Wirus szyfrujący - pliki z sufiksem decode@india.com

[krzychBrat]

Dobry wieczór

 

mój komputer został zaatakowany przez jakiegoś wirusa, który zaszyfrował pliki ( zdjęcia, filmy, word, excel itp.) każdy zaszyfrowany plik ma w rozszerzeniu dodany numer .id-6069721714_ decode@india. Oprócz tego na pulpicie wyświetla sie komunikat o zaszyfrowaniu zasobów komputera i konieczności wniesienia "opłaty" w celu uzyskania klucza do odszyfrowania.

Oprócz zagranicznych forów nigdzie nie znalazłem informacji na temat pozbycia się tego wirusa, a co dla mnie ważniejsze o możliwości odszyfrowania plików. O ile jest to wogóle możliwe.

W załaczeniu przesyłam logi. Gmer-em nie dał się wykonać skanu - komputer sie wieszał, nawet w trybie awaryjnym.

Nigdy nie miałem problemów z wirusami i przed podjęciem jakiś kroków, szukam fachowców w tej dziedzinie

 

Dziękuję

Shortcut.txt

Addition.txt

FRST.txt

OTL.Txt

Extras.Txt

[picasso]

mój komputer został zaatakowany przez jakiegoś wirusa, który zaszyfrował pliki ( zdjęcia, filmy, word, excel itp.) każdy zaszyfrowany plik ma w rozszerzeniu dodany numer .id-6069721714_ decode@india.

Jedyne co mogę zrobić, to usunąć uruchamianie infekcji i zdjąć planszę z żądaniem okupu, czyli te elementy startowe:

 

Startup: C:\Documents and Settings\Krzych\Menu Start\Programy\Autostart\bytor.bmp ()

Startup: C:\Documents and Settings\Krzych\Menu Start\Programy\Autostart\msiexec.exe (Disc Soft Ltd)

 

Bardzo mi przykro, ale odszyfrowanie danych jest niemożliwe technicznie. Tutaj cytuję odpowiedź na temat "decode@india.com" od ekipy Kasperski z forum gdzie mam specjalny dostęp:

 

This is Trojan-Ransom.Win32.Aura sample. It get encryption key from C&C, decryption is impossible.

Zostaje jako ratunek tylko i wyłącznie soft do odzyskiwania danych, by wyszukać poprzednią niezaszyfrowaną wersję pliku, np. TestDisk (z pominięciem ustępu o StopGpcode, bo to pod inną infekcję). O ile infekcja nie nadpisała miejsc na dysku, gdyż infekcje tego typu przewidują możliwość zastosowania tego rodzaju oprogramowania i nadpisują obszary, by nie dało się tego wykonać.

 

Oczywiście próba ma być wykonana już po usunięciu elementów startowych infekcji. Czekam na Twoją reakcję czy mam przejść do tej fazy, na wypadek gdybyś myślał o formacie dysku (krzyżyk na danych).

 

 

.

[krzychBrat]

Tak jak myślałem z odzyskaniem plików to raczej nie będzie możliwe. Zastanawiam się jak ten "gad" dostał sie na mój komp. Nigdy nie miałem problemów z wirusami a tu najgorsza odmiana. Co należałoby teraz zrobić by pozbyć się tego wirusa Póżniej spróbowłbym coś odzyskać programem Test Disk

 

Jak najbardziej jestem zainteresowany pomocą przy usunięciu tego wirusa ale ze względu na późną porę zająłbym się tym tematem jutro.

Dzięki za dotychczasowa pomoc

[picasso]

Zastanawiam się jak ten "gad" dostał sie na mój komp. Nigdy nie miałem problemów z wirusami a tu najgorsza odmiana.

Ten rodzaj infekcji prawdopodobnie dostał się na komputer za pomocą e-mail ze szkodliwym załącznikiem. Czy przypominasz sobie coś w tym stylu?

 

 

Co należałoby teraz zrobić by pozbyć się tego wirusa Póżniej spróbowłbym coś odzyskać programem Test Disk

Przechodzimy do usuwania czynnej infekcji oraz odpadków adware. Operacje zapisu na dysku ograniczone do niezbędnego minimum jakie jest możliwe w tym przypadku, by ograniczyć zamazywanie miejsc. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Startup: C:\Documents and Settings\Krzych\Menu Start\Programy\Autostart\bytor.bmp ()
Startup: C:\Documents and Settings\Krzych\Menu Start\Programy\Autostart\msiexec.exe (Disc Soft Ltd)
C:\Documents and Settings\Krzych\Dane aplikacji\bytor.bmp
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService
C:\Documents and Settings\Krzych\Dane aplikacji\Babylon
C:\Documents and Settings\Krzych\Dane aplikacji\newnext.me
C:\Documents and Settings\Krzych\Dane aplikacji\PerformerSoft
C:\WINDOWS\DUMP*.tmp
AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll => c:\docume~1\alluse~1\daneap~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll File Not Found
HKU\S-1-5-21-507921405-1078081533-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141110
HKU\S-1-5-21-507921405-1078081533-725345543-1003\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.onet.pl/
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141110
SearchScopes: HKCU - bProtectorDefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=84cfa29e00000000000000112fa872b0
Toolbar: HKU\S-1-5-21-507921405-1078081533-725345543-1003 -> DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll No File
Toolbar: HKU\S-1-5-21-507921405-1078081533-725345543-1003 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
HKU\S-1-5-21-507921405-1078081533-725345543-1003\...\Run: [MSMSGS] => "C:\Program Files\Messenger\msmsgs.exe" /background
HKU\S-1-5-21-507921405-1078081533-725345543-1003\...\MountPoints2: {cdf60b7b-78f7-11e2-bb14-00112fa872b0} - P:\SETUP.exe
S2 avast! Firewall; "C:\Program Files\AVAST Software\Avast\afwServ.exe" [X]
S1 aswKbd; \??\C:\WINDOWS\system32\drivers\aswKbd.sys [X]
S3 CtClsFlt; system32\DRIVERS\CtClsFlt.sys [X]
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, plansza okupu powinna zniknąć. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W systemie są dwa czynne konta:

 

========================= Accounts: ==========================
 

Gabi (S-1-5-21-507921405-1078081533-725345543-1004 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Gabi

Krzych (S-1-5-21-507921405-1078081533-725345543-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Krzych

 

Dotychczas było weryfikowane konto Krzych. Potrzebne sprawdzenie obu kont. Zaloguj się po kolei na każde poprzez pełny restart komputera (a nie opcję Wyloguj czy Prełącz użytkownika) i na każdym zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

PS. Dodam jeszcze, że klaruje się również problem sprzętowy. Dziennik zdarzeń notuje bad sektory na jednym z dysków:

 

System errors:

=============

Error: (11/17/2014 05:40:09 PM) (Source: 0) (EventID: 7) (User: )

Description: \Device\Harddisk2\D

 

Gdy uporamy się z podstawową sprawą tutaj, wyślę Cię do działu Hardware na diagnostykę dysków twardych.

 

 

.

[krzychBrat]

Witam ponownie

 

Zrobiłem wszystko zgodnie z instrukcjami w załączniku przesyłam logi. Pierwsze trzy są z loginu gabi, kolejne cztery z loginu krzych.

 

Ekran z żądaniem okupu zniknął. Myślę że ten wirus też. Na loginie Gabi  tło pulpitu nie zostało zmienione, jest jak przed infekcją. Na loginie krzych tło jest niebieskie.

 

Problem z partycją jest mi znany i nie jest nowy. W czasie "podnoszenia" się systemu narzędzie windowsa prubuje naprawić ten problem ale nie daje rady.

Wiem że pliki tam są i próbowałem je odzyskać i sformatować dysk ale z różnych względów nie dokończylem "dzieła". Jeżeli jest inny sposów na naprawę tej partycji i dostanie się do plików to chętnie skorzystam

Addition.txt

FRST.txt

Shortcut.txt

Addition.txt

FRST.txt

Shortcut.txt

Fixlog.txt

[picasso]

Potem będą do wdrożenia jeszcze drobniejsze korekty, obecnie nie jest to istotne. Widoczne składniki infekcji zostały usunięte, są w kwarantanie C:\FRST\Quarantine, ale nie zadaję usuwania jej (obiekty w niej nie mogą się już uruchomić i poczynić szkód), by ograniczyć zapisy na dysku. I próbuj TestDisk, by sprawdzić czy on w ogóle jest w stanie znaleźć niezaszyfrowane poprzednie wersje plików.

 

 

Ekran z żądaniem okupu zniknął. Myślę że ten wirus też. Na loginie Gabi tło pulpitu nie zostało zmienione, jest jak przed infekcją. Na loginie krzych tło jest niebieskie.

Czy na koncie Krzych proste ponowne ustawienie tapety w opcjach Windows jest możliwe / likwiduje niebieskie tło?

 

 

Problem z partycją jest mi znany i nie jest nowy. W czasie "podnoszenia" się systemu narzędzie windowsa prubuje naprawić ten problem ale nie daje rady.

Wiem że pliki tam są i próbowałem je odzyskać i sformatować dysk ale z różnych względów nie dokończylem "dzieła". Jeżeli jest inny sposów na naprawę tej partycji i dostanie się do plików to chętnie skorzystam

Jeśli chodzi o problem bad sectorów, to niezbędna jest diagnostyka sprzętowa dysku. W zależności od wyników tej operacji może się okazać, że będzie do przeprowadzenia radykalna operacja. Założ nowy temat w dziale Hardware podając wymagane dane: KLIK. Zlinkuj do tego tematu, by wiedzieli jaka jest geneza problemu.

 

 

 

 

.

[krzychBrat]

Dziękuję za pomoc i prubuję odzyskać jakieś dane o efektach napisze

[picasso]

A co z tym efektem:

 

Czy na koncie Krzych proste ponowne ustawienie tapety w opcjach Windows jest możliwe / likwiduje niebieskie tło?

[picasso]

Mam dekoder, który jeden z użytkowników otrzymał od cyberprzestępców po uiszczeniu opłaty. Link przesyłam na PW. Nie wiemy czy narzędzie działa na innych komputerach. Daj mi znać jakie są rezultaty jego użycia.

 

Aktualizacja w poście #16.

[ricoh90]

Witam związku z tym, że również mam ten sam problem co kolega czy jest możliwość podesłania decodera na PW? Zostały zakodowane bardzo istotne pliki dot. projektu i nie wyobrażam sobie ich nie odzyskać. 

 

Pozdrawiam

[picasso]

Zasady działu: KLIK. Tu każdy ma mieć osobny wątek. I zanim przejdziemy dalej poproszę o dostarczenie obowiązkowych raportów z FRST, by było wiadome czy infekcja jest czynna.

[stonka80]

Można prosić o link do " dekodera"? Faktycznie odkodowywuje zaszyfrowane pliki?

[moonman]

Witam

 

Mam niestety podobny problem. Virus zainfekował mi 38000 plików. Z moich badań wynika, że wirus szyfruje tylko pierwsze 102400 B reszta nie jest szyfrowana.

Proszę o podanie linka do dekodera w celu deasemblacji co pomoże w ewentualnym znalezieniu klucza i algorytmu deszyfracji. Pomocny link:

http://blog.cassidia...Bitcrypt-broken

 

Pozdrawiam

[picasso]

Proszę nie podpinajcie się do wątku, każdy problem jest tu rozwiązywany indywidualnie w osobnych tematach, a obowiązkiem jest dostarczenie raportów, które mają potwierdzić, że infekcja została usunięta.

 

PS. moonman e-mail wycięty, to proszenie się o spam.

[PawelN]

A czy ktoś może zidentyfikował i "złapał" złoczyńcę i może go przekazać w celu dalszej wnikliwej analizy ????

[picasso]

PawelN

Podałam już konkretne dane. Próbkę analizowało laboratorium Kaspersky.
 

This is Trojan-Ransom.Win32.Aura sample. It get encryption key from C&C, decryption is impossible.

 
 
Do wszystkich:

Hasło do dekodera nie działa na innych komputerach niż ten dla którego go przeznaczono. U każdego pliki mają .id-inne numery_decode@india.com, ID jest przypuszczalnie związane z hasłem i nie działa dla innych ID.
 
Prywatne klucze dekrypcji dla konkretnego komputera zostały wygenerowane na serwerze malware i stamtąd są pobierane, dlatego nie ma możliwości zdekodowania tego.