Ransomware - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html) +--- Wątek: Ransomware (/thread-11337.html) |
Ransomware - Muszkie - 04.02.2018 Czesc. Mam atak Ransomware nwm czy nie jest to jakiś nowy tym infekcji bo nie mogę znaleźć za wiele informacji na ten temat. W załącznikach dodam zdjecia. Infekcja miała miejsce przez torrenty lub a nawet raczej przez stronę bo wyskoczyła mi reklama gdzie nigdy wcześniej nie miałem. Na komputerze nie były robione zadne czynności a kopia systemu znikła. Przeglądając foldery zauważyłem, ze wszystkie pliki zmieniły format. Sory, że w linku ale coś nie mogę dodać zdj na tel. [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Odpaliłem w trybie awaryjnym i widzę że praktycznie żaden pliki nie zostały zainfekowane na partycji D. Czy jeżeli w rzucę w chmurę to pliki będą bezpieczne? Jak pozbyć się tych plików txt z folderów RE: Ransomware - M'cin - 04.02.2018 Zanim doczekasz pomocy Tachiona, zamknij komputer, żeby nie zaszyfrowało wszystkich plików. Potem uruchom w trybie awaryjnym z obsługą sieci i wykonaj logo wymagane w tym dziale RE: Ransomware - Muszkie - 04.02.2018 Okej nie wykonałem tych działań ze względu, że komputer wyłączałem i nie chciałem go włączać do wyjaśnienia sprawy. RE: Ransomware - Tibu 11 - 04.02.2018 bez logów Tachion nic nie zdziała ... RE: Ransomware - Muszkie - 04.02.2018 Tiubu jak wykonać te logi Tachion? RE: Ransomware - szczyputek - 04.02.2018 (04.02.2018, 17:03)Muszkie napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj] W dziale na samej górze jest regulamin. Przeczytaj go uważnieRE: Ransomware - Muszkie - 04.02.2018 No to są w klejone te logi RE: Ransomware - szczyputek - 04.02.2018 Chodziło mi o to, że @tachion je sprawdza i odpowiada. Musisz poczekać RE: Ransomware - tachion - 04.02.2018 tibu logi są wszystkie w jednym pliku RE: Ransomware - tachion - 04.02.2018 Niestety ale na ten typ ransoma nie ma na chwilę obecną deszyfratora. Procedura usuwająca infekcję: Uruchom komputer w tym samym trybie. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Kod: HKU\S-1-5-21-1143460657-3660538600-338999277-1000\...\RunOnce: [gjzrobpmlkf] => C:\Users\Maciek\AppData\Roaming\Microsoft\tbmxsv.exe [182784 2018-02-04] () Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go. RE: Ransomware - Muszkie - 04.02.2018 W tym samym trybie? RE: Ransomware - tachion - 04.02.2018 tak RE: Ransomware - Muszkie - 04.02.2018 Czyli mam uruchomić w trybie awaryjnym tak? RE: Ransomware - tachion - 04.02.2018 tak RE: Ransomware - wredniak - 04.02.2018 Uruchomienie w trybie awaryjnym nic nie zmieni - robak i tak się odpali i zacznie swoją "pracę". Trzeba dysk uruchomić na osobnym systemie (może być jakaś dystrybucja live, np: system z pendrive), który pozwoli otworzyć rejestr na tym zawirusowanym dysku. I wtedy zastosować wskazówki Tachiona. A deszyfratorów nie ma do większości tych ransomware'owych robali. RE: Ransomware - Quassar - 04.02.2018 wredniak dobrze mówi Na ransomy tylko HIPS/restrykcje i izolacje aby ograniczyć infekcje i ofc kopia zapasowa na osobny nośnik nie podłączony na co dzień. A co do odyskania danych jak ransom sie ujawwni pokaże wiadomość to raczej już wszystkie pliki jakie szyfruje/mógł to własnie już je zaszyfrował ;/ RE: Ransomware - tachion - 04.02.2018 Oj tam Trza wiedzieć jak to działa. W trybie awaryjnym bez problemu to usunie jak i trybie myślę normalnym też. Ransom pętlę robi z serwerem, jeśli nie będzie połączenia to szyfrowanie nie nastąpi. Ogólnie myślę że i tak zaszyfrował już wszystko. RE: Ransomware - Muszkie - 04.02.2018 Powiem tak jak wczoraj zauważyłem, że mam ten syf od razu wyłączyłem komputer dzisiaj od rana siedzę na awaryjnym i według mnie nie zainfekował więcej plików przynajmniej tych na których mi zależy. Wrzucam wszystko w chmurę a potem chyba format całkowity pozostaje zrobić. RE: Ransomware - tachion - 04.02.2018 Na tą chwilę jest w pętli ale infekcji brak. Podaj raport z fixa. Jak nie wykonałeś to wykonaj. Format jest zbędny. RE: Ransomware - Muszkie - 04.02.2018 Zrzucam ostatnie pliki około 20min jeszcze i wykonam. Format może i zbędny ale lepiej będę sie czuł jak wyczyszczę cały dysk. |