Skocz do zawartości

Wirus nadpisał mi pliki na karcie pamięci rozszerzeniem .id-8508743568_helpme(at)freespeechmail.org


Rekomendowane odpowiedzi

Witam serdecznie,
 
Opisany w tytule malware nadpisał mi pliki na karcie SD, którą moja żona włożyła do komputera teściowej. Dopisane zostało rozszerzenie .id-8508743568_helpme@freespeechmail.org Pliki na karcie nie otwierają się z poziomu aparatu ani komputera.
System, z którego została złpana infekcja działa pod systemem Windows Vista Home Premium 32 bit.
Podejmowane próby odzyskania plików.
1. Skopiowałem pliki z karty na inny komputer i tam najpierw użyłem SpyHuntera4, który usunął infekcje, później użyłem  RakhniDecryptor do odkodowania plików. Choć program podał informację o znalezieniu hasła i odkodowaniu plików, są one nieodczytywalne, choć w oknie przegląrki wyglądają na "normalne" pliki jpg i mp4 to próba ich uruchomienia się nie powiodła.
 
2. Czynność ponowiłem jeszcze 1 raz na tym drugim komputerze. Również z takim samym efektem.
 
Z ważnych kwestii to muszę powiedzieć że karta SD (16 GB), na której zawartości mi głownie zależy ma dostępne bardzo mało miejsca a zapełniona była prawie całkowicie.
 
Skan narzędziami wymienionymi w forumowej instrukcji, przeprowadziłem bez włożonej karty SD.
 
Z góry dziękuję za wszelką pomoc.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Jeśli to na pewno raporty z systemu który był zainfekowany, to nie ma w systemie żadnych śladów, że ta infekcja miała miejsce. Windows wygląda tak czysto jakby był po reinstalacji. Czy to na pewno ten system był motorem infekcji? I uwaga na SpyHunter - to wątpliwy program z czarnej listy!

 

 

Skopiowałem pliki z karty na inny komputer i tam najpierw użyłem SpyHuntera4, który usunął infekcje, później użyłem RakhniDecryptor do odkodowania plików. Choć program podał informację o znalezieniu hasła i odkodowaniu plików, są one nieodczytywalne, choć w oknie przegląrki wyglądają na "normalne" pliki jpg i mp4 to próba ich uruchomienia się nie powiodła.

Albo Kaspersky znalazł błędne hasło i to nadal wersje zaszyfrowane, albo pliki są poprawnie odkodowane lecz permanentnie uszkodzone. W obu scenariuszach nie jestem w stanie nic zaradzić.

Odnośnik do komentarza

@picasso. Dzięki za odpowiedź. NIe mam pewności czy to był ten komputer, wydawało mi się że to najbardziej prawdopodobna wersja, bo objawy pojawiły się po tym jak żona używała tego komputera do przeglądania zdjęć z karty. Podejrzane są jeszcze 2 komputery: mój służbowy, którego używam do ściągania różnych rzeczy z sieci i służbowy komputer żony, ale w ten wątpię gdyż pracuje ona w dużym korpo świadczącym usługi hostingowe i ich komputery są dobrze chronione i ona sama nie ma możliwości zainstalowania czegokolwiek na komputerze.

 

Pytanie, czy w Twojej opinii powinienem zrobić testy na swoim kompie i podać wyniki skanowania FRST i GMER? Dodam tylko, że po stwierdzeniu zaszyfrowania zdjęć na karcie SD, włożyłem ją do swojego kompa i przeskanowałem Spy Hunterem i usunęło mi kilkadziesiąt zagrożeń.

Odnośnik do komentarza

Tu widziany system budzi jednak podejrzenia, że nie jest właściwym. Na wszelki wypadek możesz dostarczyć raporty FRST + GMER z wszystkich innych komputerów wchodzących w zakres podejrzeń. Ze swojego też podaj.

 

PS. Co do tego "corpo", to nie byłabym taka pewna. W pracy mojego męża niby wszystko pozabezpieczane (okazało się że jednak niedostatecznie) i mocno ograniczone uprawnienia instalacyjne, a złapali ostatnio jedną z infekcji szyfrujących, ktoś otworzył załącznik e-mail i rozpełzło się po dyskach sieciowych. Za to mieli profesjonalne backupy, więc odkręcenie stanu nie stanowiło problemu.

 

 

Dodam tylko, że po stwierdzeniu zaszyfrowania zdjęć na karcie SD, włożyłem ją do swojego kompa i przeskanowałem Spy Hunterem i usunęło mi kilkadziesiąt zagrożeń.

Jak zaznaczyłam, SpyHunter to program od którego należy się trzymać z daleka i jeśli jest na którymś systemie zainstalowany, to się czym prędzej pozbądź go. Ten opis "usuwania kilkudziesięciu zagrożeń" brzmi dość podejrzanie, czy to aby były rzeczywiste wyniki i jakiego typu? Czy to były wyniki kierujące na kartę czy system? I czy aby on tu właśnie czegoś niepożądanego nie zrobił z plikami, że okazały się niezdatne po rzekomym odkodowaniu? Czy jesteś w stanie mi podać co on Ci pokazał (jest jakiś raport z tego)?

Odnośnik do komentarza

Edytowany.

Dziś po po południu przeskanuje swój komputer i zrobię raporty. 

 

Co do aktywności SPY Huntera to pokazało mi trojany na komputerze (dysku), gdyż skopiowałem pliki z karty na dysk swojego służbowego komputera gdyż liczyłem że uda mi się je oczyścić przy użyciu narządzi na min zainstalowanych: programu antywirusowego ESET i potem zainstalowemu SPY Hunterowi. Ne jestem Ci w stanie pokazać raportu ze skanowania bo nie widzę go w folderze programu.

 

Jestem po przeskanowaniu drugiego komputera, jak to nie ten będzie źródłem infekcji to będzie problem. Zamieszczam w załączniku potrzebne raporty.

 

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza

Jestem po przeskanowaniu drugiego komputera, jak to nie ten będzie źródłem infekcji to będzie problem. Zamieszczam w załączniku potrzebne raporty.

Ten system także nie nie wygląda na system "po przejściach": nie ma widocznych żadnych śladów tej infekcji ani zaszyfrowanych kopii plików, brak ubytków wejść w Shortcut.txt kierujących na pliki podlegające szyfrowaniu (np. TXT), plus ilość odświeżonych folderów jest niska. To nie jest dowód na 100%, ale jednak systemy zaprawione przez infekcję szyfrującą wykazują pewne widoczne cechy, jak choćby masowe odświeżenie folderów w których wystąpiło szyfrowanie oraz większe ubytki w Shortcut.txt.

W podsumowaniu: trudno dojść który komputer był źródłem. Mógł to być dowolny komputer do którego podpięto kartę, inny niż jest typowane, a efekt zaszyfrowania mógł być po prostu po raz pierwszy ujrzany przy podłączeniu do komputera teściowej.

 

 

PS. Na tym systemie:

 

1. Definitywnie odinstaluj SpyHunter. Niby jest punkt Przywracania opisujący akcję "Removed SpyHunter", ale program nadal jest na liście zainstalowanych, widać też sterowniki programu. Czy jest jakiś problem z deinstalacją?

 

2. W IE i Operze jest ustawiona strona startowa gazeta.pl. Mam podejrzenie, że był to sponsorowany wtręt instalacji AllPlayer. Jeśli nie ustawiano samodzielnie tych stron, w opcjach przeglądarek je przekonfiguruj.

 

3. Następnie możesz wykonać skrypt kosmetyczny usuwający wpisy szczątkowe i czyszczący Tempy. Do Notatnika wklej:

 

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku
R3 QDrive; \??\C:\Users\T7267~1.SWA\AppData\Local\Temp\QDrive.sys [X]
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OLBPre
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird
C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Odnośnik do komentarza

Ten system także nie wykazuje żadnej z cech, o których wspominałam powyżej. Mam szczere wątpliwości w kwestii źródła infekcji. Mi się jednak wydaje, że kartę zaprawił całkiem inny komputer niż tu przedstawiane.

 

 

Powiedz mi co mogę zrobić dalej żeby odzyskać pliki.

vs.

 

Albo Kaspersky znalazł błędne hasło i to nadal wersje zaszyfrowane, albo pliki są poprawnie odkodowane lecz permanentnie uszkodzone. W obu scenariuszach nie jestem w stanie nic zaradzić.

Ostatecznie spróbuj któregoś programu do odzyskiwania danych, np. PhotoRec, czy wyszuka poprzednią wersję plików na karcie, ale czarno to widzę.

 

I skontaktowałabym się bezpośrednio z supportem Kasperskiego przesyłając im próbkę wybranego pliku (wersja zakodowana + wersja rzekomo odkodowana) wraz z opisem, że dekoder przywrócił niedziałające wersje, by ocenili o co chodzi. To będzie najpewniejsze źródło informacji. Ja nic więcej nie wymyślę.

 

 

Dziękuję picasso.Zrobiłem to co mi poleciłaś.

Nie przedstawiłeś pliku Fixlog.txt z wynikami.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...