+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: Ransomware (/thread-11337.html)
Ransomware - Muszkie - 04.02.2018
Czesc. Mam atak Ransomware nwm czy nie jest to jakiś nowy tym infekcji bo nie mogę znaleźć za wiele informacji na ten temat. W załącznikach dodam zdjecia. Infekcja miała miejsce przez torrenty lub a nawet raczej przez stronę bo wyskoczyła mi reklama gdzie nigdy wcześniej nie miałem. Na komputerze nie były robione zadne czynności a kopia systemu znikła. Przeglądając foldery zauważyłem, ze wszystkie pliki zmieniły format. Sory, że w linku ale coś nie mogę dodać zdj na tel.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Odpaliłem w trybie awaryjnym i widzę że praktycznie żaden pliki nie zostały zainfekowane na partycji D. Czy jeżeli w rzucę w chmurę to pliki będą bezpieczne? Jak pozbyć się tych plików txt z folderów
RE: Ransomware - M'cin - 04.02.2018
Zanim doczekasz pomocy Tachiona, zamknij komputer, żeby nie zaszyfrowało wszystkich plików. Potem uruchom w trybie awaryjnym z obsługą sieci i wykonaj logo wymagane w tym dziale
RE: Ransomware - Muszkie - 04.02.2018
Okej nie wykonałem tych działań ze względu, że komputer wyłączałem i nie chciałem go włączać do wyjaśnienia sprawy.
RE: Ransomware - Tibu 11 - 04.02.2018
bez logów Tachion nic nie zdziała ...
RE: Ransomware - Muszkie - 04.02.2018
Tiubu jak wykonać te logi Tachion?
RE: Ransomware - szczyputek - 04.02.2018
(04.02.2018, 17:03)Muszkie napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Tiubu jak wykonać te logi Tachion?
[Aby zobaczyć linki, zarejestruj się tutaj]
W dziale na samej górze jest regulamin. Przeczytaj go uważnie
RE: Ransomware - Muszkie - 04.02.2018
No to są w klejone te logi
RE: Ransomware - szczyputek - 04.02.2018
Chodziło mi o to, że @tachion je sprawdza i odpowiada. Musisz poczekać
RE: Ransomware - tachion - 04.02.2018
tibu logi są wszystkie w jednym pliku
RE: Ransomware - tachion - 04.02.2018
Niestety ale na ten typ ransoma nie ma na chwilę obecną deszyfratora.
Procedura usuwająca infekcję:
Uruchom komputer w tym samym trybie.
Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
Kod:
HKU\S-1-5-21-1143460657-3660538600-338999277-1000\...\RunOnce: [gjzrobpmlkf] => C:\Users\Maciek\AppData\Roaming\Microsoft\tbmxsv.exe [182784 2018-02-04] ()
HKU\S-1-5-21-1143460657-3660538600-338999277-1000\...\Policies\Explorer: [TurnOffSPIAnimations] 1
HKU\S-1-5-18\...\Policies\Explorer: [TurnOffSPIAnimations] 1
Startup: C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GDCB-DECRYPT.txt [2018-02-04] ()
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
U4 CscService; Brak ImagePath
U4 RemoteRegistry; Brak ImagePath
U2 wscsvc; Brak ImagePath
C:\Windows\system32\mracsvc.exe
C:\Windows\system32\Drivers\mracdrv.sys
C:\Users\Maciek\AppData\Roaming\Microsoft\tbmxsv.exe
Task: {346D97E4-0EB4-49CB-83B9-C8873AF1DCBB} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe [2018-01-12] (Overwolf LTD)
Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku <==== UWAGA
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Option => "OptionValue"="2"
CMD: del /q /s C:\*GDCB-DECRYPT*
CMD: netsh advfirewall reset
CMD: ipconfig /flushdns
CMD: Bitsadmin /Reset /Allusers
EmptyTemp:Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt przedstaw go.
RE: Ransomware - Muszkie - 04.02.2018
W tym samym trybie?
RE: Ransomware - tachion - 04.02.2018
tak
RE: Ransomware - Muszkie - 04.02.2018
Czyli mam uruchomić w trybie awaryjnym tak?
RE: Ransomware - tachion - 04.02.2018
tak
RE: Ransomware - wredniak - 04.02.2018
Uruchomienie w trybie awaryjnym nic nie zmieni - robak i tak się odpali i zacznie swoją "pracę". Trzeba dysk uruchomić na osobnym systemie (może być jakaś dystrybucja live, np: system z pendrive), który pozwoli otworzyć rejestr na tym zawirusowanym dysku. I wtedy zastosować wskazówki Tachiona.
A deszyfratorów nie ma do większości tych ransomware'owych robali.
RE: Ransomware - Quassar - 04.02.2018
wredniak dobrze mówi
Na ransomy tylko HIPS/restrykcje i izolacje aby ograniczyć infekcje i ofc kopia zapasowa na osobny nośnik nie podłączony na co dzień.
A co do odyskania danych jak ransom sie ujawwni pokaże wiadomość to raczej już wszystkie pliki jakie szyfruje/mógł to własnie już je zaszyfrował ;/
RE: Ransomware - tachion - 04.02.2018
Oj tam
Trza wiedzieć jak to działa. W trybie awaryjnym bez problemu to usunie jak i trybie myślę normalnym też. Ransom pętlę robi z serwerem, jeśli nie będzie połączenia to szyfrowanie nie nastąpi. Ogólnie myślę że i tak zaszyfrował już wszystko.
RE: Ransomware - Muszkie - 04.02.2018
Powiem tak jak wczoraj zauważyłem, że mam ten syf od razu wyłączyłem komputer dzisiaj od rana siedzę na awaryjnym i według mnie nie zainfekował więcej plików przynajmniej tych na których mi zależy. Wrzucam wszystko w chmurę a potem chyba format całkowity pozostaje zrobić.
RE: Ransomware - tachion - 04.02.2018
Na tą chwilę jest w pętli ale infekcji brak.
Podaj raport z fixa. Jak nie wykonałeś to wykonaj. Format jest zbędny.
RE: Ransomware - Muszkie - 04.02.2018
Zrzucam ostatnie pliki około 20min jeszcze i wykonam. Format może i zbędny ale lepiej będę sie czuł jak wyczyszczę cały dysk.