Skocz do zawartości

Ransomware - BTCWare Master


Rekomendowane odpowiedzi

Witam,

 

Mój znajomy potrzebuje pomocy z infekcją typu ransomware. Z tego co udało mi się zidentyfikować jest to BTCWare Master. Twierdzi, że nic podejrzanego nie było uruchamiane, a jednak. System nie tak dawno był już raz zaatakowany tego typu szkodnikiem (inny ransom), jednak skończyło się na formacie dysku (zerowanie dysku programem diagnostycznym) i instalacji systemu na nowo. Proszę o analizę raportów i ewentualnie informację co można zdziałać w tym temacie oraz pytanie: w jaki sposób można zabezpieczyć się przed tego typu infekcjami. Komputer działa w sklepie spożywczym (zaplecze magazynu) - służy głównie do odbierania e-maili i wprowadzaniu danych do programu magazynowego. W załączniku raporty (GMER nic nie wykrył) - pusty log.

 

FRST.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Cytat

Komputer działa w sklepie spożywczym (zaplecze magazynu) - służy głównie do odbierania e-maili i wprowadzaniu danych do programu magazynowego.

 

Takie komputery są narażone najbardziej, bo te infekcje wypracowały sobie większość infekcji poprzez pobieranie zarażonych załączników.

Zabezpieczenia są dwa, czyli założyć na skrzynkę filtrację antyspamową oraz zainstalować porządne oprogramowanie zabezpieczające np. marki Kaspersky czy Bitdefender. Nie wspomnę już o aktualizacjach oprogramowania i systemu.

 

Jako, że nie wiemy z czym mamy do czynienia (wariant identyfikuje sam) poproszę najpierw o wgranie zaszyfrowanego pliku / notatki o okupie do usługi ID Ransomware i podanie wyników.

Jako, że jest to komputer jakby nie patrzeć ważny sprzedawca pewnie będzie wolał kompleksowo sformatować dysk, a to czy dane są do odzyskania to się dowiemy po akcji z ID Ransomware.

Odnośnik do komentarza

Miszel03

 

W tym przypadku widać z raportu dokładnie co to za wariant. Istotnie, to BTCWare Master. Flagi infekcji, zaszyfrowane pliki z suffiksem *.master:

 

2017-06-29 19:49 - 2017-06-29 20:18 - 0001316 _____ () C:\Users\SPAR\AppData\Roaming\!#_RESTORE_FILES_#!.inf
2017-06-29 19:50 - 2017-06-29 19:50 - 3895077 _____ () C:\Users\SPAR\AppData\Roaming\1.bmp
2017-06-29 19:50 - 2017-06-29 20:18 - 0001316 _____ () C:\Users\SPAR\AppData\Local\!#_RESTORE_FILES_#!.inf
2017-06-29 19:50 - 2017-06-29 20:18 - 0001316 _____ () C:\ProgramData\!#_RESTORE_FILES_#!.inf
2017-06-13 13:02 - 2017-06-29 19:50 - 0000368 _____ () C:\ProgramData\hpzinstall.log.[darkwaiderr@cock.li].master

 

 

mlik

 

Odkodowanie plików awykonalne, dekoder BTCWareDecrypter do tej serii ransomware nie obsługuje wariantu *.master: KLIK.

 

 

Cytat

w jaki sposób można zabezpieczyć się przed tego typu infekcjami

 

Podstawowy to aktualizacje oprogramowania i izolowana kopia zapasowa danych na dysku niedostępnym spod aktywnego Windows. Dodatkowo lista pomocniczych programów: KLIK.

Odnośnik do komentarza

Dziękuje za odpowiedź. Jeśli chodzi o dane, które zostały zaszyfrowane to akurat nie tak duże straty. Teraz najważniejszą rzeczą jest porządne zabezpieczenie sytemu przed tego typu infekcjami. Picasso czy mogłabyś polecić jakieś konkretne oprogramowanie zabezpieczające - Eset ? Kaspersky ? Bitdefender ? jakieś sugestie co do filtru antyspamowego ?. Proszę o podpowiedzi.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...