Infekcja CyberLocker RSA-2048

[voland]

Witam,

komputer został zainfekowany (de facto zaszyfrowano pliki) czymś o nazwie CyberLocker. Najprawdopodobniej wiadomością e-mail OutlookExpress, wiadomość od poczty polskiej - tej nie posądzam o to, jedynie wykorzystano ją.

Po uruchomieniu zauważyłem, że coś jest nie tak.
Efekt, samowyskakujące okienko z zachętą do zakupy czegoś, co usunie to dziadostwo.

Włączyłem Mbam, potem adwCleaner. System teoretycznie wyczyszczony, jednak cała masa plików tekstowych, zip (tu mogę zmienić nazwę i plik jest do otwarcia), pdf, jpg, ma zmienione rozszerzenie na *.jpg.encrypted. Sama zmiana nic nie daje. Plik jest nie do otwarcia.
Cała masa zdjęć, plików word i tym podobnych jest zablokowana, poza formatem *.doc, natomiast *.docx, *.xlms i tym podobne - nie. Podobnie rzecz się ma z backup`em CCleaner.

Ponadto w każdym z zaatakowanych folderów znajduję plik.txt oraz html (tego nie otwierałem) z opisem sposobu usunięcia i opisem RSA-2048 - sposób szyfrowania.

OTL:
1. Dostępne tylko dla zarejestrowanych użytkowników
2. Dostępne tylko dla zarejestrowanych użytkowników

GMER:
W toku, jak tylko skończę, wkleję. Trochę to trwa... Od 9.30 nadal skanuje, a jest 12.10.


Co dalej teraz?
Da się te pliki przywrócić, czy mogę się z nimi już na dobre pożegnać? W necie wyszukałem, że to niemożliwe - rzeczywiście nic nie można zrobić? Samo usunięcie wirusa to... No załamany jestem po prostu, bo w sumie cały PC do formatu i to co postawię, będzie tym, co obecnie jest do użycia, resztę szlag chyba trafił.

[djarta]

[2015-05-11 19:33:14 | 000,007,824 | ---- | M] () -- C:\Documents and Settings\Jan\Moje dokumenty\DECRYPT_INSTRUCTIONS.html

Pliki DECRYPT_INSTRUCTION.HTML wskazują na infekcję Dostępne tylko dla zarejestrowanych użytkowników. By się upewnić, możesz uruchomić Dostępne tylko dla zarejestrowanych użytkowników, który ma wbudowaną bazę identyfikacji rodzaju infekcji (nie dekoduje nic).
Niestety, jeśli to jest CryptoWall, pliki są niemożliwe do odkodowania, cytuję z powyższego artykułu:

Is it possible to decrypt files encrypted by CryptoWall?
Unfortunately at this time there is no way to retrieve the private key that can be used to decrypt your files without paying the ransom on the CryptoWall Decryption Service. Brute forcing the decryption key is not realistic due to the length of time required to break an RSA encryption key. Also any decryption tools that have been released by various companies will not work with this infection. The only methods you have of restoring your files is from a backup, file recovery tools, or if your lucky from Shadow Volume Copies.

Więc chyba będzie trzeba niestety ale wszystko sformatować.

[voland]

Dzięki. Niestety ten scenariusz biorę pod uwagę - ten najczarniejszy. Zaraz sprawdzę ID Tool jaki wskazałeś.
Znalazłem stronę, gdzie opisane jest, że niby można przywrócić system.
Widziałem też na YT ten wpis, "niestety obecnie nie jest możliwe odszyfrowanie". Jak wczoraj zajrzałem co to jest ta Republic of South Africa - czysta koicydencja skrótów, to się przeraziłem. Widziałem kiedyś dokument o powstawaniu tego szyfru - zabezpieczenie min. kart kredytowych.
GMER cały czas mieli - trzymać go, czy mogę go wyłączyć - nie wiem kiedy skończy się ta praca - HDD główny jest duży 1TB, a jest jeszcze drugi, 320GB.
Nie wiem jak wkleić poprawnie link do strony, ale opis 'usuwania' i 'odzyskiwania' danych jest na pcrisk.pl. Może widziałeś. Jeśli mogę prosić, to zerknij i odpowiedz, czy to jest coś warte, czy piszą jednak banialuki z tym "restore point".

ID Tool log:

Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Dzięki. Niestety ten scenariusz biorę pod uwagę - ten najczarniejszy. Zaraz sprawdzę ID Tool jaki wskazałeś.
Znalazłem stronę, gdzie opisane jest, że niby można przywrócić system.

Tak, jedyną deską ratunką jest przywrócenie systemu o pare dni wcześniej, choć dokumenty/zdjęcia itp. zaszyfrowane zostaną i nie ma możliwości ich odszyfrowania

GMER cały czas mieli - trzymać go, czy mogę go wyłączyć - nie wiem kiedy skończy się ta praca - HDD główny jest duży 1TB, a jest jeszcze drugi, 320GB.

GMER już odpuść. Możesz wyłączyć go.

Sprawdziłem ten cały poradnik, nic ciekawego nie opisuje oprócz właśnie przywracania systemu w trybie awaryjnym.

[voland]

No to... nic mi z przywracania. Łudziłem się przez chwilę, że te przywrócone pliki wrócą jako kopia, ale nie zaszyfrowana.

1. Czyli co teraz robić? Formatować? Zwykły format, czy jakiś z nadpisaniem, w stylu format, wgrać Windows, format, wgrać, czy jakoś tak?

2. Ostatnimi dniami nie wpinałem komórki, SE k800i, ale nie wiem, czy czego nie złapałem. Dźwięk coś mi słabo działa. Stara komóra, od dawna mi służy - dobrze i nie narzekałem do tej pory. Objawy, dźwięk dzwonka, pyknie i milknie, jakby się ktoś rozłączał, a widzę połączenie przychodzące i mogę dzwonić, mogę smsować, odbierać etc. Muzyka w komórce też nie działa - odtwarzanie plików.
Hmm... Na PC było to spowodowane pracą GMER, zamulał strasznie system, ale komórka?!? Wiem, że to może dość dziwnie wyglądać...

[djarta]

No to... nic mi z przywracania. Łudziłem się przez chwilę, że te przywrócone pliki wrócą jako kopia, ale nie zaszyfrowana.

Wykonaj w trybie awaryjnym i powiedz mi co się stało, sam jestem ciekaw.

1. Czyli co teraz robić? Formatować? Zwykły format, czy jakiś z nadpisaniem, w stylu format, wgrać Windows, format, wgrać, czy jakoś tak?

Czysty format wszystkich partycji.

2. Ostatnimi dniami nie wpinałem komórki, SE k800i, ale nie wiem, czy czego nie złapałem. Dźwięk coś mi słabo działa. Stara komóra, od dawna mi służy - dobrze i nie narzekałem do tej pory. Objawy, dźwięk dzwonka, pyknie i milknie, jakby się ktoś rozłączał, a widzę połączenie przychodzące i mogę dzwonić, mogę smsować, odbierać etc. Muzyka w komórce też nie działa - odtwarzanie plików.
Hmm... Na PC było to spowodowane pracą GMER, zamulał strasznie system, ale komórka?!? Wiem, że to może dość dziwnie wyglądać...

Telefon nie ma nic związanego z problemami na komputrze. W pamięci telefonu też nic nie ma bo widział bym ZŁE mapwania dysku w logu z OTL - a tam jest wszystko OK.

[voland]

Ok, zaraz zrobię.

Cofnąłem do zeszłego piątku, ale nie widzę zmian żadnych.

[djarta]

Więc czeka Cię niestety format i utrata danych.

[voland]

A czy PC w tej chwili jest czysty? Czy jak coś na nim zapisuję, to nie zostanie to zaszyfrowane znowu? I czy nie będzie infekować urządzeń wpinanych przez USB, np. pendrive, czy komórki.

[djarta]

Wklej logi z FRST: bezpieczenstwo/korzystanie-z-frst-t28530.html

[voland]

1. Dostępne tylko dla zarejestrowanych użytkowników

2. Dostępne tylko dla zarejestrowanych użytkowników

3. Dostępne tylko dla zarejestrowanych użytkowników

Logi z FRST.

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
U1 WS2IFSL; No ImagePath
S3 BRDriver_1_3_3_7ECFDFEA; \??\C:\Documents and Settings\All Users\Dane aplikacji\BitRaider\support\1.3.3\7ECFDFEA\BRDriver.sys [X]
S4 IntelIde; No ImagePath
StartMenuInternet: chrome.exe - Chrome.exe
CHR dev: Chrome dev build detected! <======= ATTENTION
F HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2014-04-29]
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
HKU\S-1-5-21-1957994488-1336601894-839522115-1003\...\MountPoints2: {fedb8e16-98e8-11e4-b8a8-001a9272e37b} - J:\AutoRun.exe
Startup: C:\Documents and Settings\Jan\Menu Start\Programy\Autostart\Quake-HQ-Music.pk3.lnk [2015-04-26]
ShortcutTarget: Quake-HQ-Music.pk3.lnk -> C:\Documents and Settings\All Users\Dane aplikacji\{55d937b4-27c4-7bbb-55d9-937b427cded0}\Quake-HQ-Music.pk3.exe (No File)
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1
HKLM\...\Policies\Explorer: [ClassicShell] 0
2015-05-12 14:16 - 2015-05-11 19:28 - 00007824 _____ () C:\Documents and Settings\Administrator.OEM-2043DCFC615\DECRYPT_INSTRUCTIONS.html
2015-05-12 14:16 - 2015-05-11 19:28 - 00003203 _____ () C:\Documents and Settings\Administrator.OEM-2043DCFC615\DECRYPT_INSTRUCTIONS.txt
2015-05-11 19:33 - 2015-05-11 19:33 - 00007824 _____ () C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\DECRYPT_INSTRUCTIONS.html
2015-05-11 19:33 - 2015-05-11 19:33 - 00007824 _____ () C:\Documents and Settings\Jan\Moje dokumenty\DECRYPT_INSTRUCTIONS.html
2015-05-11 19:33 - 2015-05-11 19:33 - 00003203 _____ () C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\DECRYPT_INSTRUCTIONS.txt
2015-05-11 19:33 - 2015-05-11 19:33 - 00003203 _____ () C:\Documents and Settings\Jan\Moje dokumenty\DECRYPT_INSTRUCTIONS.txt
2015-05-11 19:28 - 2015-05-11 19:28 - 00007824 _____ () C:\Documents and Settings\Default User\DECRYPT_INSTRUCTIONS.html
2015-05-11 19:28 - 2015-05-11 19:28 - 00007824 _____ () C:\Documents and Settings\Administrator\DECRYPT_INSTRUCTIONS.html
2015-05-11 19:28 - 2015-05-11 19:28 - 00003203 _____ () C:\Documents and Settings\Default User\DECRYPT_INSTRUCTIONS.txt
2015-05-11 19:28 - 2015-05-11 19:28 - 00003203 _____ () C:\Documents and Settings\Administrator\DECRYPT_INSTRUCTIONS.txt
2015-05-11 19:27 - 2015-05-11 21:36 - 00007824 _____ () C:\Documents and Settings\Jan\Pulpit\DECRYPT_INSTRUCTIONS.html
2015-05-11 19:27 - 2015-05-11 21:36 - 00003203 _____ () C:\Documents and Settings\Jan\Pulpit\DECRYPT_INSTRUCTIONS.txt
2015-05-11 19:26 - 2015-05-11 19:26 - 00000000 ____D () C:\Documents and Settings\All Users\Dane aplikacji\abekelataheficij
2015-04-26 21:02 - 2015-04-26 21:02 - 00000000 ____D () C:\Documents and Settings\All Users\Dane aplikacji\468060872023659254
C:\Documents and Settings\Jan\Moje dokumenty\Moje obrazy\DSC04510.JPG.encrypted
Emptytemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Zrób pełny skan za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Domyślnie narzędzie wykonuje skan ekspresowy, należy wejść do opcji i po kolei zaznaczać pełny skan dysków. Przedstaw wyniki.

[voland]

Fix zrobiony, klikam na Kasperskyego i widzę stronę z dwiema zakładkami, aktywna 2011, druga, 2015. To tę z tego roku pobrać, prawda?

[djarta]

Wybierz wersje 2011

[voland]

Kieruje do Latest 2015, różnica jedynie w wielkości pliku do pobrania. Zrobiłem skan, ale cisza. Nie mogłem zrobić raportu.
Pobiorę ten z 2011 i przeskanuję ponownie.

-- 12 maja 2015, 17:21 --

Jak poprzednio. Nic i nie mogę niczego wygenerować. Details - pusto, quarant - to samo. Różnica taka, że jak klikam na nie podświetlony plik, to jest opcja Open/Delete, jak podświetlę, jedynie Delete ale i tak nie mogę otworzyć logu.