A i jeszcze Roguekiller nic specjalnego nie wykazał… Znaczy coś tak ale na pewno nie tego Ransoma… Kilka wpisów w rejestrze, kilka czerwonych, nieco więcej pomarańczowych, i troszkę plików, ale według Roguekillera to był kompletnie inny typ infekcji…

Od rozpoczęcia infekcji ten cały ransomware jedyne co zainfekował czy tam zaszyfrował to archiwa i pliki obrazów. Każdy inny rodzaj plików działa. Mam wrażenie że celem tego ransomwera którego tu mamy są jedynie pliki graficzne i archiwum, ale niczego nie możemy być pewni. Jeżeli do jutra coś się zmieni, (inne zaszyfrowane pliki, avi, exe lub txt) to powiadomię na forum. Dodatkowo jedyną zauważalną rzeczą poza szyfrowaniem plików graficznych i archiwów jest zmiana wszystkich ikon archiwów na załączoną jako plik do pobrania.

EDIT: Wirus nie zaszyfrował do tej pory nic innego. Brak plików tekstowych jakichkolwiek na pulpicie czy gdziekolwiek indziej. Jedyną zauważalną zmianą po włączeniu komputera na nowo była taka o to informacja: “Kosz na dysku C jest uszkodzony. Czy chcesz opróżnić kosz na tym dysku”. Spróbuję dziś zrobić logi, o ile się uda, a program obadam dziś ten OSArmor 1.4

Byłbym wdzięczny za dalsze wskazówki co robić. Pobrałem najnowszą wersję programu antywirusowego gwarantującego dodatkową ochronę komputera do stosowania razem z głównym antywirusem i ochroną na USB o nazwie SmadAV, wersja PRO zarejestrowana. Z internetu wzięta razem z plikiem licencji i jest zarejestrowany program na “Giveaway” dlatego mam dostęp do funkcji w nim takich jak Anti-Ransomware. Nie dawno wykrył coś ciekawego po pełnym skanowaniu. Wirus najwidoczniej zdążył już dobrnąć do plików jakiejś mojej gry na Steam, chyba że to coś innego. Poniżej jest podesłany obrazek z tego co ten SmadAV wykrył. Wykrył coś o nazwie “VBS.Encrypted.E”

VBS.Encrypted.E.png792×558 39 KB

NATYCHMIASTOWY EDIT: Już nie wiem co o tym myśleć… Po raz kolejny to edytuję, ale jak teraz sprawdziłem lokalizację dokładniej i nazwę pliku wskazanego przez program to okazuje się że niby zainfekowany plik to “system^lua.txt”, podczas gdy plik w lokalizacji podanej przez program po sprawdzeniu przez eksplorator windows nazywa się “filesystem^lua.txt”. Swoją drogą plik pewnie już nie istnieje bo został dodany do kwarantanny.

Mistrzu, wyłącz tego kompa zanim zaszyfruje resztę. Opcje masz 3:

1. Odpalasz z pendrive/cd jakiegoś Linuxa, sam znajdujesz podejrzane pliki i wywalasz.
2. Odpalasz z pendrive/cd jakiegoś antywirusa i skanujesz kompa usuwając wszystkie zagrożenia.
3. Podpinasz dysk do innego kompa z zainstalowanym antywirusem i skanujesz dysk usuwając wszystkie zagrożenia.

We wszystkich 3 opcjach najlepiej przy okazji zrobić kopię wszystkich plików lub obraz dysku na inny dysk.

Na kompie aż tak dużo cennych rzeczy nie ma. Na pendrive’a dane logowania i kilka innych rzeczy drobnych przerzucone, więc przynajmniej tyle bezpieczne.
EDIT: Oczywiście usunę pliki z danymi logowania z komputera aby wirus nawet mimo zaszyfrowania nie miał do nich dostępu. Ale dobra po co ja to mówię jak się nie znam ;/

A problem jest też taki, że żadnej płytki z antywirusem ani linuxem to ja nie mam.

Skoro nie masz tam cennych danych, to prościej będzie:

1. Przerzucić cenne dane na inny dysk/pendrive.
2. Postawić system od nowa.
3. Zainstalować antywirusa.
4. Podłączyć dysk/pendrive z powrotem i przeskanować.

A płytkę z Linuxem i antywirusem można pobrać z sieci. Przy czym jak masz to robić na kompie, gdzie jest wirus, to bez sensu - w tym czasie wirus zaszyfruje resztę.

Nie chce się wymądrzać, ale nie wiem czy czytałeś powyższe wpisy moje i innych.

1.Cenne dane przerzuciłem. Czytaj uważniej.
2.Na system nowy to ja wciąż czekam. Kolega popatrzy na wpisy na górę.
3.Antywirus jest od dawna, Avast ale tylko darmowy niestety, a także teraz ten SmadAV.

co do 4 sam tego nie zrobię musiałbym kogoś poprosić.

EDIT: Czyli podsumowując to już tylko czekać na śmierć kompa, a z moim doświadczeniem słabym i tym co mi inni mogą pomóc czyli nie wiem znajomi chociażby to… Już sam nie wiem…

Dobra, przeczytałem. Niczego to nie zmienia.

Szyfrowanie plików to nie jest hop siup - musi używać procesora i dysku. Zobacz w menedżerze zadań który program (poza przeglądarką) używa procesora i ubij. Następnie znajdź jego plik i usuń (ścieżkę do niego możesz sprawdzić w menedżerze. Jak będzie oporny, to użyj Unlockera.

Jeśli robak wziął się z tego katalogu ze Steam, to wyłącz i odinstaluj Steam.

Ciekawe, że już drugi dzień infekcji, a szyfrowanie nadal trwa, poza screene z pokracznego programu, którego nazwa nic mi nie mówi, nie widzę tutaj logów z Hijack, FRTS albo czegokolwiek. Interesujące jest też, że Avast nie poradził sobie z tym czymś.

Nie obraź się, ale wygląda mi to na troll. Serio.

Jak rzeczywiście chcesz coś z tym zrobić, to poproszę:

1. Screen z menedżera zadań z sortowaniem procesów wg użycia procesora (z zaznaczeniem procesów wszystkich użytkowników).
2. Screen z AdwCleaner po zakończeniu skanowania.
3. Zakładkę Autostart z programu CCleaner.

Serio nie znam się na komputerach… Ale wiem na tyle dużo żeby wiedzieć że ja ludzi nie trolluję a “encrypted” i chińskie znaczki w notatniku jak próbuję otworzyć chociażby obrazek same się nie biorą…

EDIT: A jak CCleaner’a mi wciszkasz tego wirusa, to już wolę żeby mi zaszyfrowało niż kolejny badziew instalować do tego co i tak już mam…

Jak się nie znasz na kompach, to po cholerę zbierasz wirusy? Chcesz zbierać wirusy, to zainstaluj sobie Linuxa - na nim będą sobie one spokojnie leżeć.

Zaszyfrowany plik można sobie w necie znaleźć. A chińskie znaczki w plikach graficznych to norma, gdy otwierasz je w edytorze tekstowym.

Z dwojga złego wolałbym zainstalować CCleaner i całe znane mi chińskie oprogramowanie na Windows, niż mieć aktywny wirus szyfrujący na dysku. Serio.

Czy ty serio myślisz że to troll? Wirusy zbieram, to prawda, ale rozumu mam na tyle (nawet jeżeli słabo znam się na komputerach) żeby jak już to na USB je trzymać, nie odpalać a jak już to tylko na Linuxie lub innym Windowsie zainstalowanym na wirtualnej maszynie. Swoją drogą serio… Jak uważasz że to troll to podeślę ci plik .rtf, z dziwnymi znaczkami ale nie chińskimi i maleńkim napisem “encrypted” na końcu i zobaczymy co powiesz… Ok?

Na początek podeślij mi to o co prosiłem, ok?

Postaram się.

Przy okazji: ciekawa jest data modyfikacji tego zaszyfrowanego pliku. I bardzo ciekawa nazwa użytkownika. Bardzo.

A jak tam zrzuty ekranu? Widzę, że świetnie sobie radzisz w wycinaniem okien i obsługa Paint.NET.
Fotka menedżera zadań to 20 sekund roboty, podobnie jak z CCleanera. Problemem może być skanowanie AdwCleaner na zawalonym dysku.