Zaszyfrowane pliki - Cerber

[amstaff92]

Szanowni Państwo,
otrzymałem komputer od znajomego do sprawdzenia i najprawdopodobniej jest to Cerber ale nie jestem pewien.
Proszę o sprawdzenie logów

 

Addition.txt FRST.txt GMER.txt Shortcut.txt

[picasso]

Owszem, to infekcja Cerber:

 

2016-07-10 22:04 - 2016-07-10 22:04 - 0012382 _____ () C:\Users\Julita\AppData\Roaming\# DECRYPT MY FILES #.html
2016-07-10 22:04 - 2016-07-10 22:04 - 0010506 _____ () C:\Users\Julita\AppData\Roaming\# DECRYPT MY FILES #.txt
2016-07-10 22:04 - 2016-07-10 22:04 - 0000090 _____ () C:\Users\Julita\AppData\Roaming\# DECRYPT MY FILES #.url
2016-07-10 22:04 - 2016-07-10 22:04 - 0000234 _____ () C:\Users\Julita\AppData\Roaming\# DECRYPT MY FILES #.vbs
1602-05-15 16:07 - 1602-05-15 16:07 - 0001858 _____ () C:\Users\Julita\AppData\Roaming\28C5oHrph-.cerber
1602-05-15 16:07 - 1602-05-15 16:07 - 0001571 _____ () C:\Users\Julita\AppData\Roaming\2lJH8mMKaf.cerber

 

Niestety nie jestem w stanie nic poradzić na zaszyfrowane dane, raczej brak dekodera. Do jednego z wariantów i to tylko przez chwilę był dekoder Check Point wykorzystujący lukę w interfejsie komunikacji malware, ale niestety przestępcy naprawili ten "błąd" w zasadzie błyskawicznie. Możliwość odkodowania Cerber V1 deklaruje Trend Micro Ransomware File Decryptor, ale nie jest pewne czy to w ogóle teraz działa.

 

Jedyne czym mogę się zająć, to widoczne w raportach szczątki infekcji malware oraz obiekty adware/PUP (m.in. lewy program Reimage Repair). Niemniej przy infekcjach szyfrujących dane sugerowany jest po prostu format. Ważne zaszyfrowane dane można skopiować na zewnętrzny nośnik, licząc że w przyszłości ktoś znajdzie rozwiązanie. Decyduj co robimy, czy mozolnie czyścimy co widać, czy format.

 

[amstaff92]

Dziękuje za odpowiedź. Z tego co udało mi się dowiedzieć nie było tam żadnych ważnych danych, dlatego zdecyduje się na format.

Temat do zamknięcia