Wirus Locky - odblokowanie plików

[cross099]

Witajcie.

 

Zidentyfikowałem u swojej dziewczyny w komputerze wirusa locky. Wszystkie zdjęcia i niektóre pliki się posypały. Do tego nie działa FB. Aktualnie Przeskanowany jest przez Eseta online, do tego Malwarebytes i SpyHuntera, Wszystko pousuwane teraz pytanie czy jeśli nie było kopii zapasowej to jest jakaś możliwość enkryptowania plików? Bo placenie to nie jest najlepszy pomysł.. Więc co można poradzić? Czy to już pozamiatane?

[Rucek]

Tu masz małe info, raczej lipa: https://www.fixitpc.pl/topic/29818-zaszyfrowane-pliki-na-dysku-rozszerzenie-locky/

Dodatkowo, przeczytaj zasady działu, dołącz logi to Picasso wyczyści system jeśli coś jeszcze tam siedzi. SpyHunter wywal - program naciągacz, śmieć.

[cross099]

Temacik już przeanalizowałem zanim napisałem logi podrzucę tylko muszę się dostać do tego komputera więc jak będe miał to zaraz tutaj wrzucę

 

Edit

 

Dodaję wszelkie logi które są niezbędne już wszystkie mam proszę bardzo.

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

[picasso]

Jak już powiedziane, z odkodowaniem plików lipa. Wg raportów infekcja nie jest aktywna, brak wpisów startowych. Jedyne co widać, to plik graficzny notatki ransom na Pulpicie i przykładowe zaszyfrowane pliki:

 

2016-03-22 18:44 - 2016-03-22 18:44 - 05151830 _____ C:\Users\Martina\Desktop\_HELP_instructions.bmp

2016-03-22 18:39 - 2016-03-22 18:39 - 204572886 _____ C:\Users\Martina\Documents\10334FBA78E77EBFFD2E266062181764.locky

2016-03-22 18:37 - 2016-03-22 18:37 - 11836244 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFAF8529F02B490EFC.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 02877764 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF2E37E5973560E31F.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 02375164 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF57895CA50156141E.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 02191337 _____ C:\Users\Martina\Documents\10334FBA78E77EBF20E12FB849898A24.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 02025202 _____ C:\Users\Martina\Documents\10334FBA78E77EBF5F380A4D6D1548C6.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 01953256 _____ C:\Users\Martina\Documents\10334FBA78E77EBF2D212AC3520867E6.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 01436396 _____ C:\Users\Martina\Documents\10334FBA78E77EBF39E1510AC852ACD0.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 01314539 _____ C:\Users\Martina\Documents\10334FBA78E77EBF7E43BAD13586DE08.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 01314539 _____ C:\Users\Martina\Documents\10334FBA78E77EBF16BE64072E9FD4DF.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00919330 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF416C6BDA669CFD8A.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00841806 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF221AD6FE6A0CF899.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00837007 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF9F0F5A0945695C55.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00835649 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF58D93923370672B4.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00796877 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF864054CB9CA46A29.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00796877 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF2E104EA6B095D685.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00410040 _____ C:\Users\Martina\Documents\10334FBA78E77EBF411467CB3E322036.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00131647 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF2E2E5C63C6AB7F89.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00123377 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFC29B8D522028A384.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00118084 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF5CC1D6031E3A4377.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00111428 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF81163D56159FB4EA.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00110378 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFB30F517A6EC7F850.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00110250 _____ C:\Users\Martina\Desktop\10334FBA78E77EBF6318467FFD449D59.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00106186 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFE7E5283DC2D1D838.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00105284 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF122D290C68798E9F.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00105167 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFA7075C72032FD3A9.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00095566 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFC2345E29EAAFE7E4.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00093316 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF04A24ED0306E783D.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00055837 _____ C:\Users\Martina\Documents\10334FBA78E77EBF445860C692BAE699.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00047585 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFE42FE9FE656CD045.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00047581 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF71F771CEDD1C5C99.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00047428 _____ C:\Users\Martina\Desktop\10334FBA78E77EBF88A86ABFA6994CB1.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00042820 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFE0ECD29E05913EDB.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00034628 _____ C:\Users\Martina\Downloads\10334FBA78E77EBFE29054327227CF75.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00018328 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF0EF89501E9B47454.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00014276 _____ C:\Users\Martina\Desktop\10334FBA78E77EBF1A9F602F20F14B69.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00006980 ____N C:\Users\Martina\Desktop\10334FBA78E77EBFCF7C031FDBBDEFAC.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00004897 _____ C:\Users\Martina\Downloads\10334FBA78E77EBF26673082B9432E65.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Downloads\10334FBA78E77EBFA28E01BF42C35CC1.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Desktop\10334FBA78E77EBFAE32231470556CDE.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Desktop\10334FBA78E77EBF9184049E0973112D.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Desktop\10334FBA78E77EBF518287E249D42C61.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Desktop\10334FBA78E77EBF3811129EC10F5E6C.locky

2016-03-22 18:36 - 2016-03-22 18:36 - 00000998 ____N C:\Users\Martina\Desktop\10334FBA78E77EBF281A1FB17E244B14.locky

 

Natomiast jest czynny podrzędny śmieć adware/PUP, czyli sponsorowany Bing.

 

 

---

Działania poboczne:

 

1. Odinstaluj stare niebezpieczne wersje (jedna z dróg infekcji szyfrujących dane): Adobe Flash Player 15 Plugin, Java 7 Update 71.

 

2. Doczyść śmieci / odpadki. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3939384550-3673428181-2738249459-1001\...\Run: [bingSvc] => C:\Users\Martina\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-02-13] (© 2015 Microsoft Corporation)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3939384550-3673428181-2738249459-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2016-01-08]
CustomCLSID: HKU\S-1-5-21-3939384550-3673428181-2738249459-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Martina\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku
Task: {05DB5A67-8BF0-44F0-ABE1-FF2766C95C42} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {0A1EE147-ACDD-42BC-BF0C-15ACCA660305} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {204D9077-4F7E-49BC-A4CD-2B1BA4E9D341} - System32\Tasks\ASUS InstantOn Config => C:\Program Files\ASUS\P4G\InsOnCfg.exe
Task: {269D968B-2606-4DA9-92FC-BAB5859400BD} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {701A5C35-8855-47DC-B997-11D2BA563AB5} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {78D2467B-C470-4917-8036-3177C7250E1F} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {90EAACA5-8328-4B35-A357-2E9506A3D05C} - System32\Tasks\Norton Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Security\Engine\22.5.2.15\SymErr.exe
Task: {AC2B2060-FE42-4909-B20A-43DA088BA8BE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {B6C32F4C-573A-4355-A154-0E3877BFB356} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {B7D2481A-60E2-4CDE-9935-A9B515D7E48D} - System32\Tasks\Norton Security\Norton Error Processor => C:\Program Files (x86)\Norton Security\Engine\22.5.2.15\SymErr.exe
Task: {D94FFD96-47C4-4BF4-A659-87F851072522} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {DA4F5BB5-3BD0-419B-9ECB-C3438768F8D3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {E0804740-9C02-4539-AAB3-A9263BF88321} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {EF1873DE-0CD2-4AE3-A082-EB939EE4A802} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Security
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GG /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f
C:\ProgramData\APN
C:\ProgramData\Norton
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HD Tune
C:\Users\Martina\AppData\Local\Microsoft\BingSvc
C:\Users\Martina\AppData\Roaming\Microsoft\Word\Szablon%20CV2%20od%20praca.gratka.pl305062823361248895\Szablon%20CV2%20od%20praca.gratka.pl.doc.lnk
C:\Users\Martina\Desktop\_HELP_instructions.bmp
C:\Users\stefa_000\AppData\Roaming\Elex-tech
C:\Windows\System32\Tasks\Norton Security
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Google Chrome ze sponsorowanego Binga:

• Zresetuj synchronizację (o ile włączona), punkt 2: KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj Bing, o ile nadal będzie widoczny.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso