Prawdopodobny atak CryptoWall (HELP_DECRYPT)


(magw) #1

Witam!

 

Mam komputer po prawdopodobnym ataku CryptoWall.

Anti Malware usunął jakieś 'syfy', ESET online Scaner też.

Załączam logi FRST z prośbą o sprawdzenie.

 

FRST: http://wklej.to/xKTl5

Addition: http://wklej.to/08EgF

schortcut: http://wklej.to/QKQ9E

 

Z góry dziękuję i pozdrawiam,


(Atis) #2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

SearchScopes: HKLM -> DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = 
S4 eapihdrv; \??\C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\ehdrv.sys [X]
S4 IntelIde; No ImagePath
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
CMD: del /q /s C:\HELP_DECRYPT.*
EmptyTemp:

Uruchom FRST i kliknij Fix. Później skasuj C:\FRST


(magw) #3

Chciałem prosić jeszcze o sprawdzenie logów z ‘serwera’ do którego podłączony był zainfekowany komputer i miał z niego mapowane dyski sieciowe.


(Atis) #4

Nie widać infekcji.

Jeżeli zostały zaszyfrowane pliki to nie ma możliwości żeby odszyfrować dane:

http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information


(magw) #5

Nic nie zaszyfrował na szczęście.

W ogóle bardzo “dziwnie” się zachował, bo ani na stacji roboczej, ani na ‘serwerze’ nic nie zaszyfrował. Zostawił tylko w różnych miejscach po 3 pliki: HELP_DECRYPT.txt, HELP_DECRYPT.PNG i HELP_DECRYPT.HTMl.

Dziwne też, że na stacji przepuścił go ESET Smart Security

 

Mam nadzieję, że nie odpali w przyszłości.

 

Możesz podpowiedzieć, czy jest sens zastosować to zabezpieczenie w całej sieci: FoolishIT LLC z opcją default?


(Atis) #6

Nie wiem, bo nigdy tego nie stosowałem. Na blogu masz wpis na ten temat:

http://www.dobreprogramy.pl/bachus/WBZIN,65065.html

Pliki możesz skasować za pomocą wiersza polecenia cmd.exe.

W wierszu polecenia wpisz: del /q /s X :\HELP_DECRYPT.*

X - podstaw literę dysku.