Zainfekowany zewnętrzny dysk HDD
#21
(02.02.2020, 14:21)bluszcz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Trochę mętlik zrobiliście pisząc o ransomware. Na razie nie widzę nic co napisałby autor tematu świadczącego o ransomware, a przeskanowanie dysku to niskie ryzyko*. Poza tym część ransomware źle szyfruje dyski i czasem da się odzyskać dane bez płacenia okupu.

*Czasem może usunąć coś potrzebnego do odszyfrowania, ale to mała szansa.


No to przeczytaj pierwszy post wątku.

"...część tekstu została jakby  zaszyfrowana (z tego co mówiła). Po podłączeniu do laptopa jej kolegi za pomocą usb, także ten został zainfekowany a objawy były podobne."

Po tej części zdania, możemy sądzić, ze chodzi o ransomware.
Odpowiedz
#22
(02.02.2020, 13:25)dolar444 napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Edit: Możesz pobrać wspomniane rozwiązania i zrobić LiveCD jak Hirens i tak dalej, albo jeszcze Sergei strelec i masz programy do diagnostyki dysków kopi odzyskiwania czy AV także, nawet Kaspra i DR Web
Więc najlepszą opcją jest Kasperski czy w/w opcje? Rozumiem że Kasperski ma od razu skaner więc przeskanować, później zrobić jakieś logi dla informacji itp? Czy najpierw diagnostyka a później się zobaczy?

Chciałem użyć Rufusa, tylko nie wiem jak ustawić go w przypadku takich programów.  Szukam na necie, ale są tylko poradniki jak zainstalować Windowsa.

Jeżeli chodzi WinSetupFromUSB wcześniej jest taka opcja do zaznaczenia RMPrepUSB w zależności jaki system instalujesz. I nie wiem czy Freedos bootable czy Syslinux bootable.

Przepraszam za marudzenie.
Odpowiedz
#23
(02.02.2020, 14:45)dolar444 napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

(02.02.2020, 14:21)bluszcz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Trochę mętlik zrobiliście pisząc o ransomware. Na razie nie widzę nic co napisałby autor tematu świadczącego o ransomware, a przeskanowanie dysku to niskie ryzyko*. Poza tym część ransomware źle szyfruje dyski i czasem da się odzyskać dane bez płacenia okupu.

*Czasem może usunąć coś potrzebnego do odszyfrowania, ale to mała szansa.


No to przeczytaj pierwszy post wątku.

"...część tekstu została jakby  zaszyfrowana (z tego co mówiła). Po podłączeniu do laptopa jej kolegi za pomocą usb, także ten został zainfekowany a objawy były podobne."

Po tej części zdania, możemy sądzić, ze chodzi o ransomware.
Chyba przeczytałem wszystko, tylko nie pierwszy post Craze

Mimo wszystko napisane jest o części danych, a często odzyskanie połowy danych to już sukces. Poza tym nie wiemy czy rzeczywiście ten tekst jest zaszyfrowany czy po prostu malware nadpisał część danych, by móc gdzieś się wkleić.

Do autora: czy powiedziała na czym jej zależy na tym dysku? Myślę, że jeśli nie zależy jej na programach to można by oprócz skanowania usunąć wszystkie pliki z rozszerzeniem .exe, .com i inne binarne. Dalej pozostaje możliwość pozostawania malware w postaci skryptów albo makr w Office.
Odpowiedz
#24
(02.02.2020, 16:28)bluszcz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Do autora: czy powiedziała na czym jej zależy na tym dysku?
Tak, zależy. Żeby nie zależało, to byłby format i nie pytałbym się o scan i unieszkodliwienie gada.
Odpowiedz
#25
ale kwejk robicie problem prosty i rozwiązanie proste a rozpisujecie sie jak by nie wiadomo co było. zgrać linuxa
Co do odzyskania to do odzyskania resztę format i opcjonalnie można zrobić test dysku i tyle.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#26
Musze się zgodzić z @Quassar zrobił się wielki mętlik.

@morfeusz Jak pisał już @Quassar zrób LiveCD z wspomnianym Kaspersky od @Fix00ser
Użyj rufusa, bo wystarczy, że wskażesz ISO gdzie leży i klikniesz start, po czym zgodzisz się na domyślne opcje jakie podpowie. Tyle wystartuj z niego przeskanuj zobacz co sprawdzi co usunie, podrzuć screen.

Bo narazie zaczynamy wchodzić w dywagacje czy to ransomware, można odzyskać, nie można odzyskać, a tak naprawdę nawet nie wiemy z czym mamy do czynienia i co to jest.
Odpowiedz
#27
(02.02.2020, 16:53)dolar444 napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Użyj rufusa, bo wystarczy, że wskażesz ISO gdzie leży i klikniesz start
Więc na domyślnych ustawieniach?
Ok, dzięki.
Odpowiedz
#28
(02.02.2020, 17:00)morfeusz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

(02.02.2020, 16:53)dolar444 napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Użyj rufusa, bo wystarczy, że wskażesz ISO gdzie leży i klikniesz start
Więc na domyślnych ustawieniach?
Ok, dzięki.

Tak domyślne, tak jak podpowiada program.
Odpowiedz
#29
(02.02.2020, 16:47)morfeusz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

(02.02.2020, 16:28)bluszcz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Do autora: czy powiedziała na czym jej zależy na tym dysku?
Tak, zależy. Żeby nie zależało, to byłby format i nie pytałbym się o scan i unieszkodliwienie gada.
Nie pytałem się czy zależy w ogóle, ale czy wiesz na czym konkretnie jej zależy. Jest różnica między powiedzeniem zależy mi na wszystkim na dysku, a powiedzeniem zależy mi na tych kilku plikach PDF z fakturami z folderu XYZ. Niestety AV nie zawsze wszystkie zagrożenia usunie.

Nie pamiętam czy te bootowalne AV mają jakieś raporty, które można łatwo wyeksportować, ale jeśli są to najlepiej wrzuć tutaj.
Odpowiedz
#30
Okazało się że koleżanka ma laptopa do którego podłącza zainfekowany dysk. Podłączyłem do  niego ten dysk przez usb i zrobiłem skanowanie programem Forbar Recowery Scan Tool który jest wskazany na samej górze tego działu. Tylko nie wiem czy raport ze scanu uwzględnia wszystkie partycje, zewnętrzny dysk czy tylko systemową.

Edit. Ktoś mógłby sprawdzić tę diagnostykę, aby móc dalej coś zrobić z tym dyskiem zewnętrznym i laptopem? Teraz już chyba łatwiej kiedy już mogę normalnie użyć komputera. Jakie programy, scanery itp? Co da się uratować, to chcę później wszystko przenieść z dysku C na D, aby zrobić format dysku systemowego i zainstalować nowy system.
Odpowiedz
#31
Kaspersky dla kilku znanych ransomware posiada deszyfratory. Niestety nie do wszystkich. Jednak nie skreślałbym zaszyfrowanych plików - jak coś ważnego to wrzucić na jakiś backup, może z czasem ktoś się pokusi o napisanie deszyfratora do tego typu.
Odpowiedz
#32
(04.02.2020, 13:47)wredniak napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Kaspersky dla kilku znanych ransomware posiada deszyfratory. Niestety nie do wszystkich. Jednak nie skreślałbym zaszyfrowanych plików - jak coś ważnego to wrzucić na jakiś backup, może z czasem ktoś się pokusi o napisanie deszyfratora do tego typu.

Na podstawie diagnostyki co to w ogóle jest, co z tym zrobić i czym to zrobić? Scanować wszystkimi dostępnymi scanerami i mieć nadzieje że będzie ok? Co nie da się uratować to trudno, ale co się da to byłoby fajnie. Dobrze żeby nie roznosić tego po innych sprzętach i mieć możliwość normalnie korzystać z tego laptopa i zewnętrznego dysku. Komp jest stary więc mniejsza strata, ale dysk zewnętrzny ciągle się przydaje a teraz leżą bezużytecznie, bo strach zaczepiać.
Odpowiedz
#33
Mało prawdopodobne że tutaj byłą infekcja ransoware, bardziej upierał bym się na oprogramowanie reklamotwórcze typu PUP, adware. W ogóle nie widać jakiejś innej infekcji.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:


Kod:
CloseProcesses:
CreateRestorePoint:
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {0185E312-4FD3-4F45-B012-07AC3C483C64} - System32\Tasks\{C107E0D6-F2BC-4B0B-9795-2AC4A351107F} => C:\Program Files\ByteFence\ByteFence.exe [3891016 2019-05-02] (Byte Technologies LLC -> Byte Technologies LLC)
Task: {5E30C3C1-CB7B-4569-9D9B-7B2BBB79F028} - System32\Tasks\ByteFence => C:\Program Files\ByteFence\ByteFence.exe [3891016 2019-05-02] (Byte Technologies LLC -> Byte Technologies LLC) <==== UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-3957222547-4172437104-3258030968-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.global-pl.com/
HKU\S-1-5-21-3957222547-4172437104-3258030968-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
SearchScopes: HKU\S-1-5-21-3957222547-4172437104-3258030968-1000 -> DefaultScope {06651016-6D44-4AB1-8648-82FE3528D0AB} URL = hxxp://www.global-pl.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-3957222547-4172437104-3258030968-1000 -> {06651016-6D44-4AB1-8648-82FE3528D0AB} URL = hxxp://www.global-pl.com/search?q={searchTerms}
FF Extension: (Avast SafePrice | Porównania, promocje, kupony) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\mpper8wf.default-1567602044134\Extensions\[email protected] [2020-02-03]
FF Extension: (Avast Online Security) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\mpper8wf.default-1567602044134\Extensions\[email protected] [2020-02-03]
R2 ByteFenceService; c:\program files\bytefence\ByteFenceService.exe [156488 2019-05-02] (Byte Technologies LLC -> Byte Technologies LLC) <==== UWAGA
U3 aswbdisk; Brak ImagePath
hosts:
CMD: netsh advfirewall reset
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.

Odinstaluj:

Avast Free Antivirus (Polityka prywatności i ogólne problemy związane z tym oprogramowaniem)
AVG AntiVirus FREE
AVG TuneUp

ByteFence Anti-Malware (Niechciany)


Przy podłączonym do USB napędzie zewnętrznym pobierz to oprogramowanie: 

[Aby zobaczyć linki, zarejestruj się tutaj]


Uruchom > klik Run Analysis > Scan USB, wynik przedstaw na forum.

Zrób też kolejne logi FRST i je przedstaw.

jeśli możesz to prześlij jakiś przykładowy zaszyfrowany plik, jestem ciekaw czy rzeczywiście doszło do tej infekcji i też jaki ransom to spowodował.
Odpowiedz
#34
Dzięki Tachion za zainteresowanie. Z tego co wiem laptop i zewnętrzny dysk był chyba wcześniej przez kogoś scanowany.  Generalnie nie można otworzyć dużo plików tekstowych z offica i zdjęć jpg, ale pliki filmowe i muzyczne są ok. Używałem do tego  różnych programów. Rozumiem że są nie do odzyskania? Czy te pliki które nie można otworzyć są bezpieczne choć uszkodzone? Można swobodnie podłączać pendrive, przenosić pliki na inny komputer? Chciałbym przenieść wszystko na partycję D, zrobić format i zainstalować nowego Windowsa. Można to robić?
Przeskanować jeszcze jakimiś scanerami?

Dziwne że programem UsbFix po kolejnych scanaowaniach raport był inny.
Odpowiedz
#35
A ten zrzut infected elements to z czego ? Coś się mi wydaje że to fałszywa detekcja. Jeśli możesz i są te skróty jeszcze dostępne to je prześlij. Prześlij jeszcze jakiś jpg który rzekomo jest zakodowany bo to co wstawiłeś nie wskazuje na kodowanie ransomem.

Kodowanie ransomware wygląda tak, przy kodowaniu np. Ransomem Ryuk

[Obrazek: Kj1bcZP.jpg]

Pytanie też czy ten dysk teraz był też podłączony w czasie skanu usbfix, jeśli tak to w programie przy podłączonym dysku klik opcję MAKE A LISTING
Odpowiedz
#36
Zrzut infected elements to scan wszystkich elementów (laptop, dysk zewnętrzny) programem UsbFix, w którym taka opcja była dostępna.

Przejrzałem te skróty z tego scanu i w folderach o nazwie: kurs instruktorki, czarnobyl, teledyski do elektry jest ta sama zawartość. Pokazane  to jest w zrzucie poniżej gdzie pierwszym folderem o nazwie jest "LEGO Creations". W skrótach "madame elektra wege, miss got fama znajdowały się m.in pliki JPG które nie mogły się otworzyć. W pozostałych 2 skrótach są tylko filmiki nagrywane z komórki które normalnie odpalają.

Tak, dysk zewnętrzny jest cały czas podpięty. Zrobiłem scan opcją MAKE A LISTING. Raport znajduje się w dołączonym pliku  "UsbFix report 10"

Generalnie, wizualnie  pliki JPG wyglądają normalnie tylko większość z nich nie można  otworzyć. Także część dokumentów w wordzie nie otwierają się.
Moglem przykładowo  otworzyć: PNG, TIFF, MP3 itd.
Nie mogłem otworzyć: Flack, RMVB, Wideo MP4, IPM, PIC.
Odpowiedz
#37
Zobacz czy na dysku zewnętrznym nie ma w głównym pliku autorun.inf, a jeżeli jest sprawdź co w nim jest. Chociaż FIRST powinien to wychwycić (chyba) ... Jedna z metod na przenoszenie złośliwego kodu między maszynami. Obecnie chyba już nieskuteczna, ale XP radośnie uruchamiał cokolwiek tam było. Pierwsze wersje W7 także chyba były podatne.
Rozumiem, że pokaż pliki ukryte i systemowe masz aktywne?
Odpowiedz
#38
Teraz dopiero widać że skróty odnosiły się to pliku wykonywalnego, być może to jakiś trojan downloader który infekował system i pobierał inną zawartość z sieci (być może ransom) ale nie powiedziane.

Wszystkie te skróty usuń
czarnobyl.lnk --> C:\Windows\system32\cmd.exe/c start explorer.exe "czarnobyl" & type "df696522.exe" > "%temp%\df696522.exe" && "%temp%\df696522.exe"
[21/05/2017 - 22:27:37 | A | 1 Ko] - madame elektra wege (2).lnk --> C:\Windows\system32\cmd.exe/c start explorer.exe "madame elektra wege" & type "df696522.exe" > "%temp%\df696522.exe" && "%temp%\df696522.exe"
[27/06/2017 - 15:55:48 | A | 1 Ko] - kurs instruktorski.lnk --> C:\Windows\system32\cmd.exe/c start explorer.exe "kurs instruktorski" & type "df696522.exe" > "%temp%\df696522.exe" && "%temp%\df696522.exe"
[16/10/2017 - 20:48:32 | A | 1 Ko] - teledyski do elektry.lnk --> C:\Windows\system32\cmd.exe/c start explorer.exe "Nowy folder (3)" & type "df696522.exe" > "%temp%\df696522.exe" && "%temp%\df696522.exe"
[29/03/2019 - 13:53:29 | A | 1 Ko] - efka 2017 koncert.lnk --> C:\Windows\system32\cmd.exe/c start explorer.exe "efka 2017 koncert" & type "df696522.exe" > "%temp%\df696522.exe" && "%temp%\df696522.exe"
[29/03/2019 - 13:53:36 | A | 1 Ko] - M.D. BIELSK ROCKOWANIA 2017.lnk --> C:\Windows\system32\cmd.exe/c start explorer.exe "M.D. BIELSK ROCKOWANIA 2017" & type "df696522.exe" > "%temp%\df696522.exe" && "%temp%\df696522.exe"
[29/03/2019 - 13:53:45 | A | 1 Ko] - miss got fama 2017.lnk --> C:\Windows\system32\cmd.exe/c start explorer.exe "miss got fama 2017" & type "df696522.exe" > "%temp%\df696522.exe" && "%temp%\df696522.exe"

W FRST okienku szukaj wklej: df696522.exe i klik Szukaj plików i pokaż raport.

Jeśli możesz podaj jako załącznik jakiś .jpg którego nie możesz otworzyć.
Odpowiedz
#39
(05.02.2020, 17:23)wredniak napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Chociaż FIRST powinien to wychwycić (chyba) ...

FRST listuje tylko zawartość c:\ ale można też użyć komendy żeby edytować inne partycje jak wiemy jaką.
Odpowiedz
#40
Wylistowany szyfrant przypomina Spora Ransomware który również nie zmienia nazw zaszyfrowanych plików.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 2 gości