Ransomware

[tachion]

Niestety ale na ten typ ransoma nie ma na chwilę obecną deszyfratora.

Procedura usuwająca infekcję:

Uruchom komputer w tym samym trybie.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:

HKU\S-1-5-21-1143460657-3660538600-338999277-1000\...\RunOnce: [gjzrobpmlkf] => C:\Users\Maciek\AppData\Roaming\Microsoft\tbmxsv.exe [182784 2018-02-04] ()
HKU\S-1-5-21-1143460657-3660538600-338999277-1000\...\Policies\Explorer: [TurnOffSPIAnimations] 1
HKU\S-1-5-18\...\Policies\Explorer: [TurnOffSPIAnimations] 1
Startup: C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GDCB-DECRYPT.txt [2018-02-04] ()
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
U4 CscService; Brak ImagePath
U4 RemoteRegistry; Brak ImagePath
U2 wscsvc; Brak ImagePath
C:\Windows\system32\mracsvc.exe
C:\Windows\system32\Drivers\mracdrv.sys
C:\Users\Maciek\AppData\Roaming\Microsoft\tbmxsv.exe
Task: {346D97E4-0EB4-49CB-83B9-C8873AF1DCBB} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe [2018-01-12] (Overwolf LTD)
Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku <==== UWAGA
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Option => "OptionValue"="2"
CMD: del /q /s C:\*GDCB-DECRYPT*
CMD: netsh advfirewall reset
CMD: ipconfig /flushdns
CMD: Bitsadmin /Reset /Allusers
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.