"Your personal files are encrypted"

[hom3r]

Witam, 

Ostatnio złapałem gdzieś złośliwe oprogramowanie które zainicjowało pojawienie się strony internetowej na której wyskoczył komunikat

"Your personal files are encrypted"

 

 na pulpicie zaczęły pojawiać się utworzone przezroczyste ikony skrótów  folderów które znajdowały się na pulpicie, nie da się otworzyć zdjęć. Na dysku D:/ również to samo. Proszę o pomoc

 

Pozdrawiam. hmr.

 

/ edit

Dodatkowo nie mogę otworzyć żadnego pliku . pdf ponieważ wyskakuję komunikat:

 

Addition.txt

FRST.txt

Shortcut.txt

gmr.txt

[Miszel03]

To infekcja Ransomware szyfrująca dane, ale przed podjęciem działań poproszę jeszcze o rozszerzenie diagnostyki względem szczepu Ransoma. 

 

W tym celu wysili zaszyfrowany plik (lub notatkę na temat deszyfracji w odpowiednim miejscu na stronie ID Ransomware) na serwer usługi ID Ransomware i dostarcz wynik analizy. Nie chcę zapeszać, ale większość danych, które są szyfrowane przez tego typu infekcję są nie do odzyskania.

[hom3r]

Wrzuciłem na stronę Bleepingcomputer jeden z plików ( .jpg ) który nie mogę otworzyć i zuploadowałem. Wynik :

 

 

 

Result

Spora

 This ransomware has no known way of decrypting data at this time.

It is recommended to backup your encrypted files, and hope for a solution in the future.

Identified by

• custom_rule: CRC32 of AES key

 

Click here for more information about Spora

 

 

 

Na dysku D mam utworzone kopie folderów które ikony  są przezroczyste, i oryginalne nie przezroczyste  te otwierają się w nowym oknie. Jestem w trakcie pisania pracy magisterskiej, czy moje pliki mogą być zagrożone ?

[Miszel03]

Jestem w trakcie pisania pracy magisterskiej, czy moje pliki mogą być zagrożone ?

 

Naprawdę bardzo mi przykro to pisząc. System został zainfekowany przez Ransomware Spora. Do tej pory nie wynaleziono skutecznego dekodera plików, który byłby w stanie odszyfrować pliki. Tym samym chcę powiedzieć, że poza zapłaceniem okupu pliki są nie do odzyskania. Dane polecam po dezynfekcji skopiować na jakiś dysk zewnętrzny i poczekać - może kiedyś będzie dekoder. 

 

Jeśli na tym komputerze był plik z pracą magisterską to jest zaszyfrowany i nie do odzyskania. O zapłaceniu okupu nawet nie myśl, to wysokie ceny i nie ma żadnej pewności na pomyślność deszyfracji (KLIK / KLIK). 

 

Nie ukrywam, że w przypadku tego typu infekcji zalecany jest kompleksowy format wszystkich dostępnych dysków. Napisz na co się decydujesz - czy leczymy system, czy go formatujesz i kopiujesz dane na inny nośnik.

[hom3r]

 Nie wszystkie pliki są zainfekowane (Pliki magisterki czyli  rysunki w formacie .dwg są nie ruszone, plik .doc 1 z dwóch też nie jest ruszony, niestety drugi zainfekowany), jest szansa by go rozszyfrować? Mam czas do oddania magisterki do 26 kwietnia, nie ukrywam że zależy mi na czasie

 

 

1. Czy odzyskanie plików graficznych jest na 100% nie możliwe ? 

2. Czy konta bankowe/hasła są bezpieczne?

3. Kopiując pliki ( video, mp3, instalki programów) (niezainfekowane) na dysk przenośny, nie przeniosę Ransomware na dysk?

4. Jakie są szanse "wyleczenia" systemu bez formatu i czy jest to czasowo opłacalne?

[Miszel03]

Dziwna sprawa, wygląda na to, że coś uniemożliwiło zaszyfrowanie wszystkich plików, a tylko części - no nic - tylko się cieszyć. Masz farta. 

 

Korzystasz z oprogramowania SpyHunter, a to delikatnie mówiąc program o bardzo wątpliwej reputacji. Cytuję z tematu picasso:

 

SpyHunter - Skaner wątpliwej reputacji bardzo silnie forsowany w wynikach Google i stosujący techniki manipulacji skłaniające do instalacji. Na Google cała masa wysoko pozycjonowanych opisów "usuwania malware" skonstruowanych w taki sposób, by pobrać SpyHunter jako cudowny darmowy lek na daną infekcję. Po instalacji okazuje się, że jest to program płatny. Niestety SpyHunter raczej nie jest wykrywany i usuwany, gdyż każde takie podejście kończy się sprawą w sądzie - przykład z AdwCleaner.

 

Jeśli Ty zechcesz się go pozbyć to odinstalujesz go z poziomu panelu sterowania (jeśli będę problemy, a mogą być bo instalacja wygląda na uszkodzoną to zastosujesz program SpyHunterCleaner). Żeby było jasne: to Twoja decyzja, ja nic nie sugeruję.

 

Przechodzimy do czyszczenia.

 

1. Zastoju RansomNoteCleaner, które usunie wszystkie notatki dot. uiszczenia haraczu. 

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [mbot_pl_160] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-689862577-831822958-2091172563-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-689862577-831822958-2091172563-1000\...\Policies\Explorer: [] 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1438338495&z=cf471b2753c8cebad7ef8d5g4z5c8b4c8c3b8z1z0e&from=cor&uid=HitachiXHTS547550A9E384_J2150050CUP3WDCUP3WDX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKU\S-1-5-21-689862577-831822958-2091172563-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKU\S-1-5-21-689862577-831822958-2091172563-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
HKU\S-1-5-21-689862577-831822958-2091172563-1000\...\ChromeHTML: ->  
Task: {06E81ADC-539E-4B57-BA04-272597C14302} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe  
Task: {322EC3A8-A66F-477E-AE12-7F5AC5270FBF} - \AutoKMS -> Brak pliku 
Task: {780987FC-7FB1-446E-8183-F70318C3FC0D} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe  
Task: {88A35B11-9E91-4718-80F1-046326946587} - System32\Tasks\SMupdate1 => Rundll32.exe C:\Program Files\Common Files\System\SysMenu.dll ,Command701 update1 
Task: {A40DC6E8-CCA8-4F65-B453-03C896134550} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\Program Files\Common Files\System\SysMenu.dll ,Command701 update3 
Task: {C60F9AD4-0C1C-491F-A191-D77F9CCFE95F} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\Program Files\Common Files\System\SysMenu.dll ,Command701 update2 
Task: {E60B47A1-F70B-49DC-81A1-8D82226E1385} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe  
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Matroska Pack\MatroskaDiag.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Matroska Pack\Read Me.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Matroska Pack\Uninstall the Matroska Pack.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HydroCAD\Uninstall HydroCAD.lnk
C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\BitTorrent.lnk
C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\Age of Empires III™.lnk
C:\Users\Piotr\AppData\Roaming\Microsoft\Virtual PC\Virtual Machines\Windows XP.lnk
C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pes-Patch.com 2015 v0.1 by lagun-2 part1\Uninstall Pes-Patch.com 2015 v0.1 by lagun-2 part1.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.

 

4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[hom3r]

Załączone pliki

RansomNotes.txt

AdwCleanerS0.txt

Malwarebytes raport.txt

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

1. Teraz prawnie jestem nie do ruszenia (i zespół SpyHuntera może mi skoczyć ), bo deinstalacja SpyHuntera była decyzją użytkownika. Posprzątaj po nim ostatecznie wykorzystując narzędzie SpyHunterCleaner. 

 

2. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść).

 

3. Wszystkie zagrożenia wykryte przez Malwarebytes daj do kasacji. 

 

4. Zrób nowy zestaw raportów FRST i GMER, powiedz też jak widzisz obecnie system.

[hom3r]

Podczas włączania komputera, nadal pojawia się strona Spora. Na dysku D utworzone kopie folderów z lokalizacją cmd C:\ windows\system32.

 

Moje pytanie brzmi, czy nadal mam zainfekowany komputer, czy jest możliwość dokończenia pracy na tym laptopie aby nie zarazić następnych plików.

Czy pliki które nie są zainfekowane mogę bezpiecznie skopiować na dysk przenośny i korzystać z nich po formacie.

Czy istnieje jakakolwiek możliwość odkodowania przynajmniej części, zaszyfrowanych plików?

 

Pozdrawiam, 

FRST.txt

Addition.txt

Shortcut.txt

gmr2.txt

[Miszel03]

Moje pytanie brzmi, czy nadal mam zainfekowany komputer, czy jest możliwość dokończenia pracy na tym laptopie aby nie zarazić następnych plików.

Czy pliki które nie są zainfekowane mogę bezpiecznie skopiować na dysk przenośny i korzystać z nich po formacie.

Czy istnieje jakakolwiek możliwość odkodowania przynajmniej części, zaszyfrowanych plików?

 

Już mówiłem, że cześć zaszyfrowana jest nie do odzyskania na tą chwile. Szansę na to, że dekoder będzie...marne. Na Twoim miejscu chyba wziąłbym każde inne urządzenie i kończył pracę magisterską - Twój temat ze względu na to i tak ma priorytet. 

Nie wiem ile nam to jeszcze zajmę, może dzień, może dwa - ale pliki, które nie są zaszyfrowane przeskanowałbym osobno jakimś skanerem np. Kaspersky / BitDefender jak będą czyste to dopiero wtedy przenieś na inne urządzenie. 

System jeszcze czysty nie jest, konta w banku powinny być bezpieczne, niemniej jednak po dezynfekcji obowiązkowa zmiana haseł w serwisach logowania. 

Co do formatu - mówiłem, że zalecany. Dane po skanie (te niezaszyfrowane, bo zaszyfrowanych nie musisz skanować) skopiować na dysk zewnętrzny i potem przenieś na nowy system.  

 

Zostały jeszcze wpisy, które uruchamiają notatkę deszyfracją w przeglądarce, ale jest lepiej względem wcześniejszej sytuacji. 

 

1. Powtórz działanie związane z RansomNoteCleaner. 

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:                                               
Startup: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html [2017-04-18] ()
C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html
2017-04-18 15:08 - 2017-04-18 15:08 - 00016670 _____ C:\Users\Piotr\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html
2017-04-18 15:08 - 2017-04-18 15:08 - 00016670 _____ C:\Users\Piotr\Desktop\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html
2017-04-18 15:08 - 2017-04-18 15:08 - 00016670 _____ C:\Users\Piotr\AppData\Roaming\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html
2017-04-18 15:08 - 2017-04-18 15:08 - 00016670 _____ C:\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html
2017-04-18 15:08 - 2017-04-18 15:08 - 0016670 _____ () C:\Users\Piotr\AppData\Roaming\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PESEdit.com 2014 Patch\PESEdit.com 2014 Patch.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PESEdit.com 2014 Patch\Settings.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Powtórz skan (do wyniku zero infekcji) Malwarebytes, jeśli coś wykryje daj wszystko do kwarantanny. Nie przenoś tylko plików szyfrowanych, jeśli takowe zostaną wykryte. Dostarcz raporty

 

4. Zrób nowy zestaw raportów FRST i GMER - jak będzie wszystko OK w raportach to robimy skan plików i je przeniesiesz poza system.

[hom3r]

Po skanie Malwarebytes 0 zagrożeń, ściągnąłem przy okazji BitDefendera.

 

 

FRST.txt

Shortcut.txt

Addition.txt

gmr3.txt

[Miszel03]

Żebyś przypadkiem nie używał przywracania systemu - bo dojdzie do reinfekcji. Dopiero jak wszystkie punkty zostaną skasowane (kwestia kilku sekund w finalizacji tematu).

1. Otwórz Notatnik w nim wklej: 
 

CloseProcesses:
CreateRestorePoint:   
U3 pxldrpob; \??\C:\Users\Piotr\AppData\Local\Temp\pxldrpob.sys [X] C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP
C:\Users\Piotr\AppData\Roaming\3432998970
C:\Users\Piotr\AppData\Local\Temp\9c1d450fa901b4fa27.exe
ShortcutWithArgument: C:\Users\Piotr\Desktop\Moje Dokumenty.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /c start explorer.exe "Moje Dokumenty" & type "9c1d450fa901b4fa27.exe" > "%temp%\9c1d450fa901b4fa27.exe" && "%temp%\9c1d450fa901b4fa27.exe"
ShortcutWithArgument: C:\Users\Piotr\Desktop\Trial-Reset 4.0 Final Fixed.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /c start explorer.exe "Trial-Reset 4.0 Final Fixed" & type "9c1d450fa901b4fa27.exe" > "%temp%\9c1d450fa901b4fa27.exe" && "%temp%\9c1d450fa901b4fa27.exe"
ShortcutWithArgument: C:\Users\Piotr\Desktop\Śmieci.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /c start explorer.exe "Śmieci" & type "9c1d450fa901b4fa27.exe" > "%temp%\9c1d450fa901b4fa27.exe" && "%temp%\9c1d450fa901b4fa27.exe"
C:\Users\Piotr\Links\Nowy folder.lnk
EmptyTemp: 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Zapuść skan całego systemu za pomocą BitDefendera, a po nim przeskanuj jeszcze osobno (poprzez opcję skanuj wybrane pliki czy folder) pliki, które są zaszyfrowane i niezaszyfrowane i dopiero wtedy (jeśli będą czyste) możesz je przenieść na inny dysk. Jeśli coś wykryje to dostarcz raport.

[hom3r]

Przed poprzednim działaniem ( 1. Otwórz Notatnik w nim wklej:) , przeskanowałem komputer Defenderem wykryło 7 zagrożeń, Trojan Generic 1220345 wszystkie dotyczące jednej instalki. Przeskanowałem pojedynczy plik który został zaszyfrowany wynik - clean. 

Co do defendera, nie jestem pewny ale nie mogę znaleźć nigdzie możliwości skopiowania raportu, być może dlatego ze to wersja free?

[Miszel03]

W BitDefender kliknij w View Files i pokaż mi konkretnie okno. Co do Windows Defender - to pewnie w instalce było adware, - do kasacji.

[hom3r]

Po pełnym skanowaniu, wyskoczyło to samo co wcześniej.

[Miszel03]

To związane z jakąś instalką, ale jeśli po jej uruchomieniu w przeszłości żadne problemy nie wystąpiły, to wydaję mi się, że AV czepia się pochodzenia, czyli Asystenta Pobierania.

 

Pliki do przeniesienia, rób teraz wszystko bezpiecznie i rób kopie danych. Obserwuj jeśli infekcja by powróciła zgłoś się. Powodzenia w pracy magisterskiej!

[hom3r]

Wielkie dzięki za poświęcony czas. Dziękuje i pozdrawiam Miszel

[thething]

Wielkie dzięki za poświęcony czas. Dziękuje i pozdrawiam Miszel

 

Ten program uratował by twoje pliki, zabezpieczone przez niego zostały by nie tknięte, zresztą żaden ransomware na ten czas nie może zaszyfrować plików chronionych przez niego, są dziesiątki podobnych testów.

 

[Miszel03]

Program dawno nie jest aktualizowany. Ostatnia aktualizacja przypada na marzec ubiegłego roku. 

 

W końcu najnowsze Ransomy to obejdą. Kopie zapasowe...kopie zapasowe. Kiedy się nauczycie? Nic Wam nie da większej pewności. Darmowa usługa Google Dysk / dysk zewnętrzny i po sprawie.

Edytowane 26 Kwietnia 2017 przez Rucek

[thething]

Nie każdy ma super internet (ja mam np. limity na miesiąc), a pozatym 15GB w Google Dysk to jak nic. Tak program jest nieaktualizowany, wielka szkoda ale jak widać działa perfekcyjnie, choć nie był tworzony do ochrony przed tymi dziadostwami, nawet Cerber nie daje rady. 

[Miszel03]

Tak, to rozumiem, ale nie możecie nastawiać się na to, że taki program będzie w stanie chronić w nieskończoność i ja bym nastawiał się na coś innego. 

[Rucek]

Popieram Miszela, dodatkowo @thething nie reklamuj proszę tego programu w Dziale Pomocy Doraźnej (to nie dział do omawianie zabezpieczeń), Twój post skasowałem, przypominam o uprawnieniach - kto może udzielać się w dziale.

[hom3r]

Cześć, minął jakiś czas od felernego zdarzenia. Posiadam nadal pliki, które chciałbym odzyskać. Czy coś ruszyło się w tym temacie i jest możliwość odzyskania zakodowanych plików? 

 

Pozdrawiam hmre.

[Miszel03]

Zrób zestaw raportów FRST, abym upewnił się, że Twój system jest wolny od złośliwego oprogramowania.

 

Zaszyfrowany plik prześlij na serwer usługi ID Ransomware (program pokazuję również czy wynaleziono dekoder) i dostarcz wynik analizy (najlepiej screen).

[hom3r]