Files encrypted

[ZBIGOL1]

Witam

mam problem z wirusem.

Podczas próby uruchomienia plików ze zdjęciami lub dokumentów w folderach prywatnych pojawia  się plik txt z komunikatem:

 

You used to download illegal

files from the internet.

Now all of your private files

has been locked and encrypted!

 

To unblock them visit one

of these websites:

hxxp://unblockupc.xyz

hxxp://unblockupc.in

hxxp://moscovravir.ru

hxxp://213.167.243.215

hxxp://185.45.192.17

hxxp://unblockupc.club

 

Your UID: U1B5FPYRR9

 

przeskanowałem FRST i otrzymałem następujące pliki w załączniku

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Podobny temat związany z tą infekcją: KLIK. Niestety odkodowanie plików nie jest możliwe. Jedyne co możesz zrobić, to je zachować oczekując na cud, że w przyszłości ktoś znajdzie obejście jak je odkodować. Z zaszyfrowanymi danymi nic nie da się zrobić, infekcja nie jest już aktywna (usuwa się automatycznie po zaszyfrowaniu danych), więc moja rola tu jest ograniczona tylko do posprzątania resztek i notatek ransom "Files encrypted.txt".

 

Katastrofa z zaszyfrowanymi danymi jest oczywiście najpoważniejszą "usterką" tutaj, ale to nie jest jedyny problem w systemie. Masz też ślady adware/PUP i zainfekowane Chrome (podstawiony przez adware fałszywy profil ChromeDefaultData w opcjach wyświetlany jako user0). I widać na dysku, że pobierałeś z dobrychprogramów pliki świńskiego "Asystenta pobierania" zamiast poprawnych instalatorów: KLIK.

 

 

Działania do przeprowadzenia:

 

1. W systemie jest punkt przywracania z sierpnia i na wszelki wypadek sprawdź za pomocą ShadowExplorer czy w tym punkcie na dysku C są dane niezaszyfrowane. Jeśli tak, można je za pomocą programu odzyskać. Jeśli nie, nic więcej nie da się zrobić.

 

==================== Restore Points =========================

23-08-2016 09:56:42 Installed HP Support Assistant
09-09-2016 18:19:49 Scheduled Checkpoint
15-09-2016 22:31:40 Windows Update 

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [Tv-Plug-In] => "C:\Program Files (x86)\Tv-Plug-In\Tv-Plug-In.exe" nogui
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk [2016-10-05]
S2 0287211475661876mcinstcleanup; C:\Users\Zbigniew Niewiński\AppData\Local\Temp\0287211475661876mcinst.exe [883024 2016-10-05] (McAfee, Inc.)
Task: {618B4918-D369-42FF-98AA-C6EF921DFF78} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe
Task: {75D36573-B885-4FEB-B62F-B962E1E0CB5F} - System32\Tasks\MirageAgent => C:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe
Task: {91215154-BDC7-4178-B2A6-C6F994E8853B} - System32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN => C:\Users\Zbigniew Niewiński\AppData\Roaming\FreeVPN\FreeVPN.exe <==== ATTENTION
CustomCLSID: HKU\S-1-5-21-2006376192-134370331-1719292346-1002_Classes\CLSID\{56568F08-AD1D-8C3D-9F6F-A29DFB1849C0}\InprocServer32 -> C:\Users\Zbigniew Niewiński\AppData\Roaming\WildTangent\WildTangent Games\App\Settings\OnlineProducts.ini ()
CustomCLSID: HKU\S-1-5-21-2006376192-134370331-1719292346-1002_Classes\CLSID\{7F291FC0-AA13-D0FF-58AF-745564016CFD}\InprocServer32 -> C:\Users\Zbigniew Niewiński\AppData\Roaming\Raptr\data\zbigol1\config\xmpp-caps.inf ()
HKU\S-1-5-21-2006376192-134370331-1719292346-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=182&d=20160304
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fcoadmpfijfcmokecmkgolhbaeclfage] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
RemoveDirectory: C:\Program Files\ByteFence
RemoveDirectory: C:\Program Files\McAfee
RemoveDirectory: C:\Program Files (x86)\McAfee
RemoveDirectory: C:\ProgramData\McAfee
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG Zen
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor 1911
RemoveDirectory: C:\Users\Zbigniew Niewiński\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gameo
RemoveDirectory: C:\Users\Zbigniew Niewiński\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GetGo Software
C:\ProgramData\*.*
C:\Users\Zbigniew Niewiński\AppData\Roaming\*.*
C:\Users\Zbigniew Niewiński\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\GetGo Download Manager.lnk
C:\Users\Zbigniew Niewiński\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk
C:\Users\Zbigniew Niewiński\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gameo.lnk
C:\Users\Zbigniew Niewiński\AppData\Roaming\Raptr\data\zbigol1\config\xmpp-caps.inf
C:\Users\Zbigniew Niewiński\AppData\Roaming\WildTangent\WildTangent Games\App\Settings\OnlineProducts.ini
C:\Users\Zbigniew Niewiński\Documents\decryptor.exe
C:\Users\Zbigniew Niewiński\Documents\uid.txt
C:\Users\Zbigniew Niewiński\Documents\Corel\Próbki CorelDRAW X6\target.lnk
C:\Users\Zbigniew Niewiński\Downloads\*-dp*.exe
StartBatch:
netsh advfirewall reset
attrib -r -h -s "C:\Files encrypted.txt" /s
attrib -r -h -s "D:\Files encrypted.txt" /s
del /q /s "C:\Files encrypted.txt"
del /q /s "D:\Files encrypted.txt"
EndBatch:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Fix może się długo wykonywać, gdyż zostały załączone komendy rekursywnego usuwania z wszystkich dysków notatek ransom. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome konieczne przestawienie profilu. Na dysku są dwa foldery profilów, ale nie jestem w stanie stwierdzić na podstawie raportu czy poprzedni jest w ogóle interpretowany przez Chrome. Jeśli nie, to z tego folderu ewentualnie będziemy potem odzyskiwać zakładki.

 

Ustawienia > karta Ustawienia > Osoby. Profil sfałszowany przez adware powinien się wyświetlać pod nazwą user0 i należy go usunąć. Jeśli w Osobach widzisz tylko ten profil, to po jego usunięciu klik w Dodaj osobę i załóż nowy, otwórz przeglądarkę na nowym profilu a poprzednie okna zamknij. Jeśli jednak w Osobach widzisz poprzedni profil, to po prostu uruchom go.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Plik fixlog prawdopodobnie będzie ogromny ze względu na masowe usuwanie notek ransom, więc gdyby nie zmieścił się w załączniku, shostuj go na serwisie zewnętrznym i podaj link do pliku.

 

[ZBIGOL1]

Dziękuję za zainteresowanie tematem i pomoc.

 

 Jeżeli chodzi o 1 pkt pomocy to sprawdziłem w Shadows Explorer pokazały się 3 pkty przywracania najwcześniejszy z 15.09.2016.  

[picasso]

Widzę, że już zniknął ten z sierpnia który pokazywał log z FRST. Ale skoro punkt z 15 września zawiera niezakodowane pliki, to rzecz jasna szybko eksportuj je na jakiś zewnętrzny nośnik.

[ZBIGOL1]

uruchomiłem fixlist.txt oraz następnie przeskanowałem ponownie FRST. Pliki z punktu przywracania Shadow Explorer zapisałem na nośniku usb ale nie mogę ich uruchomić ani w przeglądarce ani w Word i Excel.

 

W przeglądarce Chrome pokazało mi się konto user0 i je usunąłem. Założyłem konto na nowo.

 

załączam nowy scan FRST oraz fixlog.txt

 

FRST.txt Fixlog.txt

[picasso]

Cytat

Pliki z punktu przywracania Shadow Explorer zapisałem na nośniku usb ale nie mogę ich uruchomić ani w przeglądarce ani w Word i Excel.

 

Czyli pliki były zakodowane już w tym punkcie Przywracania systemu i nic nie da się więcej zrobić.

 

 

Poprzednie zadania wykonane. Kolejne poprawki:

 

1. W międzyczasie doinstalowałeś Spybot - Search & Destroy, odinstaluj go. To przestarzały skaner, który nie radzi sobie z bieżącymi infekcjami i ogólnie nie ma sensu go używać, niezależnie od rodzaju infekcji. I tu nie pomoże już żaden skaner, bo infekcji w systemie nie ma, pozostały skutki jej działania czyli zaszyfrowane dane, a to jest zadanie dla dekodera a nie skanera.

 

2. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-2006376192-134370331-1719292346-1002\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking
RemoveDirectory: C:\Users\Zbigniew Niewiński\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy
CMD: del /q "C:\Users\Public\Desktop\Post Win10 Spybot-install.exe"
CMD: del /q C:\WINDOWS\system32\Drivers\etc\hosts.*.backup
Hosts:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

 

I pytanie, czy w Google Chrome jest potrzebne odtworzenie zakładek z poprzedniego poprawnego profilu? Na dysku nadal jest folder profilu "Default" i jest szansa wygrzebać coś stamtąd i przekopiować do świeżo założonego profilu.

 

[ZBIGOL1]

Po założeniu nowego konta w Chrome część zakładek została tak że te najważniejsze dla mnie mam. Spy bota zaraz usunę. Czy Malwarebytes też bo też zainstalowałem?

[picasso]

Można spróbować odzyskać komplet zakładek. Do deinstalacji poleciłam tylko SpyBota, MBAM to znacznie lepszy skaner i warto go sobie zachować.

[ZBIGOL1]

załączam nowe pliki po naprawie i skanowaniu

 

Fixlog.txt

[picasso]

Fix wykonany. Jeśli chodzi o odtworzenie wszystkich zakładek, to możesz spróbować tej operacji:

 

Zamknij Google Chrome. Przekopiuj plik Bookmarks z folderu:

 

C:\Users\Zbigniew ...\AppData\Local\Google\Chrome\User Data\Default

 

do:

 

C:\Users\Zbigniew ...\AppData\Local\Google\Chrome\User Data\Profile 1

 

Uruchom Google Chrome i sprawdź czy wszystkie poprzednie zakładki są na miejscu.

[ZBIGOL1]

Witam

zakładki wróciły. Dziękuję serdecznie za pomoc.

[picasso]

1. Dane Chrome pomyślnie odzyskane, więc przez SHIFT+DEL (omija Kosz) możesz skasować w całości z dysku ten folder:

 

C:\Users\Zbigniew ...\AppData\Local\Google\Chrome\User Data\Default

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

3. Lista programów zawierająca m.in aplikacje zabezpieczające przed infekcjami szyfrującymi dane: KLIK.

 

I pozostaje czekać co przyniesie przyszłość w kwestii zakodowanych plików.

[ZBIGOL1]

wykonane. Jeszcze raz dziękuję i pozdrawiam.

Log po czyszczeniu Delfix.

 

DelFix.txt

[picasso]

Skasuj zdysku plik C:\delfix.txt.

 

To wszystko. Temat zamykam. Jeśli pojawi się jakaś nowa informacja w kwestii zakodowanych plików, zgłoszę się tu.