym w danym systemie. FRST nie skanuje innych dysków niż bieżący systemu.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Windows 8.1

 

Nie widzę nic nowego w raportach, nie widzę też by powstały jakieś nowe elementy na dysku. Hmmm... twierdzisz, że z poziomu tego systemu zaglądasz do katalogu który nigdy nie był odwiedzany i pliki działają > restart i pliki już nie działają. Czy tak? To by oznaczało, że infekcja jest aktywna, tylko nie wiem w jaki sposób, bo w logach nic nie widać...

 

Spakuj folder C:\FRST\Hives do ZIP, shostuj gdzieś i wyślij mi link do pliku na PW.

 

 

Windows XP

 

W tym systemie jest infekcja, ale wygląda na infekcję innego typu (nie od szyfratora danych), która siedzi bardzo długo (od zeszłego roku)... W starcie fałszywy "Windows Updater". Usuwanie:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicyScripts: Ograniczenia <======= UWAGA
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Windows Updater.lnk [2015-01-10]
C:\Program Files\Windows Updater
C:\Documents and Settings\Administrator\Menu Start\Programy\The Bat!.LNK
C:\Documents and Settings\Administrator\Pulpit\The Bat!.LNK
C:\Documents and Settings\Administrator\SendTo\The Bat!.LNK
DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Ok wieczorem wyślę po pracy ok.22.00 dopiero...w XP nie zaglądałem na dyski bo trochę pękałem...;(

 

 

pytanie-czy kopia z XP uratowałaby sytuację gdyby się okazało dzisiaj,że pliki/dyski nie są zainfekowane/zaszyfrowane...?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Dorzucam pliki z XP:

 

Na XP jpg.niedostępne...,mp3 to samo,pdf+office też nic!!!Nie wiem czy dam radę psychicznie z tym wszystkim...;(((

Nie wiem czy to coś zmieni ale gry chodzą... ;)ale cała reszta do bani ;(

 

Fixlog.txt FRST.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Analiza rejestru w toku i na razie nic nie widzę. Chcę się upewnić na 100%:

 

 

Cytat

W tym pliku :C:\ProgramData\encfiles.log znalazłem taką ilość rzeczy ,że raczej szkoda gadać-cały komp.jest zainfekowany/zaszyfrowany-nie mogę odpalić jakiegokolwiek zdjęcia ani muzyki...jedynie tylko w katalogach,w których jeszcze nie zajrzałem ani razu moge to zrobić ale po ponownym restarcie już lipa...;(((

 

Czyli dany plik nie był zaszyfrowany podczas pierwszego wejścia do katalogu, ale po restarcie systemu przestał się otwierać? Czy na pewno? Czy na pewno te dane nie były już zaszyfrowane i po prostu wyszło to na jaw przy dokładniejszym sprawdzaniu?

 

 

Cytat

Na XP jpg.niedostępne...,mp3 to samo,pdf+office też nic!!!Nie wiem czy dam radę psychicznie z tym wszystkim...;(((

 

Pliki są zaszyfrowane i ich stan nie zmieni się gdy będą przeglądane z poziomu innego systemu. Szyfrowanie jest niezależne od systemu operacyjnego i jest nie do obejścia.

 

 

Cytat

Nie wiem czy to coś zmieni ale gry chodzą... ;)ale cała reszta do bani ;(

 

Infekcja szyfruje tylko określone rozszerzenia plików, dlatego programy mogą działać.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Czyli dany plik nie był zaszyfrowany podczas pierwszego wejścia do katalogu, ale po restarcie systemu przestał się otwierać? Czy na pewno? Czy na pewno te dane nie były już zaszyfrowane i po prostu wyszło to na jaw przy dokładniejszym sprawdzaniu?

 

Sądzę,że raczej była to kwestia  właśnie dokładniejszego sprawdzenia i pewnie były zaszyfrowane od razu po "włamaniu"...;(((

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wg mnie tak właśnie było, choć Twój opis mnie zmylił, tzn. szyfrowanie już się w pełni ukończyło w wielu miejscach na różnych dyskach, choć tego nie zauważyłeś w pierwszej chwili. Notatki ransom z żądaniem okupu pojawiają się w systemie, gdy jest już za późno (procesy zakończone).... Plik C:\ProgramData\encfiles.log trzyma listę danych zdefektowanych i tego się trzymaj. Bardzo mi przykro, ale tu już więcej niż nie wymyślimy. Oba systemy wyglądają na wyczyszczone z aktywnej infekcji. Z zaszyfrowanymi danymi nic nie da się zrobić. Próbowałeś Przywracania systemu, które nic nie wskórało, a sam proces nie dotyczy innych dysków niż systemowe. Zachowaj je, na wypadek gdyby w przyszłości pojawił się jednak dekoder. I to wszystko co można obecnie zrobić.

 

 

Kroki końcowe do wykonania po kolei na obu systemach:

 

 

Windows 8.1

 

1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu cały folder Stare dane programu Firefox. Pochodzi z resetu Firefox i zawiera śmieci (adware oraz obiekty zaszyfrowane), dane w nim już zbędne. Pobrane skanery i ich logi też możesz pousuwać ręcznie.

 

2. Zastosuj DelFix, następnie wyczyść foldery Przywracia systemu (te punkty nie są Ci już potrzebne): KLIK.

 

 

Windows XP

 

1. Odinstaluj stare wersje Adobe Flash Player 17 NPAPI, Java 8 Update 45, a Firefoxa zaktualizuj. Stare wersje to także jedna z dróg infekcji szyfrującej dane.

 

2. Również zastosuj DelFix oraz wyczyść foldery Przywracania systemu.

 

 

Zabezpieczenia przed infekcjami szyfrującymi dane:

 

Lista programów zabezpieczających tutaj: KLIK. Pod kątem infekcji szyfrujących dane, nanieś poprawkę na to, że część nie działa na XP:

 

Niezbędne też wykonywanie kopii zapasowych cennych danych, a kopie umieszczane na odizolowanym dysku podłączanym tylko tymczasowo. Infekcje szyfrujące dane atakują każdy dostępny dysk lokalny, wymienny i sieciowy.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Z tego co TU piszą to podobno jest to atak przede wszystkim na Polskę od 23.09.16...

 

Chciałem Ci mocno podziękować za tą pracę!!! :thumbsup:  mimo,że dyski mam "puste/zakodowane" to i tak jesteś dla mnie Legendą!!!

Korzystam z Twoich rad i pomocy od 8-10 lat co najmniej,wiele Twoich komentarzy było dla mnie światełkiem w tunelu a także pomocą wydawało by się z sytuacji bez wyjścia -oby więcej takich osób matka ziemia rodziła jak Ty!!!

 

Gratuluję MVP!!!

 

btw.- Rozumiem ,że a propos Unblockupc Ransomware forum będzie aktualizowało dane...?;)Pozostała mi tylko modlitwa... :ph34r: :wacko: :mellow: :confused:

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

a nie wiecie może, czy jak się zapłaci to odblokują pliki??

mam to samo już kilka dni ale się jakoś w to nie zagłębiałem. teraz patrze i jestem w szoku. nie chce mi sie nawet pisac ile zdjęć i wspomnień....

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Chyba oszalałeś...nie płać,nigdy!-oszustom się nie płaci,trzeba będzie poczekać na decryptor i tyle,może minie sporo czasu ale ja wierzę,że szybciej się za to wezmą bo sprawa jest za poważna...;(

 

ps.ja też nie wspomnę z ilu lat zdjęcia itp mam...;(((

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...