Trojan-Ransom.Win32.Gimemo - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html) +--- Wątek: Trojan-Ransom.Win32.Gimemo (/thread-4918.html) |
Trojan-Ransom.Win32.Gimemo - Ransom - 08.06.2012 Witam, Komputer został zainfekowany. System: Windows XP Media Center Edition Wersja 2002 SP 2 Objawy i leczenie jak na filmiku znalezionym w sieci: [Aby zobaczyć linki, zarejestruj się tutaj] Nie można było nic robić. Brak dostępu do tryby awaryjnego. Po użyciu Kaspersky Rescue Disc 10 system postawiony na nogi (krok po kroku jak na filmiku + pełny skan). Znalezione i usunięte zagrożenia: - Trojan-Ransom.Win32.Gimemo.uko - Exploit.Java.CVE-2011-3544.lk Potem skan następujacymi programami: - Eset Nod32 - MalwareBytes Anti-Malware - HitmanPro Wszystkie z aktualnymi bazami. MalwareBytes i HitmanPro znalazły i usunęły jakieś dodatkowe rzeczy. System wydaje się być już czysty. Jednakże wszystkie pliki z rozszerzeniami .doc .pdf .mp3 .jpg .jpeg oraz niektóre pliki .exe zmieniły nazwę i stały się "nieznane" dla systemu. Z tego co wyczytałem zostały zaszyfrowane rzez wirusa. Czy istnieje możliwość odszyfrowania danych? Re: Trojan-Ransom.Win32.Gimemo - KaMiL - 09.06.2012 Jeśli ta odmiana wirusa zaszyfrowała pliki to niestety, z tego co wiem, już ich nie odzyskasz. Przeskanuj jeszcze raz dla pewności system dwoma skanerami, których wcześniej użyłeś. Możesz po tym pokazać logi OTL, aby ktoś je sprawdził i wyczyścił system z ewentualnych śmieci i pozostalości po wirusie. forum.safegroup.pl/otl-wykonanie-logow-obowiazkowych-t3110.html BTW Zaktualizuj system do SP3 Re: Trojan-Ransom.Win32.Gimemo - rafikrafiki - 09.06.2012 Tak jak @kamil10506powiedział, system musi być na bieżąco aktualizowany, oraz programy w nim. Więc dobrym wyjściem jest zainstalowanie Secunia PSI, ten program zadba o aktualne wersje programów w naszym systemie. Podejrzewam jednak, że prawdopodobnie sam zainfekowałeś system i teraz leczysz skutki, bo ostatnio na forum częstymi gośćmi są te dwa zagrożenia, które podałeś. Radzę także zainstalować Sandboxie, gdzie można uruchamiać nieznane aplikacje, bez szkody dla systemu. I co najważniejsze odinstalować Javę, jeśli jej nie używasz. Bo to program dziurawy jak sito, a Oracle nie śpieszy się z łataniem wszystkich luk. Re: Trojan-Ransom.Win32.Gimemo - tachion - 09.06.2012 Hmm Gimemo to Ransom GVU Germany a tym co się zainfekowałeś to pewnie to jest ten [Aby zobaczyć linki, zarejestruj się tutaj] podobny ale to nie to samo,jest to nowsza odmiana która przy okazji szyfruje właśnie pliki możesz spróbować narzędzia xoristdecryptor[Aby zobaczyć linki, zarejestruj się tutaj] Jest to narzędzie na rozszyfrowanie ransoma innego troche które kodują 512 bitowym kluczem,może pomoże,chociaż wątpię ale spróbować nie zaszkodziSprawdź jeszcze rejestr czy nie ma takich wpisów i je usuń Niestety mam to tylko z logu działania gadziny i to na windows 7 32bitowym Disable regedit: machine\software\microsoft\windows\currentversion\policies\system\disableregedit = 00000001 Disable regedit: user\current\software\microsoft\windows\currentversion\policies\system\disableregedit = 00000001 Disable registry tools: user\current\software\microsoft\windows\currentversion\policies\system\disableregistrytools = 00000001 Disable Task Manager: machine\software\microsoft\windows\currentversion\policies\system\disabletaskmgr = 00000001 Disable Task Manager: user\current\software\microsoft\windows\currentversion\policies\system\disabletaskmgr = 00000001 +ewentualnie przywróć tą gałąź,to już z winxp wypakuj uruchom i zresetuj system [Aby zobaczyć linki, zarejestruj się tutaj] Re: Trojan-Ransom.Win32.Gimemo - Ransom - 11.06.2012 Dziękuje za zainteresowanie moim problem. Niestety xoristdecrypter nie pomógł. Próbowałem już wcześniej z niego skorzystać. Komputer został zainfekowany z winy użytkownika poprzez wejście w link z maila. Co do zmiany logów i pokazania logów z OTL wykonam to jak najszybciej. Chwilowo nie mam dostępu do tego komputera. Jeszcze raz dziękuję za zainteresowanie i mam nadzieję, że wspólnie znajdziemy rozwiązanie tego problemu. Re: Trojan-Ransom.Win32.Gimemo - rafikrafiki - 11.06.2012 Jak byś miał ten plik to podrzuć go. Re: Trojan-Ransom.Win32.Gimemo - Ransom - 14.06.2012 Witam, Oto logi z otl.exe [Aby zobaczyć linki, zarejestruj się tutaj] oraz z extras.exe [Aby zobaczyć linki, zarejestruj się tutaj] Mam nadzieje, że to coś pomoże i uda się odszyfrować pliki logów podanych przez tachiona nie miałem. przywrócenie gałęzi nic nie dało Re: Trojan-Ransom.Win32.Gimemo - Flash999 - 15.06.2012 Do OTL (bez kod) : Kod: :OTL Kliknij wykonaj skrypt i daj nowy log. To są Twoje DNSy? 217.172.224.160 89.231.1.206 Zaktualizuj: Windows do SP3 (wraz z poprawkami) Java Flash Player Adobe Reader (masz wersję 7!) Real Player Firefoksa też by się przydało (masz 3.5.9) OTL został uruchomiony wcześniej - daj poprzedni log. Niestety, poprzez logi plików się nie odszyfruje. Re: Trojan-Ransom.Win32.Gimemo - zaq26 - 16.06.2012 Witam. 3 dni temu zgłosił się do mnie kolega, któremu pojawiał się taki komunikat jak na screenie wklejonym przez Tachiona. Trojana dosyć szybko usunąłem - system przez chwilę chodził normalnie i to wystarczyło na instalacjęPandy Cloud i uruchomienie skanowania. Problem w tym, że wszystkie pliki użytkownika zostały zaszyfrowane. Zaszyfrowane zostały też nazwy plików, które są teraz losowymi ciągami znaków, bez rozszerzenia. Dysponuję parą identycznych plików: jeden oryginalny, a drugi zaszyfrowany. Mam nadzieję, że istnieje jakieś narzędzie umożliwiające uzyskanie na tej podstawie klucza i rozszyfrowanie pozostałych plików. Gdyby ktoś dysponował takim programem, byłbym wdzięczny za pomoc. Podrawiam PS. Próbowałem bez skutku narzędzia [Aby zobaczyć linki, zarejestruj się tutaj] oraz innych wyżej wymienionych.Re: Trojan-Ransom.Win32.Gimemo - Rqw - 20.06.2012 Może to pomoże? [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] |