Problem z ransomwarem

[Florian95]

Mój problem to ransomware, którego przez nieuwagę ściągnąłem, myślę że razem z albumem muzycznym. Na początku na pulpicie pojawiła mi się wiadomość z notatnika zatytułowana "Files encrypted". Potem na połowie ekranu miałem wiadomość całą w kolorze czerwonym, że 'twoje pliki zostały zaszyfrowane', było podanych kilka stron na które rzekomo miałem wejść i odblokować moje pliki 'hasłem' podanym także w tej wiadomości. Na samym dole było napisane, że tą czerwoną wiadomość mogę wyłączyć klawiszem DEL. Na stronie, do której linki były podane w czerwonej wiadomości nie było nazwy ransomwara, tylko miałem tam wpisać to hasło i kliknąć SUBMIT. Potem strona pokazała mi linki, w których mogę kupić bitcoin, którym miałem zapłacić okup.

 

Na stronie id-ransomware.malwarehunterteam.com, której link znalazłem na kolejnej z nieprzydatnych stron poświęconych pomocy w pozbyciu się tego wirusa dowiedziałem się, że moja wersja ransomwara to TeslaCrypt 3 i 4 (nie wiem czemu program znalazł dwie wersje). Piszę o nieprzydatnych stronach, ponieważ było na nich polecanych dużo programów, które podobno miały pomóc. I takim sposobem próbowałem czyścić komputer m. in. Data Recovery Pro, TeslaDecoder, AR20, SpyHunter, PB-Remover, lecz żaden z tych programów nie okazał się pomocny. Niektóre z programów wymagały kupna wersji premium, jednak zapłacenie 80 zł za pełną wersję programu to naprawdę ostateczność. Próbowałem także przywracania systemu, który niby przywrócił się do wybranego dnia, jednak wyskakiwał błąd, coś a'la (0000002(2)). Próbowałem także przywracania poprzednich wersji plików, lecz to także nie działa. 

 

Co do mojego antywirusa to Avast Premier, którego używam w ogóle nie zareagował na żadne zagrożenie, przespał całe zarażenie a potem, gdy go potraktowałem szczegółowym skanem w poszukiwaniu wirusów niczego nie znalazł.

 

Naczytałem się dużo na temat Tesli i w artykułach było napisane, że szyfruje on zdjęcia i pliki Office. Jednak ja zauważyłem inną rzecz. Mi zaszyfrował wszystkie pliki Adobe Reader oraz (!) około 50 piosenek, które czekały na pulpicie na skopiowanie do folderu. Gdy już je na wszelki wypadek skopiowałem do folderu z muzyką, mam takie wrażenie, że zainfekowały się także piosenki, które są bezpośrednio nad i pod zarażonym plikiem skopiowanym z pulpitu. Tak więc mam zarażone parę procent piosenek, jednak wydaje się, że większość działa poprawnie, mogę je uruchomić. Poza tym zarażone pliki nie są nazwane kombinacją cyfr i liter, lecz nazywają się tak jak pierwotny plik oraz mają takie samo rozszerzenie. Żadnych '.vvv' i tym podobnych.

 

Myślałem nad tym, jak ocalić resztę plików, lecz nie wiem co dalej robić. Z jednej strony chciałem wrzucić do chmury ale ransomware może ją także zarazić. Z drugiej strony myślałem o kupnie dysku albo karty pamięci i wrzuceniu tam działających plików. Lecz gdy traktuję je Avastem ten nie widzi żadnych zagrożeń. Nie chcę także zarazić dysku przenośnego, ponieważ gdy już się uporam z problemem, sformatuję dysk w komputerze i nie chciałbym, aby jakiś zainfekowany plik zaraził mi z powrotem cały komputer. Jak mogę tą sytuację załatwić?

[MikaelDorren]

Cytat

Mój problem to ransomware, którego przez nieuwagę ściągnąłem, myślę że razem z albumem muzycznym.

Jeśli album o którym piszesz nie był z oficjalnego źródła, to na pomoc bym nie liczył. Polityka forumowa jest tu brutalna - jak piraciłeś i klikałeś gdzie nie trzeba, to radź sobie sam.

[Sevard]

@MikaelDorren Za moich czasów dopóki sam problem nie dotyczył spiraconych plików lub oprogramowanie, albo nie występował na spiraconym systemie, to nie odmawialiśmy pomocy. Coś się w tej polityce zmieniło? Jeśli problem wystąpił przez pirackie pliki, to należy dać osta i tyle. Autor tematu najpewniej ma nauczkę.

 

I wracając do problemu - TeslaCrypt jest o tyle wredna, że cały czas ją aktualizują, przez co trzeba używać oprogramowania, które ją zwalcza w najnowszej dostępnej wersji, a i wtedy nie ma pewności, że to zadziała.

Spróbuj użyć programu TeslaDecoder pobranego bezpośrednio z tej strony. Jeśli to nie zadziała, to istnieje szansa, że autorzy programu za jakiś czas wydadzą aktualizację, która sobie z tym poradzi. Jeśli program sobie nie radzi, to warto odezwać się w podlinkowanym temacie, to istnieje szansa, że to nieco przyspieszy obrót spraw.

[MikaelDorren]

@Sevard

Uprzedziłem jedynie o możliwych konsekwencjach. Póki co nie mamy wiedzy,  czy tu w ogóle do jakiegoś aktu piractwa doszło i jak kto chętny (i co ważniejsze - umie) niech pomaga. Ewentualnymi ostrzeżeniami zajmiemy się później.

W kwestii rozwiązania - autor napisał, że TeslaDecoder używał i mu nie pomogło (pytanie tylko w jakiej wersji i z jakiego źródła). Z innej beczki - czy narzędzie ESET sobie tu poradzi?

[Sevard]

Narzędzia ESET działają z wersją 3 i 4. Tu nazwy plików nie zostały zmienione, więc jest to wersja 6.

Choć oczywiście można spróbować. Master key został opublikowany jakiś czas temu, więc teoretycznie każdy program powinien sobie poradzić.
[edyta]

OK, wygląda na to, że ESET inaczej numeruje wersje. Ich program powinien sobie poradzić, podobnie jak ostatnia wersja TeslaDecodera.

[Florian95]

Dziękuję, że zdecydowaliście się pomóc.

@Sevard Używałem TeslaDecodera z tej strony, którą podałeś ale z innego artykułu. Jednak w tej starej wersji po skanowaniu 'decrypt all' miałem '(0 files decrypted, 0 files skipped, 0 warnings). Po użyciu TeslaDecodera z Twojego linku już mu udało się pominąć kilkadziesiąt tysięcy plików ale odszyfrowanych nadal jest 0. ESETu jeszcze nie używałem to za chwilę zobaczę czy da radę. 

Czy jest np. taka możliwość, abym działające pliki zrzucił na zewnętrzny nośnik, przeinstalował Windowsa i zrzucił pliki na nowy system czy jest duża możliwość, że mogę go ponownie zarazić?

[Sevard]

Szybsze jest umieszczenie wszystkich zaszyfrowanych plików w jednym miejscu i użycie opcji Decrypt folder (oczywiście po wcześniejszym ustawieniu klucza), no ale co kto lubi.

Wrzuć jakiś zaszyfrowany plik tutaj i sprawdź, czy to na pewno TeslaCrypt, bo tak szczerze mówiąc, to ten trojan powinien być nieaktywny.

[Florian95]

Klucza, to znaczy?

Wrzuciłem i tak samo wyszło: TeslaCrypt 3 i 4 oraz UnblockUPC ale to informacja ze znakiem zapytania. Taka była strona, na której miałem zapłacić okup.

Dziś jeszcze przeskanowałem komputer MBAMem i ten wykrył 12 wirusów. Przeniosłem je do kwarantanny i usunąłem ale nie wiem czy na pewno już ich nie ma. 

[Sevard]

A instrukcję obsługi programu czytałeś?

Uruchamiasz program, następnie ustawiasz klucz (opcja Set key, wybierasz z listy swój wariant infekcji i ustawiasz klucz - w Twoim przypadku dzieje się to automatycznie) i na koniec przystępujesz od odszyfrowywania plików.

Tak jak pisałem - serwery TeslaCrypt od maja są wyłączone, więc teraz nie powinno dochodzić do infekcji, więc istnieje spora szansa na to, że to jednak coś innego. Sądząc po tym, że przez ostatnie 24h UnblockUPC szaleje, to może to być ten szkodnik. Musiałbym wiedzieć jaką dokładnie wiadomość dostałeś.

 

Czy ta strona wyglądała tak jak tutaj: http://sureshotsoftware.com/wp-content/uploads/2016/09/Unblockupc-ransomware-payment-website-screenshot-600x407.png?

I dodatkowe pytanie - co znalazł MBAM?

[Florian95]

No to właśnie tak robiłem wszystko. Co prawda nie skanowałem folderu tylko całą partycję systemową i potem partycję z plikami ale nigdzie nie widział żadnego zaszyfrowanego pliku.

http://files.tinypic.pl/i/00823/a6zrruc02vzx.png to screen ze strony.

Tak to była identyczna strona.

Właściwie to MBAMowi się nie przyglądałem tylko od razu wszystko wrzuciłem do kwarantanny. Mój błąd.

[Sevard]

No dobra, w takim razie mam do Ciebie dwie złe wiadomości:

1. To nie jest TeslaCrypt, która już od jakiegoś czasu nie jest zagrożeniem. Z tego też powodu ani TeslaDecoder, ani narzędzie od ESET, ani żadne inne celowane w TeslaCrypt nie zadziała.

2. To najpewniej jest UnblockUPC. Wcześniej id-ransomware tego nie rozpoznało, bo pewnie jeszcze nie miało go w bazie. Zagrożenie pojawiło się 2 dni temu i z tego co widzę, to jeszcze nikt nie wie jak z nim walczyć. Jeśli nie straciłeś ważnych plików, to porób kopie tego co masz i wtedy będzie trzeba postarać się usunąć infekcję. W innym przypadku trzeba będzie albo zapłacić okup, albo czekać.

 

[edit]

Dopisz się do tego tematu. Przydałoby się źródło infekcji, coby można je uruchomić w jakimś wyizolowanym środowisku, więc jeśli masz gdzieś pliki, które doprowadziły do infekcji, to również im je wrzuć. Jeśli nie znasz angielskiego, to wrzuć je gdzieś w postaci archiwum zabezpieczonego hasłem i podeślij mi link na priv razem z hasłem, to się tym zajmę.

[Florian95]

Kurczę, nieciekawa sprawa. To jeśli chciałbym już kopiować te ''działające'' pliki na inne nośniki i po prostu potraktować komputer formatem to jest szansa, że zakażenie wróci? Czy to jest jakiś nowy ransomware, którego zachowanie nie jest na razie znane?

[Sevard]

Niestety nie wiem jak to dokładnie działa i jak się przenosi, więc trudno powiedzieć jak bardzo odporne jest. Najpewniej lada chwila dobre programy antimalware/anriransomware będą w stanie usunąć samą infekcję, gorzej może być z odszyfrowaniem plików. Spróbowałbym z Malwarebytes' Anti-Malware (ten program już masz) i z Emsisoft Emergency Kit w najnowszych wersjach.

Z tego co widzę, to nie udało się jeszcze nikomu znaleźć programu szyfrującego w przypadku tego ransomware, więc najpewniej infekcja usuwa się sama po zaszyfrowaniu części plików i dlatego proponuję na razie porobić kopie i czekać na rozwój wydarzeń (oczywiśce skany i tak trzeba wykonać). Najpewniej format jest overkillem. Na pewno jednak warto lepiej zabezpieczyć system jakimś wyspecjalizowanym oprogramowaniem anti-ransomware. Fajnym programem zabezpieczającym przed tego typu zagrożeniami jest Malwarebytes' Anti-Ransomware. Niestety obecnie jest to jeszcze beta.

[Florian95]

Na obecną chwilę MBAM nie wyszukuje żadnych wirusów, Emsisoft tak samo.

Właśnie zauważyłem, że kolejne pliki już się nie szyfrują. Zaszyfrowane jest tylko to, co mi się wczoraj zaszyfrowało.

Ściągnąłem także przykładowe zdjęcia z google, zobaczę, czy coś się z nimi stanie.

 

Edit:

Żadne pobrane zdjęcia się nie zaszyfrowały.