Piter81 Opublikowano 16 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2016 Witam, otóż przez własną głupotę otworzyłem podejrzaną wiadomość, co poskutkowało atakiem Cryptolockera i zaszyfrowaniem ok. 20 tys. plików, głównie zdjęć. Użyłem Malwarebytes Anti-Malware i usunąłem co tam znalazł. Można sprawdzić czy coś nie zostało? Chciałbym odzyskać zaszyfrowane pliki. Polecono mi EFS-a. Zdziała coś? Pliki z partycji systemowej jestem w stanie przywrócić do poprzednich wersji. Niestety dla pozostałych partycji Ochrona systemowa jest wyłączona (nie wiedzieć czemu:/ ). Przy pierwszym skanowaniu GMERem był bluescreen z informacją o błędzie i zamknięciu systemu. Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2016 otóż przez własną głupotę otworzyłem podejrzaną wiadomość, co poskutkowało atakiem Cryptolockera i zaszyfrowaniem ok. 20 tys. plików, głównie zdjęć. vs. 2016-04-11 00:20 - 2016-04-13 20:02 - 01353625 _____ C:\Users\Piotr\Desktop\MG_0290.jpg.encrypted To nie CryptoLocker tylko TorrentLocker. Mogłeś widzieć nazwę "CryptoLocker" na komunikacie ransom, ale to ulepszony copycat CryptoLockera a nie CryptoLocker, posługujący się po prostu nazwą starego prekursora. Więcej na temat tej infekcji: KLIK / KLIK. Niestety, odkodowanie plików nie jest możliwe. W drugim linku jest informacja, że na pewnym etapie cichym odkodowaniem plików tej infekcji zajmował się Dr. Web, ale trzeba było być ich klientem, tzn. zapłacić. Ale to informacje z zeszłego roku o starym wariancie TorrentLocker, Ty zapewne złapałeś najnowszą generację, której Dr. Web nie umie odkodować (mówi o tym ostatni post w drugim linku). Chciałbym odzyskać zaszyfrowane pliki. Polecono mi EFS-a. Zdziała coś? Nie, to nie ten rodzaj szyfrowania. Pliki z partycji systemowej jestem w stanie przywrócić do poprzednich wersji. Niestety dla pozostałych partycji Ochrona systemowa jest wyłączona (nie wiedzieć czemu:/ ). Ta infekcja usuwa wszystkie punkty Przywracania systemu. Te które są u Ciebie widoczne to prawdopodobnie punkty nagrane już po ataku infekcji. Nie wiadomo kiedy infekcja wystąpiła i jak długo była aktywna, gdyż podczas szyfrowania użytkownik nawet nie wie, że to się dzieje, a widoczne oznaki w postaci komunikatów ransom są już tworzone po ukończeniu procesu... ==================== Punkty Przywracania systemu ========================= 12-04-2016 06:49:56 Windows Update 13-04-2016 23:55:12 Windows Update 15-04-2016 18:39:04 Usunięto: Steam 15-04-2016 21:36:45 Norton_Power_Eraser_20160415213644610 Natomiast wyłączona Ochrona dla innych dysków niż systemowy to domyślny stan ustawiany podczas instalacji Windows. Jedyne więc w czym mogę pomóc, to doczyszczenie drobnostek, na dysku widać tylko odpadkowy folder tej infekcji oraz szczątki lewego skanera SpyHunter. Notabene, jeśli go użyłeś, to prawdopodobnie porobił więcej szkód. On pogarsza sprawę, bo usuwa z rejestru dane identyfikacyjne infekcji szyfrujących (przynajmniej niektórych), uniemożliwiając nawet odzysk danych oficjalną metodą, tzn. poprzez uiszczenie opłaty przestępcom. Pod kątem drobnego doczyszczania. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3183649738-3205867959-702821356-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3183649738-3205867959-702821356-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-3183649738-3205867959-702821356-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3183649738-3205867959-702821356-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3183649738-3205867959-702821356-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3183649738-3205867959-702821356-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} StartMenuInternet: Google Chrome.JMI5BUZEGRYCBEJTQLGOWTBCAU - C:\Users\Piotr\AppData\Local\Google\Chrome\Application\chrome.exe hxxp://www.delta-homes.com/?type=sc&ts=1435117082&z=e83dcbed1a6e177c34db874g3zfc0w2g0g9m0e0b1m&from=ient06242&uid=SAMSUNGXHD103SJ_S246J9CB143685 BHO: Brak nazwy -> {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -> Brak pliku BHO-x32: Brak nazwy -> {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -> Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku Task: {4C5F3C83-B7E1-4536-86A1-8DD0D9658E3B} - System32\Tasks\{8656F942-AE8D-41EC-B43B-5EB3971FBA08} => pcalua.exe -a E:\Instalki\BESTplayer_www.INSTALKI.pl.exe -d E:\Instalki Task: {CFE6F572-BF91-4BF7-8846-150F0B32D3A8} - System32\Tasks\{AE1A3029-037E-4931-88E1-A7173CD37831} => pcalua.exe -a C:\Users\Piotr\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt HKLM-x32\...\Run: [] => [X] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-04-13] () C:\ProgramData\adafegecyjykykud C:\ProgramData\APN C:\Users\Piotr\AppData\Roaming\Enigma Software Group C:\Windows\system32\Drivers\EsgScanner.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe skany FRST nie są już potrzebne. Odnośnik do komentarza
Piter81 Opublikowano 17 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 17 Kwietnia 2016 SpyHunterem nic nie usuwałem. Zrobione Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 23 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 23 Kwietnia 2016 Skrypt FRST pomyślnie wykonany. W zakresie drobnego czyszczenia ukończyliśmy działania. Skorzystaj z DelFix. Na dalszą metę sugeruję kompleksowy format dysku, by pozbyć się wszystkich śladów szyfrowania. Jak mówiłam, niestety zaszyfrowane dane to osobny problem, nie do rozwiązania w chwili obecnej. Odnośnik do komentarza
Piter81 Opublikowano 24 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 24 Kwietnia 2016 Na dalszą metę sugeruję kompleksowy format dysku, by pozbyć się wszystkich śladów szyfrowania. Jak mówiłam, niestety zaszyfrowane dane to osobny problem, nie do rozwiązania w chwili obecnej. Format partycji systemowej czy całego dysku?? Moge zachować zaszyfrowane pliki w nadziei ze kiedyś uda się je odzyskać? DelFix.txt Odnośnik do komentarza
picasso Opublikowano 24 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2016 Przede wszystkim mam na uwadze partycję systemową (ale z tym nie musisz się śpieszyć), pozostałe mogą zostać jako "magazyn" zaszyfrowanych plików. Tak, w przypadku zaszyfrowanych danych, nawet jeśli nie ma żadnych widoków na ich odszyfrowanie, na wszelki wypadek zaleca się ich skopiowanie / zachowanie. DelFix wykonał zadanie. Skasuj plik raportu C:\delfix.txt. Odnośnik do komentarza
Rekomendowane odpowiedzi