CERBER - Zaszyfrowane pliki

[Arek1]

Czesc

Nie wiem jakim cudem, ale jakoś do komputera wpadł mi syf o nazwie Cerber (pewnie kilka osob kojarzy to gowno). Krotkie pytanie, jak sobie z tym syfem poradzic?
Wszystkie pliki na dysku (a przynajmniej te dla mnie najważniejsze) zostały zaszyfrowane.
Staram sie usunac to gowno za pomoca Malwarebytes, ale niestety nic nie wykrywa.

Staram się teraz za pomocą Spybot'a
Jakas rada, jak moge defynitywnie to usunac i odzyskac pliki??

Dziekuje za pomoc

 

Logi:

 

FRST

Addition

Shortcut

 

[Rucek]

Spybot - nie używaj - program naciągacz.

Combofixa - też nie odpalaj przypadkiem.

 

Spróbuj jeszcze dodać log z GMERa - zasady działu, dołącz załączniki jako pliki tekstowe, i czekaj na Picasso.

[Arek1]

Niestety. MImo usilnych starać nie jestem wstanie dodac logu z GMER'a. Wszystko się wiesza :/

 

Co do czekania na Picasso - chętnie, ale szybciej zrobie gruntowny format.

Naczytałem się wiele, i szanse na odzyskanie plików są równe zeru

[Rucek]

Możliwe, że potem będzie szansa na odzyskanie plików, Picasso ostatnio pisała, że do części zakodowanych plików, hakerzy udostępnili dekodery za darmo, więc zgraj te pliki gdzieś, by czekały na "lepsze czasy".

[picasso]

Rucek

 

Spybot chyba Ci się pomylił ze SpyHunterem. Spybot nie jest naciągaczem, tylko po prostu przestarzałym programem o bardzo niskiej dziś skuteczności.

 

 

Arek1

 

Na przyszłość: trzymaj się konfiguracji FRST podanej tu na forum. Opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. I preferowana metoda prezentacji raportów to załączniki forum.

 

 

Cytat

Niestety. MImo usilnych starać nie jestem wstanie dodac logu z GMER'a. Wszystko się wiesza :/

 

Nie wykonałeś instrukcji: KLIK. W raporcie multum czynnych sterowników od emulacji:

 

R3 dtlitescsibus; C:\Windows\System32\DRIVERS\dtlitescsibus.sys [30264 2016-03-08] (Disc Soft Ltd)
R3 dtliteusbbus; C:\Windows\System32\DRIVERS\dtliteusbbus.sys [47672 2016-03-08] (Disc Soft Ltd)
R0 sptd; C:\Windows\System32\Drivers\sptd.sys [381608 2016-03-08] (Duplex Secure Ltd.)
U3 aizkh79s; C:\Windows\System32\Drivers\aizkh79s.sys [0 ] (Advanced Micro Devices) <==== UWAGA (zerobajtowy plik/folder)

 

 

Cytat

Nie wiem jakim cudem, ale jakoś do komputera wpadł mi syf o nazwie Cerber (pewnie kilka osob kojarzy to gowno). Krotkie pytanie, jak sobie z tym syfem poradzic?

Wszystkie pliki na dysku (a przynajmniej te dla mnie najważniejsze) zostały zaszyfrowane.

Staram sie usunac to gowno za pomoca Malwarebytes, ale niestety nic nie wykrywa.

 

Opis infekcji Cerber: KLIK, KLIK. Odkodowanie danych jest niemożliwe. Jedyne czym jestem w stanie się zająć, to usunięcie infekcji oraz dodanych przez nią notatek ransom. Zaszyfrowane dane (nie są groźne) to zupełnie odrębne zagadnienie. Na chwilę obecną nie ma żadnego ratunku.

 

 

Infekcja jest nadal aktywna w Twoim systemie (fałszywe obiekty "Adobe"), czyli szyfruje wszystkie świeżo podpinane dyski, i trzeba podjąć akcje usuwające. To działania doraźne, na dalszą metę sugerowany format dysku systemowego. Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Run: [mtstocom] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\mtstocom.exe [275236 2015-10-20] (Adobe Systems Incorporated)
HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Run: [sbunattend] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\sbunattend.exe [275236 2015-10-20] (Adobe Systems Incorporated)
HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Run: [poqexec] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\poqexec.exe [275236 2015-10-20] (Adobe Systems Incorporated)
HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Run: [DisplaySwitch] => "C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\DisplaySwitch.exe"
HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\RunOnce: [mtstocom] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\mtstocom.exe [275236 2015-10-20] (Adobe Systems Incorporated)
HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\RunOnce: [sbunattend] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\sbunattend.exe [275236 2015-10-20] (Adobe Systems Incorporated)
HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\RunOnce: [poqexec] => C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\poqexec.exe [275236 2015-10-20] (Adobe Systems Incorporated)
HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Policies\Explorer: []
HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Policies\Explorer: [Run] "C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\mtstocom.exe"
HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}\mtstocom.exe [275236 2015-10-20] (Adobe Systems Incorporated)
Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cmdkey.lnk [2016-06-14]
Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DisplaySwitch.lnk [2016-06-14]
Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mtstocom.lnk [2016-06-14]
Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\poqexec.lnk [2016-06-14]
Startup: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sbunattend.lnk [2016-06-14]
BootExecute: autocheck autochk * sdnclean64.exe
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
CustomCLSID: HKU\S-1-5-21-1877261336-1626017494-2063700226-1000_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\AutoCAD 2010\acad.exe /Automation => Brak pliku
CustomCLSID: HKU\S-1-5-21-1877261336-1626017494-2063700226-1000_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\AutoCAD 2010\acad.exe => Brak pliku
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
FF SelectedSearchEngine: webssearches
FF HKU\S-1-5-21-1877261336-1626017494-2063700226-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Arek\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi
StartMenuInternet: FIREFOX.EXE - firefox.exe
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDScannerService
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDUpdateService
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDWSCService
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SFAUpdater
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor
C:\ProgramData\mntemp
C:\ProgramData\TEMP
C:\Program Files (x86)\Smart File Advisor
C:\Users\Arek\AppData\Roaming\{BB589AB6-EED0-B40C-709F-64B5127684BF}
CMD: netsh advfirewall reset
CMD: attrib -r -h -s "C:\# DECRYPT MY FILES #.*" /s
CMD: attrib -r -h -s "D:\# DECRYPT MY FILES #.*" /s
CMD: del /q /s "C:\# DECRYPT MY FILES #.*"
CMD: del /q /s "D:\# DECRYPT MY FILES #.*"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Prócz Spybota, odinstaluj Ace Stream Media 3.1.6. Wbudowany moduł adware preaktywowany po określonym przedziale czasu.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik Fixlog może być ogromny, ze względu na rekursywne usuwanie plików notatek ransom # DECRYPT MY FILES #.* z dysków C i D. Jeśli się nie zmieści w załączniku forum, shostuj gdzieś i podaj do niego link.

 

[Arek1]

Zrobiłem pełen format komputera. Nie chciałem ryzykować, aby jakies pliki pozostały.

Po formacie mam problem z aktualizacjami (Windows Update szuka i szuka - bez przerwy) co powoduje problem z pobraniem odpowiednich sterowników. Pobrałem kilka recznie, ale wolałbym aby Windows z automatu je pobrał - jak to bylo do tej pory

Pobrałem również Firefox'a - strasznie przymula

W załączniku logi z FRST - prośba o sprawdzenie.

 

Windows 7.

Toshiba Satellite C660-2MM

 

Prosze rowniez o informacje jak w przyszlosci zabezpieczyc sie przed takim syfem.

Jakiego darmowego antywirusa powinienem uzywac?

 

FRST.txt Addition.txt

[Rucek]

@Picasso - tak, pomyliłem  Pamiętam tylko, że jeden i drugi to programy - śmieci.

[picasso]

Cytat

Zrobiłem pełen format komputera. Nie chciałem ryzykować, aby jakies pliki pozostały.

 

1. System po formacie a już:

• Zainstalowany śmieć, czyli ByteFence Anti-Malware. Odinstaluj to, to niepożądany program (copycat programu Malwarebytes Anti-Malware).
• Zanieczyszczone adware "webssearches" preferencje Firefox. Najwyraźniej kopiowałeś profil Firefox przed formatem. Przeczyść konkretnie: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblok Plus trzeba będzie go przeinstalować. Niemniej zamiast niego polecam uBlock Origin.

2. O ile ręcznie ich nie usuwałeś z każdego folderu, zostały jeszcze notatki ransom Cerbera na dysku D. By je usunąć, możesz zapuścić taki oto skrypt fixlist.txt do FRST:

 

CMD: attrib -r -h -s "D:\# DECRYPT MY FILES #.*" /s
CMD: del /q /s "D:\# DECRYPT MY FILES #.*"

 

Cytat

Po formacie mam problem z aktualizacjami (Windows Update szuka i szuka - bez przerwy) co powoduje problem z pobraniem odpowiednich sterowników. Pobrałem kilka recznie, ale wolałbym aby Windows z automatu je pobrał - jak to bylo do tej pory

 

To świeży system, więc możesz załadować zbiorczą paczkę instalującą wszystkie łaty wydane po SP1 do kwietnia 2016:

 

- April 2015 servicing stack update (KB3020369) - Łata wymagana, by móc zainstalować poniższą zbiorczą.

- Update for Windows 7 for x64-based Systems (KB3125574) - By pobrać tę paczkę, stronę musisz uruchomić z poziomu Internet Explorer a nie Firefox, podczas jej uruchamiania padnie pytanie o instalację ActiveX, którą należy zatwierdzić, by pokazała się zawartość katalogu.

 

Po instalacji tego uruchom Windows Update, by dociągnąć drobniejsze wydania po kwietniu 2016.

 

 

Cytat

Prosze rowniez o informacje jak w przyszlosci zabezpieczyc sie przed takim syfem.

Jakiego darmowego antywirusa powinienem uzywac?

 

Pomocą służą dodatkowe programy z listy: KLIK.

 

Ponadto, infekcje tego typu wchodzą też przez luki w oprogramowaniu i należy aktualizować system i softy. Oczywistym jest też, że należy robić kopie zapasowe cennych danych na odizolowanym nośniku zewnętrznym.

 

[Arek1]

1. Usunąłem ten program. Firefox odświeżyłem.

2. Wkleiłem ten plik do notatnika i uruchomiłem FRST ( w załączniku kolejny log)

3. Nadal problem z aktualizacjami. Pobrałem ten pierwszy plik, po włączeniu program cały czas bez przerwy wyszukuje aktualizacje i to wszystko :/ WIndows Update to samo. Drugiego pliku nie pobierałem, gdyż pierwszy cały czas działa.

Ten plik "April 2015 servicing stack update (KB3020369)" to po pobraniu uruchomił się Autonomiczny Instalator rozszerzenia WIndows Update.

 

Addition.txt FRST.txt

[picasso]

Cytat

3. Nadal problem z aktualizacjami. Pobrałem ten pierwszy plik, po włączeniu program cały czas bez przerwy wyszukuje aktualizacje i to wszystko :/ WIndows Update to samo. Drugiego pliku nie pobierałem, gdyż pierwszy cały czas działa.

Ten plik April 2015 servicing stack update (KB3020369) to po pobraniu uruchomił się Autonomiczny Instalator rozszerzenia WIndows Update.

 

Ale przecież te łaty mają być zamiast aktualnego wyszukiwania Windows Update, właśnie by obejść problem długiego wyszukiwania na świeżo zainstalowanym systemie, który ma potężne braki. Najpierw instalujesz tę pierwszą (ona jest niezbędna, by dało się zainstalować tę drugą). Tak, to jest przedstawione jako "Autonomiczny Instalator rozszerzenia Windows Update", i to należy zainstalować. Potem instalujesz tę drugą łatę, która w istocie ładuje MASĘ łat, by nie pobierać ich z Windows Update. I dopiero gdy ona się zainstaluje, uruchamiasz Windows Update w systemie, które powinno działać już szybciej i wyszukać tylko "drobnicę" wydaną po kwietniu 2016.

 

 

PS. Przez SHIFT+DEL (omija Kosz) dokasuj foldery:

 

C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\ByteFence

C:\Users\Arek\Desktop\Stare dane programu Firefox

 

[Arek1]

Troche sie nie rozumiemy

Pobrałem łate numer 1 na pulpit. Klikam 2x i plik otwierany jest przez Autonomiczny Instalator rozszerzenia WIndows Update. Jak to ominąć? Czym otworzyc plik .msu?

[picasso]

Cytat

Pobrałem łate numer 1 na pulpit. Klikam 2x i plik otwierany jest przez Autonomiczny Instalator rozszerzenia WIndows Update. Jak to ominąć? Czym otworzyc plik .msu?

 

Zrozumiałam za pierwszym razem i mówię byś to uruchomił właśnie za pomocą "Autonomiczny Instalator rozszerzenia Windows Update". Tak się otwiera pliki MSU.

[Arek1]

No to tak zrobiłem. I on cały czas od godziny 14:30 jest włączony i tak jakby wyszukiwał..."trwa wyszukiwanie aktualizacji na tym komputerze"

[picasso]

Mówisz o włączonym oknie Windows Update (tym samym które uruchamia się z Panelu sterowania)? W takim przypadku zatrzymaj proces wyszukiwania aktualizacji poprzez restart komputera. I przejdź do instalacji tej drugiej łaty.

[Arek1]

Ech smiech na sali... Nie wiem co sie dzieje z tym komputerem...

 

Wchodze na strone Łaty Numer 2 poprzez IE i mam komunikat:

 

Cytat

Aby korzystać z pełnej funkcjonalności tej witryny sieci Web, musisz używać programu Microsoft Internet Explorer 6.0 lub nowszego.

Aby przeprowadzić uaktualnienie do najnowszej wersji przeglądarki, przejdź do witryny Pliki do pobrania dla programu Internet Explorer w sieci Web.

Jeśli wolisz używać innej przeglądarki sieci Web, możesz pobierać aktualizacje z Centrum pobierania firmy Microsoft .

 

Pobieram poprzez stronę Microsoftu najnowszą wersję IE, uruchamiam plik i pojawia się komunikat:

Instslator nie mogł kontynuowac działania  poniewaz na komputerz ejest zainstalowana nowsza wersja programu IE...

 

No to jak ??

 

Odinstalowałem IE 11 z pozycji panelu sterowania, uruchomiłem ponownie komputer. Chcialem zainstalowac IE, ale na samym koncu instalacji pojawil sie komunikat, ze IE nie moze zostac zainstalowane.

[picasso]

Kurcze, ta deinstalacja IE11 to był błąd. Teraz system wrócił pewnie do starej wersji IE8 - powiedz mi czy z poziomu tej wersji da się pobrać z tej strony?

[Arek1]

Niestety nie da sie. Caly czas komunikat, ze wersja IE jest za stara

[Arek1]

Ktos cos?

[picasso]

Jeśli na pewno uruchamiasz Internet Explorer bezpośrednio (a nie pośrednio poprzez jakiś dodatek), a pojawia się ten błąd, to nic tu raczej nie wymyślę i trzeba będzie niestety przejść przez aktualizacje Windows Update w normalny sposób. To oznacza: długie wyszukiwanie (kilka / kilkanaście godzin) oraz obciążenie procesu svchost w momencie procesu wyszukiwania aktualizacji. Obecnie to niestety "normalne". Świeży system Windows 7 z SP1 jest niestety stary, do uzupełnienia są łaty z zakresu 2011-2016 (czyli ogromna ilość), a od końca 2015 znastąpiły zmiany w procesie wyszukiwania aktualizacji dla systemów Windows 7 i Vista, trwa ono znacznie dłużej (przypuszczalnie migracja Microsoftu na słabsze serwery, w związku z koncentracją na nowej infrastrukturze Windows 10).

[Arek1]

Dobra zobaczymy. Wlacze wyszukiwanie na cała noc. Zobaczymy czy cos znajdzie.

[Arek1]

Temat można zamknąć. Po 12h wyszukał 67 aktualizacji i zostały one pomyślnie zainstalowane

[picasso]

Ale upewnij się, że to wszystko co było do instalacji. Po pierwszej rundzie aktualizacji mogą być wykryte kolejne, a potem kolejne. I czy Internet Explorer 11 zosatał pomyślnie wykryty i zainstalowany?

[Arek1]

Po pierwszych 67 aktualizacjach, byly kolejne, pozniej kolejne, i znowu kolejne. Juz spokój.

IE został zaktualizowany do wersji 11.

[picasso]

Czyli wszystko w porządku. Na koniec:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST z dysku oraz sam FRST i jego logi.

 

2. Skoryguj drobny błąd WMI: KLIK.

 

3. Wyczyść także foldery Przywracania systemu: KLIK.

 

To wszystko.

[Arek1]

Zrobione.

Dzieki za pomoc