mlik Opublikowano 29 Czerwca 2017 Zgłoś Udostępnij Opublikowano 29 Czerwca 2017 Witam, Mój znajomy potrzebuje pomocy z infekcją typu ransomware. Z tego co udało mi się zidentyfikować jest to BTCWare Master. Twierdzi, że nic podejrzanego nie było uruchamiane, a jednak. System nie tak dawno był już raz zaatakowany tego typu szkodnikiem (inny ransom), jednak skończyło się na formacie dysku (zerowanie dysku programem diagnostycznym) i instalacji systemu na nowo. Proszę o analizę raportów i ewentualnie informację co można zdziałać w tym temacie oraz pytanie: w jaki sposób można zabezpieczyć się przed tego typu infekcjami. Komputer działa w sklepie spożywczym (zaplecze magazynu) - służy głównie do odbierania e-maili i wprowadzaniu danych do programu magazynowego. W załączniku raporty (GMER nic nie wykrył) - pusty log. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 30 Czerwca 2017 Zgłoś Udostępnij Opublikowano 30 Czerwca 2017 Cytat Komputer działa w sklepie spożywczym (zaplecze magazynu) - służy głównie do odbierania e-maili i wprowadzaniu danych do programu magazynowego. Takie komputery są narażone najbardziej, bo te infekcje wypracowały sobie większość infekcji poprzez pobieranie zarażonych załączników. Zabezpieczenia są dwa, czyli założyć na skrzynkę filtrację antyspamową oraz zainstalować porządne oprogramowanie zabezpieczające np. marki Kaspersky czy Bitdefender. Nie wspomnę już o aktualizacjach oprogramowania i systemu. Jako, że nie wiemy z czym mamy do czynienia (wariant identyfikuje sam) poproszę najpierw o wgranie zaszyfrowanego pliku / notatki o okupie do usługi ID Ransomware i podanie wyników. Jako, że jest to komputer jakby nie patrzeć ważny sprzedawca pewnie będzie wolał kompleksowo sformatować dysk, a to czy dane są do odzyskania to się dowiemy po akcji z ID Ransomware. Odnośnik do komentarza
picasso Opublikowano 30 Czerwca 2017 Zgłoś Udostępnij Opublikowano 30 Czerwca 2017 Miszel03 W tym przypadku widać z raportu dokładnie co to za wariant. Istotnie, to BTCWare Master. Flagi infekcji, zaszyfrowane pliki z suffiksem *.master: 2017-06-29 19:49 - 2017-06-29 20:18 - 0001316 _____ () C:\Users\SPAR\AppData\Roaming\!#_RESTORE_FILES_#!.inf 2017-06-29 19:50 - 2017-06-29 19:50 - 3895077 _____ () C:\Users\SPAR\AppData\Roaming\1.bmp 2017-06-29 19:50 - 2017-06-29 20:18 - 0001316 _____ () C:\Users\SPAR\AppData\Local\!#_RESTORE_FILES_#!.inf 2017-06-29 19:50 - 2017-06-29 20:18 - 0001316 _____ () C:\ProgramData\!#_RESTORE_FILES_#!.inf 2017-06-13 13:02 - 2017-06-29 19:50 - 0000368 _____ () C:\ProgramData\hpzinstall.log.[darkwaiderr@cock.li].master mlik Odkodowanie plików awykonalne, dekoder BTCWareDecrypter do tej serii ransomware nie obsługuje wariantu *.master: KLIK. Cytat w jaki sposób można zabezpieczyć się przed tego typu infekcjami Podstawowy to aktualizacje oprogramowania i izolowana kopia zapasowa danych na dysku niedostępnym spod aktywnego Windows. Dodatkowo lista pomocniczych programów: KLIK. Odnośnik do komentarza
mlik Opublikowano 30 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 30 Czerwca 2017 Dziękuje za odpowiedź. Jeśli chodzi o dane, które zostały zaszyfrowane to akurat nie tak duże straty. Teraz najważniejszą rzeczą jest porządne zabezpieczenie sytemu przed tego typu infekcjami. Picasso czy mogłabyś polecić jakieś konkretne oprogramowanie zabezpieczające - Eset ? Kaspersky ? Bitdefender ? jakieś sugestie co do filtru antyspamowego ?. Proszę o podpowiedzi. Odnośnik do komentarza
Rekomendowane odpowiedzi