Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Ransom.Cerber - Zaszyfrowany laptop, zaszyfrowane pliki, okup za pliki

wtkp 08 Lip 2016 19:20 1341 5
  • #1 08 Lip 2016 19:20
    wtkp
    Poziom 5  

    Witam, mam pewien problem, dziś podczas przeglądania emaila siostra pobrała przez przypadek jakiś plik win-rar plik się wypakował i zablokował wszystkie dane na komputerze, nie mogę otworzyć, zdjęć , filmów, dokumentów, na wszystkich dyskach.
    Na pulpicie jest tylko komunikat w języku angielskim z żądaniem okupu i jakieś linki.

    Do każdego pliku jest dołączone cerber.

    Skanowałem adw clener wykrył swdumon usunąłem.
    Potem skanowanie Malware wykrył Ransom. cerber
    Daje logi z FRST

    Co teraz?
    Da radę jakoś odzyskać pliki? Czy zostaje tylko przeinstalowanie systemu?
    I czy przeinstalowanie systemu coś da i czy potrzebny będzie pełny format dysków czy tylko dysku systemowego?

    Proszę o pomoc

    0 5
  • Pomocny post
    #3 08 Lip 2016 20:54
    Kolobos
    Spec od komputerów

    @kim126 pliki sa zaszyfrowane, niczego nie odzyska.

    @wtkp Mozesz probowac odzyskac pliki z kopii o ile masz:
    http://www.shadowexplorer.com/downloads.html

    Wykonaj Fixlist.txt dla FRST:
    HKU\S-1-5-21-575258089-2384568641-2072442985-1000\...\Run: [w32tm] => "C:\Users\PAULINA\AppData\Roaming\{D6ECE539-EA7D-B81B-BC63-2F5E62FD0112}\w32tm.exe"
    HKU\S-1-5-21-575258089-2384568641-2072442985-1000\...\MountPoints2: {9733e3a3-8c84-11e5-aa11-68f728912c45} - G:\LG_PC_Programs.exe
    Startup: C:\Users\PAULINA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\w32tm.lnk [2016-07-08]
    ShortcutTarget: w32tm.lnk -> C:\Users\PAULINA\AppData\Roaming\{D6ECE539-EA7D-B81B-BC63-2F5E62FD0112}\w32tm.exe (Brak pliku)
    Task: {96128EE3-8622-4F86-B0C7-867779CE5376} - System32\Tasks\IntelCpHeciSvc => C:\Users\PAULINA\AppData\Roaming\{D6ECE539-EA7D-B81B-BC63-2F5E62FD0112}\IntelCpHeciSvc.exe
    2016-07-08 18:46 - 2016-07-08 18:50 - 00000000 ____D C:\AdwCleaner
    2016-07-08 16:43 - 2016-07-08 16:43 - 00012382 _____ C:\Users\PAULINA\Desktop\# DECRYPT MY FILES #.html
    2016-07-08 16:43 - 2016-07-08 16:43 - 00012382 _____ C:\Users\Default\# DECRYPT MY FILES #.html
    2016-07-08 16:43 - 2016-07-08 16:43 - 00010506 _____ C:\Users\PAULINA\Desktop\# DECRYPT MY FILES #.txt
    2016-07-08 16:43 - 2016-07-08 16:43 - 00010506 _____ C:\Users\Default\# DECRYPT MY FILES #.txt
    2016-07-08 16:43 - 2016-07-08 16:43 - 00000234 _____ C:\Users\PAULINA\Desktop\# DECRYPT MY FILES #.vbs
    2016-07-08 16:43 - 2016-07-08 16:43 - 00000234 _____ C:\Users\Default\# DECRYPT MY FILES #.vbs
    2016-07-08 16:43 - 2016-07-08 16:43 - 00000090 _____ C:\Users\PAULINA\Desktop\# DECRYPT MY FILES #.url
    2016-07-08 16:43 - 2016-07-08 16:43 - 00000090 _____ C:\Users\Default\# DECRYPT MY FILES #.url
    2016-07-08 16:42 - 2016-07-08 16:42 - 00012382 _____ C:\Users\PAULINA\# DECRYPT MY FILES #.html
    2016-07-08 16:42 - 2016-07-08 16:42 - 00010506 _____ C:\Users\PAULINA\# DECRYPT MY FILES #.txt
    2016-07-08 16:42 - 2016-07-08 16:42 - 00000234 _____ C:\Users\PAULINA\# DECRYPT MY FILES #.vbs
    2016-07-08 16:42 - 2016-07-08 16:42 - 00000090 _____ C:\Users\PAULINA\# DECRYPT MY FILES #.url
    2016-07-08 16:31 - 2016-07-08 16:31 - 00012382 _____ C:\Users\PAULINA\Downloads\# DECRYPT MY FILES #.html
    2016-07-08 16:31 - 2016-07-08 16:31 - 00012382 _____ C:\Users\PAULINA\Documents\# DECRYPT MY FILES #.html
    2016-07-08 16:31 - 2016-07-08 16:31 - 00010506 _____ C:\Users\PAULINA\Downloads\# DECRYPT MY FILES #.txt
    2016-07-08 16:31 - 2016-07-08 16:31 - 00010506 _____ C:\Users\PAULINA\Documents\# DECRYPT MY FILES #.txt
    2016-07-08 16:31 - 2016-07-08 16:31 - 00000234 _____ C:\Users\PAULINA\Downloads\# DECRYPT MY FILES #.vbs
    2016-07-08 16:31 - 2016-07-08 16:31 - 00000234 _____ C:\Users\PAULINA\Documents\# DECRYPT MY FILES #.vbs
    2016-07-08 16:31 - 2016-07-08 16:31 - 00000090 _____ C:\Users\PAULINA\Downloads\# DECRYPT MY FILES #.url
    2016-07-08 16:31 - 2016-07-08 16:31 - 00000090 _____ C:\Users\PAULINA\Documents\# DECRYPT MY FILES #.url
    2016-07-08 16:30 - 2016-07-08 16:30 - 00003634 _____ C:\Windows\System32\Tasks\IntelCpHeciSvc
    C:\Users\Default\# DECRYPT MY FILES #.vbs
    C:\Users\PAULINA\# DECRYPT MY FILES #.vbs
    EmptyTemp:

    1
  • Pomocny post
    #4 08 Lip 2016 23:10
    Robert B
    Poziom 43  

    wtkp napisał:
    Da radę jakoś odzyskać pliki?

    Nie.
    wtkp napisał:
    podczas przeglądania emaila siostra pobrała przez przypadek jakiś plik win-rar

    Nauczka na przyszłość:
    Antywirus + myślenie.

    0
  • #5 09 Lip 2016 12:16
    wtkp
    Poziom 5  

    OK panowie zrobiłem tak jak pomógł Kolobos dzięki kolego.
    Znikło z pulpitu dziadostwo ale tak jak pisałeś pliki zaszyfrowane dalej.

    Czy teraz przeinstalować system z pełnym formatem wszystkich dysków ?

    0