TorLocker 2.0

[Aljushka]

Dobrý den,
chtěla bych poprosit o radu ohledně odstanění tohodle viru z ntb.
Syn to asi včera chytnul na ntb, jelikož dneska mu při spuštění ntb vyběhlo tohle:

IMAG0236 [800x600].jpg (55.41 KiB) Zobrazeno 2962 x

Máte s ním někdo zkušenost?
Předem děkuji za pomoc.

[Rudy]

Zdravím!
S různými lockery zkušenost máme. Bohužel ale špatnou. Většinu z nich nelze známými prostředky obejít. Zkuste nastartovat PC do nouz. režimu, zda bude přístupné.

[vyosek]

Zdravim

Omlouvam se kolegovi za vstup

Data vetsinou jsou zasifrovana a bud na ne bude existovat desifrovaci algoritmus, nebo by mohly jit obnovit jinymi zpusoby - tyto ale nejde provadet pres forum. Pokud chcete, kontaktujte nasi sluzbu vzdalene pomoci http://www.neslape.cz a podivame se na to. Kolegove tam maji jiz hodne zkusenosti a zpusobu jak data obnovit..

[Aljushka]

spustit v nouzovém režimu jde.
takže co dál? udělat zálohu dat? preinstalovat systém?

[Aljushka]

Zdravim

Omlouvam se kolegovi za vstup

Data vetsinou jsou zasifrovana a bud na ne bude existovat desifrovaci algoritmus, nebo by mohly jit obnovit jinymi zpusoby - tyto ale nejde provadet pres forum. Pokud chcete, kontaktujte nasi sluzbu vzdalene pomoci http://www.neslape.cz a podivame se na to. Kolegove tam maji jiz hodne zkusenosti a zpusobu jak data obnovit..

a nelze to nějak vyřešit svépomocně?

[vyosek]

V prve rade je potreba setrne ale ucelne zbavit viru, pak zjistit, jestli pujdou data defisrovat nekterym z algoritmu, ktere mame k dispozici. A pokud ne, tak je ve hre jeste vec jako stinova kopie ci dalsich nekolik nastroju, ktere by umely najit skryte kopie zasifrovanych souboru.

Takze svepomoci ano, ale musite presne vedet co delat a jak to delat. jinak mate data v haji. kolegove na vzdalene podpore maji jiz hodne zkusenosti s ruznymi typy zafisrovanych souboru.

[Aljushka]

tak já ještě zkusím počkat na přítele až dojde z práce, jestli se mu s tím povede hnout.
když tak písnu jak jsem dopadla nebo nedopadla...

[vyosek]

Cim vice budete zkouset styl pokus-omyl, tim hure se budou pripadne data zachranovat

[motji]

Dobrý den,
1/ Je potřeba restartovat pc do nouzového režimu, aby vir nemohl dál provádět svoji práci. ¨Pokud si troufnete, zkuste pohledat ten vir a smazat, nejspíš bude někde v tempech.
2/ Pokud potřebujete zachránit zašifrovaná data, tak s nimi nedělat žádné vylomeniny, nepřejmenovávat, nemazat koncovky a podobně.
3/ Nemazat body obnovy. Ale samotná obnova systému Vám také nepomůže.
4/ Odkud syn vir chytnul? Pokud stahoval nějaký soubor a je to z něj, je dobré ho dát do archivu s heslem, možná bude potřeba k dešifrování.


Nevím, jaký máte systém, ani co všechno zašifroval, ale všeobecně - data takto zašifrovaná nejdou běžnými postupy rozšifrovat, ale u některých to už umíme. Jak psal kolega, toto již nelze dělat takto na dálku, je potřeba aby se někdo z odborníků připojil na Váš pc přes vzdálenou správu.

Vzhledem k tomu, že ve vašem případě se jedná o nový druh malware, potřebovali bychom soubor, který to způsobil, ke studijním účelům i k pokusu o rozšifrování dat.

Přečtěte si prosím soukromou zprávu

[Aljushka]

1/ v nouzáku jsem hledala v tempech, žel nic jsem tam nenašla - tudíž to asi bude docela zlé
2/ o data fakt nechci přijít (hlavně fotky apod.) - tedy pokud to bude možné

4/ žel syn právě neví nebo si není jistej - prý včera nestahoval nic, předevčírem nějakej .rar s hrou - prý kámoš má tu samou a v poho - tak nevím zda tomu věřit nebo ne.

Mám Win7 home premium 64bit. Dle data změny souborů, co jsem koukala tak se zaměřil - tedy aspoň mi to tak přijde - na .txt a .pdf soubory.

Přítel je pořád ještě v práci, tak čekám.

[motji]

Máte pravdu, txt a pdf, víc jsem zatím neobjevila. Teď tu mám stejný vir jako Vy
Můžete tu dát log z Frstu, kolega nebo já to zatím odvirujeme, podle logu poznám který soubor máte dát do raru

[Aljushka]

výpis je docela osobnej, tak radši SZ - jestli neva

tak posílat zprávy mi nejde, tak tedy pošlu mail

[motji]

Problém je v tom, že pokud Vám napíši skript na mazání, tak tu stejně budou veřejně některé věci. Ale pošlete mi ho do emailu.

[vyosek]

výpis je docela osobnej, tak radši SZ - jestli neva

Uprimne a na rovinu - nejlepsi by bylo, pokud chcete data obnovit, tak se spojit s kolegyni pres vzdalenou pomoc a ona to odviruje a obnovi data...

[motji]

Těch virů tam máte víc, některé staré několik dnů, mladej asi pěkně řádí:D

Odinstalujte Spybota a Advanced system care
Vyčištěte systém http://forum.viry.cz/viewtopic.php?f=46&t=7478 (registry a čistič)

otevřete poznámkový blok a zkopírujte do něj:

Kód: Vybrat vše

HKLM-x32\...\Run: [MSStp] => C:\Windows\inf\msstp.vbe
HKLM-x32\...\Run: [mncwmojSrv] => C:\Windows\system32\mncwmoj.vbe
HKLM\...\Policies\Explorer\Run: [2934679997] => C:\ProgramData\mscim.exe [623104 2014-10-27] ( (EFD Software))
HKU\S-1-5-21-3143607116-3805704415-591616805-1000\...\Run: [2934679997] => C:\Users\ALA\AppData\Roaming\mscim.exe
HKU\S-1-5-21-3143607116-3805704415-591616805-1000\...\Run: [50fce1d8cc92b5f2d3d5e28e9bce7d08] => C:\Users\ALA\AppData\Local\Temp\50fce1d8cc92b5f2d3d5e28e9bce7d08.exe [299919 2014-10-27] (Novostrim, Inc.) <===== ATTENTION
HKU\S-1-5-18\...\Policies\Explorer: [TaskbarNoNotification] 0
HKU\S-1-5-18\...\Policies\Explorer: [HideSCAHealth] 0
Startup: C:\Users\ALA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HDD.vbs ()
Startup: C:\Users\ALA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winxp.vbs ()
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?o=APN10653A&gct=hp&d=1-1012&v=n10354--15857&t=4
URLSearchHook: HKCU - (No Name) - {55E19115-8EF8-465C-90AC-DEACC491B0CC} - No File
SearchScopes: HKLM-x32 - {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=wfxt2&s={searchTerms}&f=4&hl={language}&src=chrm
SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2001} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=1012&systemid=1&v=n10354--15857&apn_uid=4072850544554573&apn_dtid=IME001&o=APN10653&apn_ptnrs=AGE&q={searchTerms}
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2351701
SearchScopes: HKCU - {07E1A5F7-4853-465A-BF84-299A6E798F98} URL = http://rover.ebay.com/rover/1/710-71511-9400-6/4?satitle={searchTerms}
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=crm&q={searchTerms}&locale=en_EU
SearchScopes: HKCU - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} URL = http://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60327
SearchScopes: HKCU - {23A078D7-C722-48DC-94A5-DF4CC8ACB3BE} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=685749&p={searchTerms}
SearchScopes: HKCU - {50149EB7-8536-4BFB-AB9F-047BB6D4ECBA} URL = http://www.amazon.co.uk/gp/search?ie=UTF8&keywords={searchTerms}&tag=tochibauk-win7-ie-search-21&index=blended&linkCode=ur2
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2001} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=1012&systemid=1&v=n10354--15857&apn_uid=4072850544554573&apn_dtid=IME001&o=APN10653&apn_ptnrs=AGE&q={searchTerms}
SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms}
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2351701
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll ()
Toolbar: HKLM-x32 - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll ()
Toolbar: HKCU - No Name - {55E19115-8EF8-465C-90AC-DEACC491B0CC} -  No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKCU - No Name - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} -  No File
Toolbar: HKCU - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll ()
2014-10-28 09:29 - 2014-10-28 09:34 - 00000000 ____D () C:\Users\ALA\AppData\Roaming\tor
2014-10-27 20:08 - 2014-10-27 20:08 - 00000000 ____D () C:\Users\ALA\AppData\Roaming\ExampleFolder
2014-10-27 17:58 - 2014-10-27 17:58 - 00934912 _____ (EFD Software) C:\Users\ALA\AppData\Roaming\suntor.exe
2014-10-27 17:58 - 2014-10-27 17:58 - 00000050 _____ () C:\Users\ALA\AppData\Roaming\suntor.bat
C:\Program Files (x86)\Cube World + Crack [CZ]
C:\Windows\SysWOW64\acumncwmoj.exe
C:\Windows\SysWOW64\lcpmncwmoj.exe
C:\Users\ALA\AppData\Local\Temp\50fce1d8cc92b5f2d3d5e28e9bce7d08.exe
C:\ProgramData\mscim.exe
C:\Users\ALA\AppData\Local\Temp\KB00503602.exe
C:\Users\ALA\AppData\Local\Temp\KB279657501.exe
C:\Users\ALA\AppData\Local\Temp\KB279658171.exe
C:\Users\ALA\AppData\Local\Temp\KB279659123.exe
C:\Users\ALA\AppData\Local\Temp\KB287190196.exe
C:\Users\ALA\AppData\Local\Temp\KB287495896.exe
C:\Users\ALA\AppData\Local\Temp\KB287796931.exe
C:\Users\ALA\AppData\Local\Temp\retds1.exe
C:\Users\ALA\AppData\Local\Temp\reuqie.scr

-uložte na plochu vedle Frstu jako Fixlist.txt.
-spusťte Frst a klikněte na Fix.
- pc se pravděpodobně bude chtít restartovat. Po restartu, pokud by zlobil běžný režim, restartujte ještě jednou.
Pak poprosím o Fixlog a nahlásíte stav pc.