Prosím o kontrolu po napadení virem typu cryptolocker

[jaran]

Namátkou některý z těch nálezů otestujte na http://www.virustotal.com. Výsledek oznamte.

eset a Microsoft detekují, ostatní označují OK

Antivirus Result Update
ESET-NOD32 Win32/Filecoder.DI 20141123
Microsoft Ransom:HTML/Teerac.A 20141123
AVG 20141123
AVware 20141121
Ad-Aware 20141123

[Rudy]

OK, to je ten cryptolocker, respektive to, co zakryptoval. Dekrptovat zo lze jen u některých souborů. S problémem se obraťte sem: http://www.neslape.cz/?utm_campaign=nes ... ium=banner . Tento problém nelze přes fórum řešit.

[jaran]

OK, to je ten cryptolocker, respektive to, co zakryptoval. Dekryptovat zo lze jen u některých souborů. S problémem se obraťte sem: http://www.neslape.cz/?utm_campaign=nes ... ium=banner . Tento problém nelze přes fórum řešit.

Teda, ty soubory, co hlásí přítomnost vira nejsou zakryptovány. Ty zobrazují html stránku s návodem, jak získat dešifrovací klíč (za 10000,- Kč). Zašifrované soubory mají příponu .encrypted. Pokud ale v souboru DESIFROVANI_POKYNY.HTML je vir, tak zobrazením (spuštěním) ho asi aktivuji a pokud ano, není možné, že v systému je asociace na příponu .encrypted, která mi ho spustí ?

[stell]

Zdravim
Zaskok za kolegu.

Pokud ale v souboru DESIFROVANI_POKYNY.HTML je vir, tak zobrazením (spuštěním) ho asi aktivuji a pokud ano, není možné, že v systému je asociace na příponu .encrypted, která mi ho spustí ?

Vsetko je mozne!!!
Ak ste sa spustili do cistenia a desifrovania pocitaca znameho, aspon zakladne veci by ste mali vediet.

Nemohu se dostat k PC (vypnuli mi ho ) ale pro jistotu se zeptám,

1:Subory sa daju obnovit aj inak, ako len desifrovanim.
2:Ak ste uz experimentovali a obnovovali system, je to takmer bez sance obnovit subory.
3:Po obnove systemu na starsi bod obnovy. vymazu sa predchadzajuce body obnovy, teda aj shadow copy.
4:Skoro vsetky cistiace a dezinfikacne programy,automaticky vytvaraju nove body obnovy, ak ochrana systemu neni spravne nakonfigurovana, tak automaticky sa vymazu starsie body obnovy, teda aj Shadow copy.
5:Nesmu sa pouzit ziadne programy, pokial sa nezisti, ci sa daju subory desifrovat.
6:Podla mojej skusenosti,Ak pouzijete Shadow explorer,nemusi zobrazovat vsetky tienove kopie.

Nic menej, tie informacie html,mozete vymazat cez prikazovy riadok, prikazom
DEL /S /A /Q "DESIFROVANI_POKYNY.html"
Tot vsjo.

[jaran]

Dobrý den,

Ak ste sa spustili do cistenia a desifrovania pocitaca znameho, aspon zakladne veci by ste mali vediet.

Ne, neprováděl jsem žádný pokus o dekryptování.

1:Subory sa daju obnovit aj inak, ako len desifrovanim.

To vím, současně chápu, že je to placená služba Vašeho webu, na kterou se pravděpodobně obrátím.

2:Ak ste uz experimentovali a obnovovali system je to takmer bez sance obnovit subory.

Jediné, co jsem s PC prováděl, bylo podle výše uvedených postupů, proto jsem ani "DESIFROVACI_POKYNY.HTML" nemazal, možná s naivní myšlenou, že třeba klíšč je v nich .

3:Po obnove systemu na starsi bod obnovy. vymazu sa predchadzajuce body obnovy, teda aj shadow copy.

Body obnovy jsem nenašel, respektive našel pozdější ale první byla z doby "Akce" viru, tak předpokládám, že je odstranil on - někde jsem to i četl, že to dělá.
4:Skoro vsetky cistiace a dezinfikacne programy,automaticky vytvaraju nove bod obnovy, ak ochrana systemu neni spravne nakonfigurovany tak automaticky sa vymazu starsie body obnovy, teda aj Shadow copy.

5:Nesmu sa pouzit ziadne programy, pokial sa nezisti, ci sa daju subory desifrovat.
6:Podla mojej skusenosti,Ak pouzijete Shadow explorer,nemusi zobrazovat vsetky tienove kopie.

Nic menej, tie informacie html,mozete vymazat cez prikazovy riadok, prikazom
DEL /S /A /Q "DESIFROVANI_POKYNY.html"

každopádně děkuji ) nebo "po vašem"
spasíba charašó

Teda, teď nějak nevím co s tím ..

[stell]

Ani, ja uz neviem, podla mna uz subory su stratene.
Nic menej spustte tieto prikazy, a vysledok sem skopirujte.
vssadmin list shadowstorage
enter

vssadmin list shadows
enter

vssadmin list shadows /for=c:|findstr GLOBALROOT
enter

[jaran]

Ani, ja uz neviem, podla mna uz subory su stratene.
Nic menej spustte tieto prikazy, a vysledok sem skopirujte.
vssadmin list shadowstorage
enter

Copyright (c) 2009 Microsoft Corporation. Všechna práva vyhrazena.

C:\Windows\system32>vssadmin list shadowstorage
vssadmin 1.1 – služba Stínová kopie svazku (nástroj příkazového řádku pro
správu)
(C) Copyright 2001-2005 Microsoft Corp.

Přidružení úložiště stínové kopie
Pro svazek: (C:)\\?\Volume{a7f03fe4-0984-11e0-8fce-806e6f6e6963}\
Svazek úložiště stínové kopie: (C:)\\?\Volume{a7f03fe4-0984-11e0-8fce-806e6f6
e6963}\
Využité místo úložiště stínové kopie: 5.3 GB (1 %)
Přidělené místo úložiště stínové kopie: 5.759 GB (1 %)
Maximální místo úložiště stínové kopie: 10 GB (2 %)
C:\Windows\system32>

vssadmin list shadows

C:\Windows\system32>vssadmin list shadows
vssadmin 1.1 – služba Stínová kopie svazku (nástroj příkazového řádku pro
správu)
(C) Copyright 2001-2005 Microsoft Corp.

Obsah sady stínových kopií s ID: {6c946a4c-980a-493c-8226-b56a302a8d08}
Tato sada obsahovala 1 stínových kopií v čase
vytvoření: 17.11.2014 16:41:30.
ID stínové kopie: {10a9995c-2270-45f3-a182-4c55459ae728}
Původní svazek: (C:)\\?\Volume{a7f03fe4-0984-11e0-8fce-806e6f6e6963}\
Svazek stínové kopie: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
Původní počítač: JiříMorysek-PC
Počítač služby: JiříMorysek-PC
Zprostředkovatel: Microsoft Software Shadow Copy provider 1.0
Typ: ClientAccessibleWriters
Atributy: Trvalá, Přístupná pro klienty, Bez automatického uvolnění, Ro
zdílová, Automaticky obnoveno

Obsah sady stínových kopií s ID: {a1605bc8-ee81-442c-b99b-611bb637a8c7}
Tato sada obsahovala 1 stínových kopií v čase
vytvoření: 18.11.2014 17:22:40.
ID stínové kopie: {95b5a143-1084-4fca-ace1-968cb3eb3c2d}
Původní svazek: (C:)\\?\Volume{a7f03fe4-0984-11e0-8fce-806e6f6e6963}\
Svazek stínové kopie: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2
Původní počítač: JiříMorysek-PC
Počítač služby: JiříMorysek-PC
Zprostředkovatel: Microsoft Software Shadow Copy provider 1.0
Typ: ClientAccessibleWriters
Atributy: Trvalá, Přístupná pro klienty, Bez automatického uvolnění, Ro
zdílová, Automaticky obnoveno

Obsah sady stínových kopií s ID: {8d3251d2-1ba0-4dba-be7e-9524588e85e2}
Tato sada obsahovala 1 stínových kopií v čase
vytvoření: 20.11.2014 7:39:57.
ID stínové kopie: {e81085c7-972d-40f9-81d3-741e32f1783c}
Původní svazek: (C:)\\?\Volume{a7f03fe4-0984-11e0-8fce-806e6f6e6963}\
Svazek stínové kopie: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3
Původní počítač: JiříMorysek-PC
Počítač služby: JiříMorysek-PC
Zprostředkovatel: Microsoft Software Shadow Copy provider 1.0
Typ: ClientAccessibleWriters
Atributy: Trvalá, Přístupná pro klienty, Bez automatického uvolnění, Ro
zdílová, Automaticky obnoveno

Obsah sady stínových kopií s ID: {c2c9ddff-1fc5-4d70-a46e-479814f68bb8}
Tato sada obsahovala 1 stínových kopií v čase
vytvoření: 23.11.2014 19:00:27.
ID stínové kopie: {58186487-ca0f-49c0-b832-7001c3210e0f}
Původní svazek: (C:)\\?\Volume{a7f03fe4-0984-11e0-8fce-806e6f6e6963}\
Svazek stínové kopie: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4
Původní počítač: JiříMorysek-PC
Počítač služby: JiříMorysek-PC
Zprostředkovatel: Microsoft Software Shadow Copy provider 1.0
Typ: ClientAccessibleWriters
Atributy: Trvalá, Přístupná pro klienty, Bez automatického uvolnění, Ro
zdílová, Automaticky obnoveno

vssadmin list shadows /for=c:|findstr GLOBALROOT

C:\Windows\system32>vssadmin list shadows /for=c:|findstr GLOBALROOT
Svazek stínové kopie: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
Svazek stínové kopie: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2
Svazek stínové kopie: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3
Svazek stínové kopie: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4

Napadení virem bylo 17.11.2014 cca 14 hodin.
Děkuji za vstřícnost a ochotu při řešení mého problému.

[stell]

Pisete:
byl aktivován 17.11.2014 kolem 14té hodiny

Podla vypisu vidno, ze tienove kopie boli vytvorene uz po zasifrovani suborov.

Teda v case vytvoreni tienovej kopie ShadowCopy1,2,3,4,
vytvoření: 17.11.2014 16:41:30. do
vytvoření: 23.11.2014 19:00:27.
Vsetky subory uz boli zasifrovane.

Mozna Pricina;
1:;Restart pocitaca vymazanie a prepisanie bodov obnovy.
2:Nenakonfigurovana ochrana systemu.
3:Neodborne cistenie sposobom, vymaz body obnovy, vymaz to, spust hento atd.atd.atd.
4:Spustanie vselijakych cistiacich programov, ktore zmazali body obnovy a nasledne aj tienove kopie.

Doporucenie do buducnosti.
1:Nechytat sa do toho o com ani paru nemame, alebo si len myslime ze to dokazeme, tak ako som niekde cital na internete, ze na viry.cz chodia len lamy.
Prave opak je pravdou, Lamam, ktory prisli s problemom na neslape.cz, kolegynou motji obnoviil sme vsetko co sa dalo.

2:Firmam, tam kde do cistenia sa spustili Firemny IT-ckari, vselijaky odvirovaci uz subory sa nedali obnovit.
Tento smejd netoleruje sposob, pokus, omyl, podla rozhovoru ruskeho blogggera s autormi smejdov, tohto smejda vytvorili profesionali, cryptographici.

Co trebalo ihned urobit??
To co napisal kolega Rudy v svojom prvom prispevku.

Zaver.
Uz to mate jedno.
Subory su navzdy stratene.
Spustit s programom Malwarebytes uplnu kontrolu, a log sem vlozte.
Kolega Rudy uz to skontroluje a dokonci cistenie.
Zdravim
Pekny den

[jaran]

Dobrý den,

děkuji pěkně za "sprchu" za kterou nemohu.
Chybí další možné příčiny absence bodu obnovení, například, že vir tyto body smazal.
Nedělám si patent na rozum a určitě jsem a myslím, že ani nikdo jiný neprováděl výše uvedené postupy.
Jediné, co jsem provedl byla antivirová kontrola, která nic nenašla a pak pouze to, co mi zde doporučil Rudy, což bylo proto, aby byla jistota, že počítač je čistý. Že zakryptované soubory v případě absence bodu obnovy jednoduše neobnovíme bylo jasné od začátku, což mi mimochodem potvrdili u esetu, kam jsem se obrátil hned nazačátku. Současně je možné, že někdo najde metodu, jak tyto soubory dekryptovat .. mimochodem právě na esetu zjistili, že u některých souborů vir pouze přidal příponu ale nezakryptoval je. Podle toho, co jsem v pc viděl to jsou velké soubory (u mého PC s většinou ZIP).
Na toto fórum jsem se obrátil s prosbou o potvrzení čistoty PC a ne pro odkryptování. Současně jsem přesvědčen, že vyčištění PC bylo od Rudyho provedeno profesionálně a kvalitně.

Ještě prosím o doplnění, který z mnoha doporučených testovacích programů Malwarebytes mám stáhnout a spustit.

Děkuji

[stell]

Takto, to co som napisal plati vseobecne, teda to nebolo mierene na vas, ja som precital vase prispevky, a je evidentne,ze vy ste nechceli obnovovat zasifrovane subory, ale skontrolovat a odcervit system.

Strucne to shrniem.
1:Uz v prvom logu RSIT vidno,ze sifrovaci smejd bol odstraneni zo systemu.
2:Pisete Eset nenasiel nic, to znamena ,ze majitel pc musel vykonat dajake akcie na cistenie pc, bud obnova systemu, alebo niecim to odstranili.
3:Tento smejd je testovany proti vsetkym cistiacim-programom.
Zapise sa do kluca registry RUN
Zapise sa do APPDATTA
Zapise sa do zlozky Windows.
Zapise sa do zlozky Temp.
4:Vo vasom pripade uz v prvom logu FRST -ich nevidno.

Vcera som obnovoval subory na jednom firemnom pc, obnovil som vsetky.
IT-ckar, zachoval sa tak ako sa mal, teda spustil len program Malwarebytes, a je zaujimave ,ze vobec nereagoval na tieto smejdy, teda nic nenasiel.
Obratil sa na nas, a po diagnoze,ihned som videl,ze smejd sifrovac je vsade zapisany a plne funkcny.
Po rucnom odstraneni smejda,mohol som obnovit vsetky zasifrovane subory,Preto ze vsetky body obnovy boli pritomne,teda nevymazal ziaden bod obnovy.

Ako vidim ,ze na pokyn Rudyho,vy ste uz spustil program Malwarebytes.
Teda podla logov, system mal by mal byt cisti.
Tot vsjo, ja uz nemam co dodat.
Pekny den