Wpadło mi coś okropnego - Your personal files are encrypted by CTB-Locker

adela · 21 Stycznia 2015

Otworzyłam maila a on zaczął szybko cos instalować i wyskoczyło na pulpicie to co w złączniku . Do tego wszystkie pliki sa zakodowane nie do otwarcia i jeszcze groża ze jak nie zapłace to wszystko stracę. Nie wiem co robić mszę odyskać pliki niektóre bardzo ważne. Miałam podłaczony dysk zewnętrzny i też nie można otwożyć zadnego plku na tym dysku. Combofix wyrzucił to główne co się zainstalowało ale pliki sa zakodowane i na monitorze zostało to co w załaczniku. Mam tez tego trefnego maila. zaznaczam ze nie wpadło to jako wirus a sama otworzyłam maila. Pomżcie błagam.

gajowy · 21 Stycznia 2015

... mszę odyskać pliki niektóre bardzo ważne.

Czy są warte 1680 USD? (chyba, że masz gdzieś kopie).

Doczytałem, że można spróbować narzędzi do odzyskiwania w rodzaju Photorec. Oczywiście odzyskiwać należy na inny dysk, najlepiej spod innego systemu (live lub podpiąć dysk z zaszyfrowanymi plikami do innego komputera)

Edytowane 21 Stycznia 2015 przez gajowy

artus72 · 21 Stycznia 2015

Najpierw wykonaj wymagane przepisami forum logi.

Potem czekaj na pomoc picasso.

Niestety, plików nie da się odszyfrować we własnym zakresie, tu i tu masz podobne tematy.

picasso · 22 Stycznia 2015

Combofix wyrzucił to główne co się zainstalowało ale pliki sa zakodowane i na monitorze zostało to co w załaczniku.

To co widać "na monitorze" oznacza, że infekcja nie została usunięta i są wymagane logi o których wspomina artus72. W zakresie logów możliwe jest tylko usunięcie komponentów infekcji, lecz nie odszyfrowanie danych:

Do tego wszystkie pliki sa zakodowane nie do otwarcia i jeszcze groża ze jak nie zapłace to wszystko stracę. Nie wiem co robić mszę odyskać pliki niektóre bardzo ważne. Miałam podłaczony dysk zewnętrzny i też nie można otwożyć zadnego plku na tym dysku.

Ta infekcja szyfrująca atakuje wszystkie dyski dostępne w momencie inicjacji infekcji. Deszyfracja plików jest niemożliwa. Jedyny ratunek to próba zastosowania softu do odzyskiwania danych, jak wskazał to gajowy.

adela · 23 Stycznia 2015

Otworzyłam maila i zainstalowało się coś co mi zakodowało częsć plików. Oczyściłam combofixem ale pliki są dalej zakodowane , zalezy mi na odkodowaniu, na plpicie pokazało się to co załaczam.

gajowy · 23 Stycznia 2015

Powielenie tematu nie sprawi, że niemożliwe stanie się możliwe. W tym pierwszym zostało wyjaśnione, że odkodowanie plików jest niewykonalne!

W tej chwili przy pomocy Photorec próbuję odzyskać pliki z komputera z identyczną infekcją (CTB-Locker) i niestety przywrócił mi tylko same śmieci z cache przeglądarki. Zresztę pewnie te wcale nie były zaszyfrowane. Tak więc porzućcie wszelką nadzieję, którzy nie macie kopii zapasowych w bezpiecznym miejscu.

picasso · 24 Stycznia 2015

Oba tematy łączę. adela, są tu dwa zagadnienia:

1. Zaszyfrowane dane. Pełny opis infekcji tu: KLIK. Już wszystko zostało powiedziane na ten temat. Bardzo mi przykro, ale nic nie da się zrobić więcej w zakresie odzysku danych. Z raportów wiadomo, że infekcja wyczyściła na zero magazyn kopii cieniowych (brak jakichkolwiek punktów Przywracania systemu) i że jest tu najnowsza wersja CTB-Locker, która tworzy losowe suffiksy. W Twoim przypadku są to *.vzrufdd.

2015-01-01 23:23 - 2015-01-01 23:23 - 00002112 _____ () C:\Users\Serge_2\Downloads\Oryginalna nazwa pliku.TXT.vzrufdd

Prawdopodobnie pełna lista zaszyfrowanych plików jest w tym pliku HTML:

2015-01-19 20:30 - 2015-01-19 20:35 - 0543439 _____ () C:\ProgramData\jcmvxcc.html

2. Obiekty infekcji per se. Zaprezentuj plik C:\ComboFix.txt, który przedstawi co program usuwał. Mówisz że "na monitorze zostało" - w raportach FRST nie widać zastąpienia tapety, lecz FRST po prostu nie skanuje ustawień związanych z aktywną zawartością Pulpitu i tapetą. Poproszę o dodatkowe skany pod tym kątem:

Otwórz Notatnik i wklej w nim:

Reg: reg query "HKCU\Control Panel\Desktop"
Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\Desktop" /s
Reg: reg query "HKLM\Software\Microsoft\Internet Explorer\Desktop" /s
Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

anuska19871 · 4 Lutego 2015

I mam to samo. Uważam na wirusy i nietypowe wiadomości, stronki. Otworzyłam jakiegoś maila i samo zaczęło się instalować. Ogólnie wszystkie pliki mam skopiowane (zdjęcia, muzę, filmy, dokumenty) na dysku zewnętrznym. Programów płatnych nie posiadam.

Moja praca to 10h dziennie przy tym laptopie i nie stać mnie na nowego, tym bardziej na zapłatę tej kosmicznej kwoty.

Czy jeśli zainstaluję nowego windowsa to zginie??? Błagam Was o pomoc.

picasso · 5 Lutego 2015

anuska19871, na przyszłość zasady działu, każdy ma mieć swój osobisty temat, niezależnie od tego czy problem jest identyczny: KLIK.

Z tego co rozumiem dane masz bezpieczne w innym miejscu, więc spokojnie można sformatować dysk z Windows i zainstalować nowy system.

adela · 8 Lutego 2015

dopiero teraz mogłam w niego wejść i tu jest log

Fixlog.txt

picasso · 9 Lutego 2015

Należy doczyścić system z resztek po infekcji i innych drobnostek (szczątki po usuniętych rogramach).

1. Tapetę należy ręcznie sobie ustawić w opcjach, wybierając dowolny niezaszyfrowany plik.

2. Otwórz Notatnik i wklej w nim:

S3 catchme; \??\C:\Users\Serge_2\AppData\Local\Temp\catchme.sys [X]
Task: {6C460D55-C1F3-4D04-A50B-9BBF50B9A558} - System32\Tasks\avastBCLRestartS-1-5-21-929553786-925988434-3115227362-1002 => Chrome.exe
CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - No Path
CHR HKU\S-1-5-21-929553786-925988434-3115227362-1002\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-929553786-925988434-3115227362-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141212
HKU\S-1-5-21-929553786-925988434-3115227362-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-929553786-925988434-3115227362-1002\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141212
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} http://download.eset.com/special/eos/OnlineScanner.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab
DPF: {CAFEEFAC-0018-0000-0025-ABCDEFFEDCBA} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab
C:\Program Files\MyPC Backup
C:\ProgramData\jcmvxcc.html
C:\ProgramData\LUUnInstall.LiveUpdate
C:\ProgramData\AVAST Software
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer GameZone
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcerSystem
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games
C:\Users\Serge_2\AppData\Roaming\Dropbox
C:\Users\Serge_2\AppData\Roaming\TeamViewer
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
RemoveDirectory: C:\Qoobox
CMD: for /d %f in (C:\ProgramData\Microsoft\Windows\GameExplorer\{*}) do rd /s /q "%f"
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dołącz ten plik.

3. Podaj pełną listę zaszyfrowanych plików z dysku C. Uruchom FRST ponownie, w polu Search wklej:

*vzrufdd*

Klik w Search Files i dostarcz wynikowy log Search.txt.

adela · 22 Marca 2015

Dopiero przedwczoraj wyszłam ze szpitala i zajęłam się tym kompem , miałam trochę kłopotów ze zdrowiem , przepraszam ze dopiiero teraz to robię.

Search.txt

Fixlog.txt

Zaloguj się

Wpadło mi coś okropnego - Your personal files are encrypted by CTB-Locker

Rekomendowane odpowiedzi

adela

Odnośnik do komentarza

gajowy

Odnośnik do komentarza

artus72

Odnośnik do komentarza

picasso

Odnośnik do komentarza

adela

Odnośnik do komentarza

gajowy

Odnośnik do komentarza

picasso

Odnośnik do komentarza

anuska19871

Odnośnik do komentarza

picasso

Odnośnik do komentarza

adela

Odnośnik do komentarza

picasso

Odnośnik do komentarza

adela

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Zarejestruj nowe konto

Zaloguj się

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność