Ransomware
#1
Czesc. Mam atak Ransomware nwm czy nie jest to jakiś nowy tym infekcji bo nie mogę znaleźć za wiele informacji na ten temat. W załącznikach dodam zdjecia. Infekcja miała miejsce przez torrenty lub a nawet raczej przez stronę bo wyskoczyła mi reklama gdzie nigdy wcześniej nie miałem. Na komputerze nie były robione zadne czynności a kopia systemu znikła. Przeglądając foldery zauważyłem, ze wszystkie pliki zmieniły format. Sory, że w linku ale coś nie mogę dodać zdj na tel. 

[Aby zobaczyć linki, zarejestruj się tutaj]



[Aby zobaczyć linki, zarejestruj się tutaj]


Odpaliłem w trybie awaryjnym i widzę że praktycznie żaden pliki nie zostały zainfekowane na partycji D. Czy jeżeli w rzucę w chmurę to pliki będą bezpieczne? Jak pozbyć się tych plików txt z folderów
Odpowiedz
#2
Zanim doczekasz pomocy Tachiona, zamknij komputer, żeby nie zaszyfrowało wszystkich plików. Potem uruchom w trybie awaryjnym z obsługą sieci i wykonaj logo wymagane w tym dziale Suspicious
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#3
Okej nie wykonałem tych działań ze względu, że komputer wyłączałem i nie chciałem go włączać do wyjaśnienia sprawy.
Odpowiedz
#4
bez logów Tachion nic nie zdziała ...
Odpowiedz
#5
Tiubu jak wykonać te logi Tachion?
Odpowiedz
#6
(04.02.2018, 17:03)Muszkie napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Tiubu jak wykonać te logi Tachion?

[Aby zobaczyć linki, zarejestruj się tutaj]

W dziale na samej górze jest regulamin. Przeczytaj go uważnie Wink
Odpowiedz
#7
No to są w klejone te logi
Odpowiedz
#8
Chodziło mi o to, że @tachion je sprawdza i odpowiada. Musisz poczekać Smile
Odpowiedz
#9
tibu logi są wszystkie w jednym pliku
Odpowiedz
#10
Niestety ale na ten typ ransoma nie ma na chwilę obecną deszyfratora.

Procedura usuwająca infekcję:

Uruchom komputer w tym samym trybie.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:
HKU\S-1-5-21-1143460657-3660538600-338999277-1000\...\RunOnce: [gjzrobpmlkf] => C:\Users\Maciek\AppData\Roaming\Microsoft\tbmxsv.exe [182784 2018-02-04] ()
HKU\S-1-5-21-1143460657-3660538600-338999277-1000\...\Policies\Explorer: [TurnOffSPIAnimations] 1
HKU\S-1-5-18\...\Policies\Explorer: [TurnOffSPIAnimations] 1
Startup: C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GDCB-DECRYPT.txt [2018-02-04] ()
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
U4 CscService; Brak ImagePath
U4 RemoteRegistry; Brak ImagePath
U2 wscsvc; Brak ImagePath
C:\Windows\system32\mracsvc.exe
C:\Windows\system32\Drivers\mracdrv.sys
C:\Users\Maciek\AppData\Roaming\Microsoft\tbmxsv.exe
Task: {346D97E4-0EB4-49CB-83B9-C8873AF1DCBB} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe [2018-01-12] (Overwolf LTD)
Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku <==== UWAGA
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Option => "OptionValue"="2"
CMD: del /q /s C:\*GDCB-DECRYPT*
CMD: netsh advfirewall reset
CMD: ipconfig /flushdns
CMD: Bitsadmin /Reset /Allusers
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.
Odpowiedz
#11
W tym samym trybie?
Odpowiedz
#12
tak
Odpowiedz
#13
Czyli mam uruchomić w trybie awaryjnym tak?
Odpowiedz
#14
tak
Odpowiedz
#15
Uruchomienie w trybie awaryjnym nic nie zmieni - robak i tak się odpali i zacznie swoją "pracę". Trzeba dysk uruchomić na osobnym systemie (może być jakaś dystrybucja live, np: system z pendrive), który pozwoli otworzyć rejestr na tym zawirusowanym dysku. I wtedy zastosować wskazówki Tachiona.
A deszyfratorów nie ma do większości tych ransomware'owych robali.
Odpowiedz
#16
wredniak dobrze mówi

Na ransomy tylko HIPS/restrykcje i izolacje aby ograniczyć infekcje i ofc kopia zapasowa na osobny nośnik nie podłączony na co dzień.

A co do odyskania danych jak ransom sie ujawwni pokaże wiadomość to raczej już wszystkie pliki jakie szyfruje/mógł to własnie już je zaszyfrował ;/
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#17
Oj tam

Trza wiedzieć jak to działa. W trybie awaryjnym bez problemu to usunie jak i trybie myślę normalnym też. Ransom pętlę robi z serwerem, jeśli nie będzie połączenia to szyfrowanie nie nastąpi. Ogólnie myślę że i tak zaszyfrował już wszystko.
Odpowiedz
#18
Powiem tak jak wczoraj zauważyłem, że mam ten syf od razu wyłączyłem komputer dzisiaj od rana siedzę na awaryjnym i według mnie nie zainfekował więcej plików przynajmniej tych na których mi zależy. Wrzucam wszystko w chmurę a potem chyba format całkowity pozostaje zrobić.
Odpowiedz
#19
Na tą chwilę jest w pętli ale infekcji brak.

Podaj raport z fixa. Jak nie wykonałeś to wykonaj. Format jest zbędny.
Odpowiedz
#20
Zrzucam ostatnie pliki około 20min jeszcze i wykonam. Format może i zbędny ale lepiej będę sie czuł jak wyczyszczę cały dysk.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 2 gości