TeslaCrypt - zaszyfrowane pliki *.ccc oraz HOWTO_RESTORE_FILES_*

[mazi91]

Witam,

proszę o pomoc, znajoma zainstalowała jakąś aplikację do nauki matematyki i zaszyfrowało jej większość plików (dokumenty, zdjęcia, filmy), zaszyfrowane dane otrzymały suffiks *.ccc. Pojawiły się również pliki tekstowe: "HOWTO_RESTORE_FILES_*". Załączam Raporty z FRST i GMER, IDtool nic nie wykrył. Proszę o pomoc czy jest jakaś szansa na odszyfrowanie plików.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[picasso]

Sufiks *.ccc oznacza, że odszyfrowanie danych jest awykonalne. To nowszy wariant TeslaCrypt z ulepszonym algorytmem i zabezpieczeniem uniemożliwiającym ten proceder poprzez zamknięcie pewnej "luki" wykorzystywanej przez TeslaDecoder (widzę pobrany na dysku). Jedyna opcja to szukać poprzednich wersji plików:

 

1. Program do odzyskiwania danych typu TestDisk. Ta metoda głównie nie działa przy bieżących infekcjach szyfrujących, ale zawsze można próbować. Przy czym, im dłużej działa komputer (non stop zapisy na dysku), tym mniejsze szanse na odzyskanie czegokolwiek. Tym gorzej, że tu nadal działa infekcja w tle, co poświadczają raporty FRST i GMER, i trzeba ją usunąć w pierwszej kolejności. To już będzie kolejny "zapis na dysku".

 

2. Szukanie kopii w Przywracaniu systemu raczej odpada. Po pierwsze: TeslaCrypt kasuje wszystkie punkty Przywracania systemu. Po drugie: Przywracanie systemu tu nawet nie działa poprawnie, czyli z wielkim prawdopodobieństwem żadnego nagrywania punktów nawet nie było:

 

==================== Punkty Przywracania systemu =========================
 

Sprawdź usługę "winmgmt" lub napraw WMI.
 
 

Dziennik Aplikacja:

==================

Error: (10/19/2015 06:18:54 PM) (Source: VSS) (EventID: 8193) (User: )

Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas wywoływania procedury CoCreateInstance. hr = 0x80070422, Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia.
 

Operacja: Tworzenie wystąpienia serwera VSS

 

 

Nie jestem w stanie nic zrobić z zaszyfrowanymi danymi. Jedyne co jest w mojej mocy, to usunięcie aktywnej infekcji oraz dodanych przez infekcję plików HOWTO_RESTORE_FILES_*. Pod tym kątem:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\...\Policies\Explorer\Run: [261815374] => C:\ProgramData\msdued.exe [114176 2009-07-14] ()
HKLM\...\Policies\Explorer\Run: [960596286] => C:\ProgramData\msnthxwd.exe [114176 2009-07-14] ()
HKLM\...\Policies\Explorer\Run: [116841540] => C:\ProgramData\msonz.exe [114176 2009-07-14] ()
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKLM-x32\...\Run: [etcfg] => C
HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKU\S-1-5-21-3238202015-1634771323-3529322922-1000\...\Policies\Explorer: [TaskbarNoNotification] 1
HKU\S-1-5-21-3238202015-1634771323-3529322922-1000\...\Policies\Explorer: [HideSCAHealth] 1
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3238202015-1634771323-3529322922-1000 -> DefaultScope {FB07620C-4FCE-4C8C-A9FE-F224434C436D} URL =
SearchScopes: HKU\S-1-5-21-3238202015-1634771323-3529322922-1000 -> {FB07620C-4FCE-4C8C-A9FE-F224434C436D} URL =
Task: {0E752D0C-6347-460C-BF30-E51C4D5A8978} - System32\Tasks\{3ADFF182-FA32-4186-9019-86E32362B8E9} => pcalua.exe -a "E:\Pełne wersje\ArcaVir 2013 Antivirus\ArcaSetup2013-PL-32bit.exe" -d "E:\Pełne wersje\ArcaVir 2013 Antivirus"
Task: {1AA441E0-9E67-4EFB-B654-6B29246AA747} - System32\Tasks\{BCA36E23-3AC7-4452-983C-159459CDAF58} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe
Task: {4D358F92-8224-459F-B211-305D75E0C203} - System32\Tasks\{EB9D1A24-9B69-4EF9-9DCC-834F468B5B7C} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe
Task: {7A530317-2DD2-4B9B-80EC-EAB4A2029CBB} - System32\Tasks\{53170ECA-8E78-48E0-BDC1-9CBC8DCD3CDD} => C:\Program Files (x86)\Kolekcja Klasyki\The Bard's Tale\splash.exe
Task: {840BE216-9334-4DF0-BDF4-6C5A6B29DA3D} - System32\Tasks\{D514E643-CCF3-4ADA-8889-0D67D8DA0D9B} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe
Task: {8FB702A2-6A21-4D2D-A5D2-A420A3EA889E} - System32\Tasks\{94A61A7D-5A82-42DD-8413-B45A98D3FB61} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe
Task: {B4C161C6-9521-4C60-AFBF-2EE20D145A72} - System32\Tasks\{8B04FD41-D22E-4622-924E-E5CA855DB73C} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe
Task: {C2228432-D675-4E4B-9BB8-A1110FAC6A1A} - System32\Tasks\{C3956E19-23F6-402D-885B-D536FFBAD1D6} => C:\Program Files (x86)\DreamCatcher\Seven Kingdoms Conquest\Seven Kingdoms Conquest.exe
AV: ArcaVir (Enabled - Out of date) {632ED295-5EE3-505D-F3D3-32EAED41EB7A}
AS: ArcaVir (Enabled - Out of date) {D84F3371-78D9-5FD3-C963-099896C6A1C7}
C:\ProgramData\*.exe
C:\Users\JS\daemonprocess.txt.ccc
C:\Users\JS\AppData\Roaming\*.exe
C:\Users\JS\Documents\recover_file_iymhonqer.txt
RemoveDirectory: C:\ProgramData\ArcaBit
RemoveDirectory: C:\ProgramData\McAfee
RemoveDirectory: C:\Users\JS\AppData\Local\cache
RemoveDirectory: C:\Users\JS\AppData\Local\genienext
RemoveDirectory: C:\Users\JS\AppData\Local\Mobogenie
RemoveDirectory: C:\Users\JS\AppData\Roaming\newnext.me
RemoveDirectory: C:\Users\JS\Documents\Mobogenie
CMD: netsh advfirewall reset
CMD: attrib -h -s C:\HOWTO_RESTORE_FILES_* /s
CMD: attrib -h -s D:\HOWTO_RESTORE_FILES_* /s
CMD: attrib -h -s F:\HOWTO_RESTORE_FILES_* /s
CMD: del /q /s C:\HOWTO_RESTORE_FILES_*
CMD: del /q /s D:\HOWTO_RESTORE_FILES_*
CMD: del /q /s F:\HOWTO_RESTORE_FILES_*
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W Google Chrome zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, GMER oraz Farbar Service Scanner.

 

Dołącz też plik fixlog.txt. Plik fixlog.txt może być ogromny, ze względu na rekursywne usuwanie wszystkich plików HOWTO_RESTORE_FILES_* z wszystkich dysków. Gdyby się nie zmieścił, to shostuj go gdzieś i podlinkuj.

[mazi91]

Załączam nowe logi z FRST (bez Addition i Shortcut), GMER oraz FSS.

 

Fixlog:

http://speedy.sh/rsf8x/Fixlog.txt

FSS.txt

GMER.txt

[picasso]

Brakuje właśnie nowego skanu FRST.txt. Poza tym, ten zlinkowany fixlist.txt to nie jest poprawny plik - otwórz go i zobacz co jest w środku, masa "chińskich" krzaków.

[picasso]

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor.

 

* Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Edytowane 11 Lipca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso