Ransomware.Locky

[Patrykos]

Witam,
Proszę o pomoc w analizie logów wygenerowanych na komputerze z Win 7 Pro, który według CyberTarczy Orange padł ofiarą groźnego złośliwego oprogramowania - Ransomware.Locky.

Od momentu pojawienia się komunikatu, komputer został odłączony od internetu.
Na komputerze cały czas jest obecny Avast, który nic nie wykrył.
Po komunikacie o zagrożeniu wykonano pełny skan systemu Avastem ale nic nie znalazł.

W załączeniu są logi z FRST i GMER.
 
W trakcie skanowania FRSTem (we wczesnym jego etapie) wyskoczył 5 razy komunikat zatytułowany:
Farbar Recovery Scan Tool (x64) Wersja: 18-07-2016: FRST64.exe - Zły obraz

o treści:
Program C:\Windows\system32\winshfhc.dll nie jest przeznaczony do uruchamiania w systemie Windows albo zawiera błąd. Zainstaluj program ponownie, używając oryginalnego nośnika instalacyjnego, albo skontaktuj się z administratorem systemu lub z dostawcą oprogramowania w celu uzyskania pomocy.
 
Jedyny przycisk jaki był to OK – po kliknięciu, którego skanowanie ruszyło dalej.

 

Printscreen komunikatu - https://i.imgsafe.org/e5eba23320.png

Plik winshfhc.dll przeskanowałem virustotal-em ale nic nie znalazł.
FRST i GMER były pobierane na innym komputerze.
FRST został pobrany z www.bleepingcomputer.com.

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

[picasso]

W raportach nie widać żadnych oznak infekcji szyfrującej dane. Do usunięcia będą tylko drobne odpadkowe wpisy nie związane z infekcją, ale to potem. Zacznij od:

 

 

Program C:\Windows\system32\winshfhc.dll nie jest przeznaczony do uruchamiania w systemie Windows albo zawiera błąd. Zainstaluj program ponownie, używając oryginalnego nośnika instalacyjnego, albo skontaktuj się z administratorem systemu lub z dostawcą oprogramowania w celu uzyskania pomocy.

Plik Windows jest uszkodzony i nie tylko ten, w raporcie FRST widać także i to naruszenie:

 

R2 CryptSvc; C:\Windows\SysWOW64\cryptsvc.dll [136192 2010-11-21] () [brak podpisu cyfrowego]

 

Zrób skan sfc /scannow i dostarcz przefiltrowany log wynikowy: KLIK.

[Patrykos]

Przefiltrowany plik w załączniku, proces skanowania doszedł do 74% i przerwał działanie.

 

C:\Windows\system32>sfc /scannow

 

Rozpoczynanie skanowania systemu. Ten proces zajmie trochę czasu.

 

Rozpoczynanie fazy weryfikacji w skanowaniu systemu.

Weryfikowanie ukończone w 74%.

Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone pliki, ale nie

może naprawić niektórych z tych plików. Szczegóły znajdują się w pliku

CBS.Log windir\Logs\CBS\CBS.log. Na przykład

C:\Windows\Logs\CBS\CBS.log

sfc.txt

[picasso]

Masa uszkodzonych plików i jest do nie do naprawienia automatycznie bez przesłania idealnych wersji komponentów ze sprawnego systemu. Wyników jest jednak tak dużo, a skan nawet niepełny, że ta robota raczej odpada i klaruje się przeinstalowanie Windows. Z tym że niemożność ukończenia skanu SFC brzmi niepokojąco i może być oznaką problemów grubszego kalibru z dyskiem twardym (złe bloki). Toteż przesuwam temat na diagnostykę dysku do działu Hardware. Dostarcz dane wymagane działem: KLIK.

[Patrykos]

Print screen z Crystal Disk Info w załączniku. System jest na tym dysku.

 

 

Wracając jeszcze do zagrożenia infekcją szyfrującą, CyberTarcza co jakiś czas dalej twierdzi, że wykryto zagrożenie. Czy mogą to być fałszywe alarmy?
Dodam, że przeskanowałem komputer malwarebytes - nie znalazł nic poza kilkoma wpisami w rejestrze.

[trip017]

Wykonaj jak najszybciej kopię bezpieczeństwa ważnych danych z dysków oznaczonych jako M, N, D, H, I, C, F, G na np. pendrive. Pomyśl nad zmianą dysku, te wymienione powoli padają aż w końcu kompletnie się zepsują - to może być kwestia tygodnia, miesiąca, roku...