Skocz do zawartości

"Your personal files are encrypted"


hom3r

Rekomendowane odpowiedzi

Witam, 

Ostatnio złapałem gdzieś złośliwe oprogramowanie które zainicjowało pojawienie się strony internetowej na której wyskoczył komunikat

"Your personal files are encrypted"

 

 na pulpicie zaczęły pojawiać się utworzone przezroczyste ikony skrótów  folderów które znajdowały się na pulpicie, nie da się otworzyć zdjęć. Na dysku D:/ również to samo. Proszę o pomoc

 

Pozdrawiam. hmr.

 

/ edit

Dodatkowo nie mogę otworzyć żadnego pliku . pdf ponieważ wyskakuję komunikat:

 25036051242965845377_thumb.jpg

Addition.txt

FRST.txt

Shortcut.txt

gmr.txt

Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

To infekcja Ransomware szyfrująca dane, ale przed podjęciem działań poproszę jeszcze o rozszerzenie diagnostyki względem szczepu Ransoma. 

 

W tym celu wysili zaszyfrowany plik (lub notatkę na temat deszyfracji w odpowiednim miejscu na stronie ID Ransomware) na serwer usługi ID Ransomware i dostarcz wynik analizy. Nie chcę zapeszać, ale większość danych, które są szyfrowane przez tego typu infekcję są nie do odzyskania.

Odnośnik do odpowiedzi

Wrzuciłem na stronę Bleepingcomputer jeden z plików ( .jpg ) który nie mogę otworzyć i zuploadowałem. Wynik :

 

 

 

Result
Spora
 This ransomware has no known way of decrypting data at this time.

It is recommended to backup your encrypted files, and hope for a solution in the future.

Identified by

  • custom_rule: CRC32 of AES key

 

Click here for more information about Spora

 

 

 

Na dysku D mam utworzone kopie folderów które ikony  są przezroczyste, i oryginalne nie przezroczyste  te otwierają się w nowym oknie. Jestem w trakcie pisania pracy magisterskiej, czy moje pliki mogą być zagrożone ?

Odnośnik do odpowiedzi

Jestem w trakcie pisania pracy magisterskiej, czy moje pliki mogą być zagrożone ?

 

Naprawdę bardzo mi przykro to pisząc. System został zainfekowany przez Ransomware Spora. Do tej pory nie wynaleziono skutecznego dekodera plików, który byłby w stanie odszyfrować pliki. Tym samym chcę powiedzieć, że poza zapłaceniem okupu pliki są nie do odzyskania. Dane polecam po dezynfekcji skopiować na jakiś dysk zewnętrzny i poczekać - może kiedyś będzie dekoder. 

 

Jeśli na tym komputerze był plik z pracą magisterską to jest zaszyfrowany i nie do odzyskania. O zapłaceniu okupu nawet nie myśl, to wysokie ceny i nie ma żadnej pewności na pomyślność deszyfracji (KLIK / KLIK). 

 

Nie ukrywam, że w przypadku tego typu infekcji zalecany jest kompleksowy format wszystkich dostępnych dysków. Napisz na co się decydujesz - czy leczymy system, czy go formatujesz i kopiujesz dane na inny nośnik.

Odnośnik do odpowiedzi

 Nie wszystkie pliki są zainfekowane (Pliki magisterki czyli  rysunki w formacie .dwg są nie ruszone, plik .doc 1 z dwóch też nie jest ruszony, niestety drugi zainfekowany), jest szansa by go rozszyfrować? Mam czas do oddania magisterki do 26 kwietnia, nie ukrywam że zależy mi na czasie

 

 

1. Czy odzyskanie plików graficznych jest na 100% nie możliwe ? 

2. Czy konta bankowe/hasła są bezpieczne?

3. Kopiując pliki ( video, mp3, instalki programów) (niezainfekowane) na dysk przenośny, nie przeniosę Ransomware na dysk?

4. Jakie są szanse "wyleczenia" systemu bez formatu i czy jest to czasowo opłacalne?

Odnośnik do odpowiedzi

Dziwna sprawa, wygląda na to, że coś uniemożliwiło zaszyfrowanie wszystkich plików, a tylko części - no nic - tylko się cieszyć. Masz farta. 

 

Korzystasz z oprogramowania SpyHunter, a to delikatnie mówiąc program o bardzo wątpliwej reputacji. Cytuję z tematu picasso:

 

SpyHunter - Skaner wątpliwej reputacji bardzo silnie forsowany w wynikach Google i stosujący techniki manipulacji skłaniające do instalacji. Na Google cała masa wysoko pozycjonowanych opisów "usuwania malware" skonstruowanych w taki sposób, by pobrać SpyHunter jako cudowny darmowy lek na daną infekcję. Po instalacji okazuje się, że jest to program płatny. Niestety SpyHunter raczej nie jest wykrywany i usuwany, gdyż każde takie podejście kończy się sprawą w sądzie - przykład z AdwCleaner.

 

Jeśli Ty zechcesz się go pozbyć to odinstalujesz go z poziomu panelu sterowania (jeśli będę problemy, a mogą być bo instalacja wygląda na uszkodzoną to zastosujesz program SpyHunterCleaner). Żeby było jasne: to Twoja decyzja, ja nic nie sugeruję.

 

Przechodzimy do czyszczenia.

 

1. Zastoju RansomNoteCleaner, które usunie wszystkie notatki dot. uiszczenia haraczu. 

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [mbot_pl_160] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-689862577-831822958-2091172563-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-689862577-831822958-2091172563-1000\...\Policies\Explorer: [] 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1438338495&z=cf471b2753c8cebad7ef8d5g4z5c8b4c8c3b8z1z0e&from=cor&uid=HitachiXHTS547550A9E384_J2150050CUP3WDCUP3WDX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKU\S-1-5-21-689862577-831822958-2091172563-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKU\S-1-5-21-689862577-831822958-2091172563-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
HKU\S-1-5-21-689862577-831822958-2091172563-1000\...\ChromeHTML: ->  
Task: {06E81ADC-539E-4B57-BA04-272597C14302} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe  
Task: {322EC3A8-A66F-477E-AE12-7F5AC5270FBF} - \AutoKMS -> Brak pliku 
Task: {780987FC-7FB1-446E-8183-F70318C3FC0D} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe  
Task: {88A35B11-9E91-4718-80F1-046326946587} - System32\Tasks\SMupdate1 => Rundll32.exe C:\Program Files\Common Files\System\SysMenu.dll ,Command701 update1 
Task: {A40DC6E8-CCA8-4F65-B453-03C896134550} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\Program Files\Common Files\System\SysMenu.dll ,Command701 update3 
Task: {C60F9AD4-0C1C-491F-A191-D77F9CCFE95F} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\Program Files\Common Files\System\SysMenu.dll ,Command701 update2 
Task: {E60B47A1-F70B-49DC-81A1-8D82226E1385} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe  
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Matroska Pack\MatroskaDiag.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Matroska Pack\Read Me.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Matroska Pack\Uninstall the Matroska Pack.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HydroCAD\Uninstall HydroCAD.lnk
C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\BitTorrent.lnk
C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\Age of Empires III™.lnk
C:\Users\Piotr\AppData\Roaming\Microsoft\Virtual PC\Virtual Machines\Windows XP.lnk
C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pes-Patch.com 2015 v0.1 by lagun-2 part1\Uninstall Pes-Patch.com 2015 v0.1 by lagun-2 part1.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.

 

4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do odpowiedzi

1. Teraz prawnie jestem nie do ruszenia (i zespół SpyHuntera może mi skoczyć :P), bo deinstalacja SpyHuntera była decyzją użytkownika. Posprzątaj po nim ostatecznie wykorzystując narzędzie SpyHunterCleaner

 

2. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść).

 

3. Wszystkie zagrożenia wykryte przez Malwarebytes daj do kasacji. 

 

4. Zrób nowy zestaw raportów FRST i GMER, powiedz też jak widzisz obecnie system.

Odnośnik do odpowiedzi

Podczas włączania komputera, nadal pojawia się strona Spora. Na dysku D utworzone kopie folderów z lokalizacją cmd C:\ windows\system32.

 

Moje pytanie brzmi, czy nadal mam zainfekowany komputer, czy jest możliwość dokończenia pracy na tym laptopie aby nie zarazić następnych plików.

Czy pliki które nie są zainfekowane mogę bezpiecznie skopiować na dysk przenośny i korzystać z nich po formacie.

Czy istnieje jakakolwiek możliwość odkodowania przynajmniej części, zaszyfrowanych plików?

 

Pozdrawiam, 

FRST.txt

Addition.txt

Shortcut.txt

gmr2.txt

Odnośnik do odpowiedzi

Moje pytanie brzmi, czy nadal mam zainfekowany komputer, czy jest możliwość dokończenia pracy na tym laptopie aby nie zarazić następnych plików.

Czy pliki które nie są zainfekowane mogę bezpiecznie skopiować na dysk przenośny i korzystać z nich po formacie.

Czy istnieje jakakolwiek możliwość odkodowania przynajmniej części, zaszyfrowanych plików?

 

Już mówiłem, że cześć zaszyfrowana jest nie do odzyskania na tą chwile. Szansę na to, że dekoder będzie...marne. Na Twoim miejscu chyba wziąłbym każde inne urządzenie i kończył pracę magisterską - Twój temat ze względu na to i tak ma priorytet. 

Nie wiem ile nam to jeszcze zajmę, może dzień, może dwa - ale pliki, które nie są zaszyfrowane przeskanowałbym osobno jakimś skanerem np. Kaspersky / BitDefender jak będą czyste to dopiero wtedy przenieś na inne urządzenie. 

System jeszcze czysty nie jest, konta w banku powinny być bezpieczne, niemniej jednak po dezynfekcji obowiązkowa zmiana haseł w serwisach logowania. 

Co do formatu - mówiłem, że zalecany. Dane po skanie (te niezaszyfrowane, bo zaszyfrowanych nie musisz skanować) skopiować na dysk zewnętrzny i potem przenieś na nowy system.  

 

Zostały jeszcze wpisy, które uruchamiają notatkę deszyfracją w przeglądarce, ale jest lepiej względem wcześniejszej sytuacji. 

 

1. Powtórz działanie związane z RansomNoteCleaner

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:                                               
Startup: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html [2017-04-18] ()
C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html
2017-04-18 15:08 - 2017-04-18 15:08 - 00016670 _____ C:\Users\Piotr\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html
2017-04-18 15:08 - 2017-04-18 15:08 - 00016670 _____ C:\Users\Piotr\Desktop\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html
2017-04-18 15:08 - 2017-04-18 15:08 - 00016670 _____ C:\Users\Piotr\AppData\Roaming\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html
2017-04-18 15:08 - 2017-04-18 15:08 - 00016670 _____ C:\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html
2017-04-18 15:08 - 2017-04-18 15:08 - 0016670 _____ () C:\Users\Piotr\AppData\Roaming\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PESEdit.com 2014 Patch\PESEdit.com 2014 Patch.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PESEdit.com 2014 Patch\Settings.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Powtórz skan (do wyniku zero infekcjiMalwarebytes, jeśli coś wykryje daj wszystko do kwarantanny. Nie przenoś tylko plików szyfrowanych, jeśli takowe zostaną wykryte. Dostarcz raporty

 

4. Zrób nowy zestaw raportów FRST i GMER - jak będzie wszystko OK w raportach to robimy skan plików i je przeniesiesz poza system.

Odnośnik do odpowiedzi

Żebyś przypadkiem nie używał przywracania systemu - bo dojdzie do reinfekcji. Dopiero jak wszystkie punkty zostaną skasowane (kwestia kilku sekund w finalizacji tematu).

1. Otwórz Notatnik w nim wklej: 
 

CloseProcesses:
CreateRestorePoint:   
U3 pxldrpob; \??\C:\Users\Piotr\AppData\Local\Temp\pxldrpob.sys [X] C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
C:\Users\Piotr\AppData\Roaming\3432998970
C:\Users\Piotr\AppData\Local\Temp\9c1d450fa901b4fa27.exe
ShortcutWithArgument: C:\Users\Piotr\Desktop\Moje Dokumenty.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /c start explorer.exe "Moje Dokumenty" & type "9c1d450fa901b4fa27.exe" > "%temp%\9c1d450fa901b4fa27.exe" && "%temp%\9c1d450fa901b4fa27.exe"
ShortcutWithArgument: C:\Users\Piotr\Desktop\Trial-Reset 4.0 Final Fixed.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /c start explorer.exe "Trial-Reset 4.0 Final Fixed" & type "9c1d450fa901b4fa27.exe" > "%temp%\9c1d450fa901b4fa27.exe" && "%temp%\9c1d450fa901b4fa27.exe"
ShortcutWithArgument: C:\Users\Piotr\Desktop\Śmieci.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /c start explorer.exe "Śmieci" & type "9c1d450fa901b4fa27.exe" > "%temp%\9c1d450fa901b4fa27.exe" && "%temp%\9c1d450fa901b4fa27.exe"
C:\Users\Piotr\Links\Nowy folder.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Zapuść skan całego systemu za pomocą BitDefendera, a po nim przeskanuj jeszcze osobno (poprzez opcję skanuj wybrane pliki czy folder) pliki, które są zaszyfrowane i niezaszyfrowane i dopiero wtedy (jeśli będą czyste) możesz je przenieść na inny dysk. Jeśli coś wykryje to dostarcz raport.
Odnośnik do odpowiedzi

Przed poprzednim działaniem ( 1. Otwórz Notatnik w nim wklej:) , przeskanowałem komputer Defenderem wykryło 7 zagrożeń, Trojan Generic 1220345 wszystkie dotyczące jednej instalki. Przeskanowałem pojedynczy plik który został zaszyfrowany wynik - clean. 

Co do defendera, nie jestem pewny ale nie mogę znaleźć nigdzie możliwości skopiowania raportu, być może dlatego ze to wersja free?

23815109512808781483_thumb.jpg

Odnośnik do odpowiedzi

To związane z jakąś instalką, ale jeśli po jej uruchomieniu w przeszłości żadne problemy nie wystąpiły, to wydaję mi się, że AV czepia się pochodzenia, czyli Asystenta Pobierania.

 

Pliki do przeniesienia, rób teraz wszystko bezpiecznie i rób kopie danych. Obserwuj jeśli infekcja by powróciła zgłoś się. Powodzenia w pracy magisterskiej! :)

Odnośnik do odpowiedzi

Wielkie dzięki za poświęcony czas. Dziękuje i pozdrawiam Miszel ;)

 

Ten program uratował by twoje pliki, zabezpieczone przez niego zostały by nie tknięte, zresztą żaden ransomware na ten czas nie może zaszyfrować plików chronionych przez niego, są dziesiątki podobnych testów.

 

Odnośnik do odpowiedzi

Program dawno nie jest aktualizowany. Ostatnia aktualizacja przypada na marzec ubiegłego roku. 

 

W końcu najnowsze Ransomy to obejdą. Kopie zapasowe...kopie zapasowe. Kiedy się nauczycie? Nic Wam nie da większej pewności. Darmowa usługa Google Dysk / dysk zewnętrzny i po sprawie.

Edytowane przez Rucek
Odnośnik do odpowiedzi
  • 7 miesięcy temu...

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...