krzywomordus Opublikowano 31 Grudnia 2023 Zgłoś Udostępnij Opublikowano 31 Grudnia 2023 Hej, nie sądziłem, że kiedykolwiek będę musiał prosić o pomoc w tej sprawie, ale zostałem ofiarą ransomware i dla świętego spokoju (oraz cennej wartości zaszyfrowanych plików) chyba zapłacę haracz. W każdym razie chciałbym się dowiedzieć, jak to się stało i zabezpieczyć się przed podobnym wydarzeniem w przyszłości. Jestem w trakcie odszyfrowywania na komputerze, który opadł ofiarą (i nie mam wciąż pewności, czy to zadziała), ale chciałbym poprosić o pomoc i zerknięcie najpierw na mój komputer osobity (nr 1) czy czegoś tam nie ma, a potem po całej tej akcji zrobię raport z zaszyfrowanego komputera (nr 2) i ewentualnie innego komputera biurowego (nr 3). Patrzę i nie widzę jeszcze nic podejrzanego, ale dawno się tym nie zajmowałem i wiele mogło się zmienić w świecie trojanów. Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
jessica Opublikowano 31 Grudnia 2023 Zgłoś Udostępnij Opublikowano 31 Grudnia 2023 Jakoś nie mogę znaleźć tematu opisującego RANSOMWARE , napisanego przez @picasso. W logach nie widzę niczego podejrzanego, ale to o niczym nie świadczy, poza tylko tym, że tu nie widać plików zaszyfrowanych przez Ransomware. Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym Pokaż ukrytą zawartość START:: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] KLM-x32\...\Run: [Blackmagic CheckVersion] => C:\Program Files (x86)\Blackmagic Design\Blackmagic Desktop Video\CheckVersion.exe (No File) HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ATTENTION HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ATTENTION HKU\S-1-5-21-3257870137-4252036179-3097448466-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-3257870137-4252036179-3097448466-1000\...\Run: [PopupUI] => D:\Program Files (x86)\Wondershare\Dr.Fone Virtual Location\PopupUI.exe (No File) GroupPolicy: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION FF Plugin-x32: adobe.com/AdobeExManDetect -> C:\Program Files (x86)\Adobe\Adobe Extension Manager CS6\npAdobeExManDetectX86.dll [No File] S3 SwitchBoard; "C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [X] S3 btwampfl; \SystemRoot\system32\DRIVERS\btwampfl.sys [X] U3 idsvc; no ImagePath C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects CC 2018.lnk AlternateDataStreams: C:\ProgramData:CCA20CD7594C2AF0 [1] AlternateDataStreams: C:\WINDOWS\system32\ProgramData:48C6E5B13E778F0D [1] AlternateDataStreams: C:\Users\All Users:CCA20CD7594C2AF0 [1] AlternateDataStreams: C:\ProgramData\Application Data:CCA20CD7594C2AF0 [1] AlternateDataStreams: C:\ProgramData\PACE:8191F103A951822F [1] AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhinhqhifh [0] AlternateDataStreams: C:\Users\Iskander\Cookies:e22QSLpveq7CAlpub1A [2504] AlternateDataStreams: C:\Users\Iskander\Cookies:Fj81FQxjG0cWaMZzqKJ4TPa [2176] EmptyEventLogs: EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). jessi Odnośnik do komentarza
krzywomordus Opublikowano 1 Stycznia 2024 Autor Zgłoś Udostępnij Opublikowano 1 Stycznia 2024 Bo to nie był komputer zaszyfrowany – po prostu znajdował się w tej sieci i szukam podejrzanego, skąd to się przywlekło. Z pliku Fixlog wklejam to, co się nie powiodło: Pokaż ukrytą zawartość KLM-x32\...\Run: [Blackmagic CheckVersion] => C:\Program Files (x86)\Blackmagic Design\Blackmagic Desktop Video\CheckVersion.exe (No File) => Error: No automatic fix found for this entry. C:\ProgramData => ":CCA20CD7594C2AF0" ADS could not remove. C:\Users\All Users => ":CCA20CD7594C2AF0" ADS could not remove. C:\ProgramData\Application Data => ":CCA20CD7594C2AF0" ADS could not remove. Natomiast na komputerze zaszyfrowanym udało mi się odzyskać 100% plików, niestety po opłaceniu haraczu. Przy okazji zniknęła masa plików konfiguracyjnych, a system wygląda w opłakanym stanie i już mu chyba nie zaufam bez pełnego formatu. W każdym razie załączam logi z tego zaszyfrowanego komputera (dla prostoty dałem tę annotację w nazwach plików) już po uruchomieniu decryptora, który mógł sam po sobie posprzątać. Addition - zaszyfrowany.txtPobieranie informacji ... FRST - zaszyfrowany.txtPobieranie informacji ... Shortcut - zaszyfrowany.txtPobieranie informacji ... Odnośnik do komentarza
jessica Opublikowano 1 Stycznia 2024 Zgłoś Udostępnij Opublikowano 1 Stycznia 2024 Tylko drobna kosmetyka: Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym Pokaż ukrytą zawartość START:: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1637808161-3819644861-2626351285-1001\...\Run: [AdobeBridge] => [X] Task: {F985D9BF-66BA-446A-90D6-CAFBE96E13D9} - System32\Tasks\izrael bat => C:\Users\AFiT\Downloads\israel.bat [163774 2023-01-05] () [File not signed] C:\Users\AFiT\Documents\Adobe\After Effects 2020\User Presets\(Adobe).lnk END:: W FRST kliknij na Fix (NAPRAW). jessi Odnośnik do komentarza
krzywomordus Opublikowano 4 Stycznia 2024 Autor Zgłoś Udostępnij Opublikowano 4 Stycznia 2024 Dziękuję za pomoc. Teraz robię research na temat ransom-odpornych backupów... Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się