Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Препоръчан отговор


Здравейте, 

Извинявам се предварително, ако има създатена тема за решаване на проблем с този вирус, но не успях да я открия, затова пиша. 

Днес не знам как и по какъв начин, се заразих с Bora Ransomware, всички файлове в системата ми се промениха във формат .bora. Нямам достъп до офис файлове, снимки и др. 

 

Може ли съдействие ? 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Пишете в специален раздел!

Изпълнете инструкциите от тази тема.

След това изчакайте колега от HJT Team

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,

Дори да прегледам логовете и да почистим останалите зарази (ако има такива и гадината не се е самоизтрила), това няма да възстанови файловете ви. Имате нова версия на STOP (DJVU) Ransomware и за него все още няма (и не се знае дали изобщо ще се появи) декриптор.

https://www.bleepingcomputer.com/news/security/meet-stop-ransomware-the-most-active-ransomware-nobody-talks-about/

https://www.bleepingcomputer.com/download/stopdecrypter/

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

В такъв случай, ще опитам дали STOPDecrypter ще може да свърши някаква работа, ако не успее, мисля че е добре да направя преинстал. Има ли нещо друго, което да може да се направи ?


Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,

Можем да почистим остатъчните поражения, макар че ако ще преинсталирате това ще е малко излишно.

Видях, че Windows Defender се е сборил добре, но след това е бил обезвреден и напълно изключен, след което заразата си е свършила работата...

Изтеглете fixlist.txt и го запазете на в папката, където сте свалили FRST64.exe

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Не мисля, че StopDecrypter ще помогне, защото bora е прекалено НОВ вариант. Забелязан е вчера от автора на инструмента според Twitter-a му:

https://mobile.twitter.com/demonslay335/status/1181345486546051073?p=v

Все пак можете да се регистрирате в BleepingComputer и да публикивате нужната информация в темата и да чакате demonslay335 или Emmanuel_ADC-Soft да помогнат (ако могат)

https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/page-546

Друго остава да преместите криптираните си файлове на някой носител ако не искате да ги триете и да чакате и да се надявате, че един ден (като приключи цикъла на Stop Ransomware) авторите му ще пуснат криптиращите ключове за да се създаде декриптиращ инструмент (или някой да хакне базата им с данни и да освободи ключовете преждевременно).

Поздрави!

Ще се наложи да пуснем втори скрипт:

Изтеглете fixlist.txt и го запазете на в папката, където сте свалили FRST64.exe

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Много Ви Благодаря за съдействието, ще преценя какви мерки да взема. 

Междо другото се рових малко и попаднах на тази тема (не знам дали е позволено да прикачвам от други източници) https://malwaretips.com/blogs/remove-bora/

Тук малко по-надолу има опция с декриптиране с ShadowExplorer. Какво мислите за този инструмент? 

Също така искам да попитам, такъв тип вирус хваща ли се от по известните антивирусни като - Аvast, AVG, Norton, Kaspersky и др. ?

Поздрави !

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Malwaretips е доверен източник, но ShadowExplorer е по-скоро клише. Вършеше работа преди няколко години, но не и за новите варианти. А и той просто използва сенчестите копия за да открие стари версии на файловете, но чисти...ако няма такива копия (а на вируса първата му работа е да ги изтрие с команда от сорта на vssadmin delete shadows /all) и тогава инструмента става безполезен, но не пречи да го пробвате. Но трябва да го правите файл по файл. Това не е автоматизирана система.

Повечето антивирусни програми се дънят срещу ransomware. Можете да видите следната тема за адекватни решения срещу такъв тип заплахи:

Ransomware - програми за защита

Но дори и при тях няма 100% гаранция. Най-сигурния начин си остава бекъпа на външен носител (и облачен сървър за по-маловажните документи).

Поздрави!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

На този етап можете да направите една проверка с инсталираната от вас програма - Malwarebytes Anti-Malware, но се уверете, че плъзгача за scan for rootkits е преместен вдясно:

scan_for_rootkits.jpg.072fb46799be79f3eb

След това публикувайте резултатите.

Направете и проверка с Windows Defender за всеки случай и споделете дали е открила нещо.

Забележка: Възможно е и двете програми да открият файлове в карантинната папка на FRST в C:\FRST\Quarantine, но тези файлове в нея са безобидни вече и самата папка ще бъде изтрита като приключим.

Поздрави и лека вечер от мен!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Благодаря за насоките, ще направя двете сканирания. 

Последен въпрос, ако имам стар backup на цялата система (не съм сигурен дали има), ако го използвам възможно ли е да се възстанови нормално системата или и там ще бъдат файловете счупени ? 

Поздрави и лека вечер ! 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ако самия бекъп (или Image) не е бил засегнат от ransomware-a би трябвало файловете в него да са ОК. Все пак желателно е първо да проверите с двете програми преди да го възстановите (за всеки случай).

Поздрави!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Окей, действам ! 

След сканирането ще преценя дали ще предприема действие по възстановяването впредвид резултатите. 

Поздрави ! 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,

Направих сканиране на системата, по вашите указания:

1. Сканиране с Malwarebytes Anti-Malware с включени rootkits - прикачвам репорт към съобщението;

2. Сканиране с Windows Defender - не отрки заплахи.

Не съм правил рестор на Windows все още. 

Поздрави ! 

Malwarebytes.txt

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Можете да премахнете намерените елементи. Те са остатъци от вече премахнатата от нас непрепоръчителна програма Reimage.

За финал да направим следните две проверки:

 

СТЪПКА 1

 

1.Изтеглете Hitman Pro.

За 32-битова система - dEMD6.gif.
За 64-битова система - Download-button3.gif

2.Стартирайте програмата.
3.След като сте стартирали програмата като кликнете върху иконата 5vo5F.jpg и натиснете бутона „Напред“ като се съгласите с лицензионното споразумение (EULA).

4.Сложете отметка пред "Не, искам да завърша еднократно сканиране на компютъра".

5.Натиснете бутона „Напред“.

6.Програмата ще започне да сканира. Времето за сканиране е около 2 минути.

7.След завършване на сканирането от списъка с намерените неща (ако има такива) изберете Apply to all => Ignore.

8.Натиснете "Next" и след това натиснете "Изнеси резултата в XML file" и запазете лог файла на десктопа.

9.Архивирайте файла и го прикачете в следващия си коментар или копирайте съдържанието му в следващия си коментар.
 
Забележка: Ако няма падащо меню, където да изберете ignore както на снимката:
 
6-scanfin-choose.jpg
 
Тогава просто затворете програмата след края на проверката (без да премахвате нищо)...след това отворете C:\Programdata\HitmanPro\Logs, отворете и публикувайте съдържанието на лог файла в следващия си коментар. Пак повтарям, не трийте нищо с програмата, защото е доста мощна и може да бъде опасна!

Забележка: Папката C:\ProgramData е скрита и затова трябва да направите скритите файлове видими по-следния начин:

От My Computer => Tools => Folder Options => View:

Сложете отметка пред "Show hidden files, folders and drives"

и махнете отметката пред "Hide protected operating system files (recommended)".

Натиснете Apply.

Сега проверете за лог файла в папката C:\Programdata\HitmanPro\Logs и го прикачете в следващия си коментар. :)

 

СТЪПКА 2

 

emsisoft_emergency_kit.pnglogo.png

  • Моля изтеглете EmsisoftEmergencyKit, стартирайте exe файла и посочете къде да се разархивира програмата - например в (C:\EEK), натискайки бутона Extract.
  • Стартирайте иконата на файла Start Emsisoft Emergency Kit от десктопа за да стартирате приложението.
  • Натиснете бутона"Yes", когато бъдете подканени да обновите дефинициите на програмата.
  • След като процеса по обновяването на дефинициите приключи натиснете бутона "Scan".
  • Натиснете бутона "Yes", когато бъдете попитани дали да програмата да включи засичането на потенциално нежелани приложения (Potentially Unwanted Applications).
  • Сега вече изберете бутона Custom Scan. Премахнете от списъка всички дялове без C:\ (т.е. нека да остане само дял C:\ в списъка).
  • Натиснете Next за да започне проверката.
  • Когато проверката приключи натиснете бутона View Report.
  • Копирайте съдържанието на лог файла в следващия си коментар.

 

Поздрави!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте, 

Изпълних двете стъпки по указанията ви: 

- Прикачвам лог файл от HitmanPro

HitmanPro 3.8.15.306
www.hitmanpro.com
	   Computer name . . . . : DESKTOP-QOQ1QQM
   Windows . . . . . . . : 10.0.0.15063.X64/8
   User name . . . . . . : DESKTOP-QOQ1QQM\IT Service Kikkabo
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Trial (31 days left)
	   Scan date . . . . . . : 2019-10-08 23:47:24
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 2m 24s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : Yes
	   Threats . . . . . . . : 3
   Traces  . . . . . . . : 15
	   Objects scanned . . . : 2 136 091
   Files scanned . . . . : 82 089
   Remnants scanned  . . : 588 418 files / 1 465 584 keys
	Malware _____________________________________________________________________
	   C:\FRST\Quarantine\C\ProgramData\WIFIService\WIFIService.exe -> Quarantined
      Size . . . . . . . : 1 298 432 bytes
      Age  . . . . . . . : 0.4 days (2019-10-08 13:53:49)
      Entropy  . . . . . : 6.0
      SHA-256  . . . . . : B5944CBDC2274B64B06471925A1F221D0B428FC053DA77FD3F2EFF6C12704725
    > Kaspersky  . . . . : Trojan.Win32.Ekstak.ttib
      Fuzzy  . . . . . . : 108.0
      Forensic Cluster
          0.0s C:\FRST\Quarantine\C\ProgramData\WIFIService\
          0.0s C:\FRST\Quarantine\C\ProgramData\WIFIService\WIFIService.exe
	   C:\Users\IT Service Kikkabo\Desktop\STOPDecrypter.exe -> Quarantined
      Size . . . . . . . : 2 562 560 bytes
      Age  . . . . . . . : 0.1 days (2019-10-08 22:23:50)
      Entropy  . . . . . : 7.9
      SHA-256  . . . . . : 09549598CA6E75BFDC6CC4915993DB29F43E74AE100E542A530E1469F5F5236A
      Product  . . . . . : STOPDecrypter
      Publisher
      Description  . . . : STOPDecrypter
      Version  . . . . . : 2.2.0.0
      LanguageID . . . . : 0
    > Bitdefender  . . . : Trojan.GenericKD.41673591
      Fuzzy  . . . . . . : 113.0
      Forensic Cluster
         -1.7s C:\Users\IT Service Kikkabo\AppData\Local\Google\Chrome\User Data\Default\File System\086\t\.usage
         -1.7s C:\Users\IT Service Kikkabo\AppData\Local\Google\Chrome\User Data\Default\File System\086\t\Paths\
         -1.7s C:\Users\IT Service Kikkabo\AppData\Local\Google\Chrome\User Data\Default\File System\086\t\Paths\LOG
         -1.7s C:\Users\IT Service Kikkabo\AppData\Local\Google\Chrome\User Data\Default\File System\086\t\Paths\LOCK
         -1.7s C:\Users\IT Service Kikkabo\AppData\Local\Google\Chrome\User Data\Default\File System\086\t\Paths\MANIFEST-000001
         -1.7s C:\Users\IT Service Kikkabo\AppData\Local\Google\Chrome\User Data\Default\File System\086\t\Paths\CURRENT
         -1.7s C:\Users\IT Service Kikkabo\AppData\Local\Google\Chrome\User Data\Default\File System\086\t\Paths\000003.log
         -0.0s C:\Users\IT Service Kikkabo\Desktop\README.txt
          0.0s C:\Users\IT Service Kikkabo\Desktop\STOPDecrypter.exe
         18.4s C:\Users\IT Service Kikkabo\Desktop\STOPDecrypter-log.txt
	   C:\Windows\SYSTEM32\SppExtComObjPatcher.exe -> Quarantined
      Size . . . . . . . : 4 608 bytes
      Age  . . . . . . . : 173.3 days (2019-04-18 16:04:35)
      Entropy  . . . . . : 4.3
      SHA-256  . . . . . : E4F6906C800671EB0DD1C10DAC364714902B02FE68CCF6BDB08052BDCDAC2543
    > Kaspersky  . . . . : not-a-virus:RiskTool.Win64.ProcPatcher.a
      Fuzzy  . . . . . . : 110.0
      Startup
         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SppExtComObj.exe\Debugger
         HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SppExtComObj.exe\Debugger
	
Potential Unwanted Programs _________________________________________________
	   HKLM\SOFTWARE\Reimage\ (ReimageRepair) -> Deleted
	Cookies _____________________________________________________________________
	   C:\Users\IT Service Kikkabo\AppData\Local\Google\Chrome\User Data\Default\Cookies:action.media6degrees.com
   C:\Users\IT Service Kikkabo\AppData\Local\Google\Chrome\User Data\Default\Cookies:adnxs.com
   C:\Users\IT Service Kikkabo\AppData\Local\Google\Chrome\User Data\Default\Cookies:ads.kaldata.com
   C:\Users\IT Service Kikkabo\AppData\Local\Google\Chrome\User Data\Default\Cookies:ads.linkedin.com
   C:\Users\IT Service Kikkabo\AppData\Local\Google\Chrome\User Data\Default\Cookies:atdmt.com
   C:\Users\IT Service Kikkabo\AppData\Local\Google\Chrome\User Data\Default\Cookies:bidr.io
   C:\Users\IT Service Kikkabo\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net
   C:\Users\IT Service Kikkabo\AppData\Local\Google\Chrome\User Data\Default\Cookies:openx.net
   C:\Users\IT Service Kikkabo\AppData\Local\Google\Chrome\User Data\Default\Cookies:w55c.net
	


 

 

- Лог от EmisoftEmergancyKit 

Emsisoft Emergency Kit - Version 2019.6
Last update: 09-10-2019 21:46:48
User account: DESKTOP-QOQ1QQM\IT Service Kikkabo
Computer name: DESKTOP-QOQ1QQM
OS version: Windows 10x64 

Scan settings:

Scan type: Custom Scan
Objects: Rootkits, Memory, Traces, C:\

Detect PUPs: On
Scan archives: On
Scan mail archives: Off
ADS Scan: On
File extension filter: Off
Direct disk access: Off

Scan start:    09-10-2019 21:50:34

Scanned    414833
Found    0

Scan end:    09-10-2019 22:18:44
Scan time:    0:28:10
 

Поздрави ! 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,

Намерените обекти са били (както споменах) в карантинната папка на FRST. Според инструкциите не трябваше да триете нищо с HitmanPro, но за щастие е нямало фалшиви тревоги и всичко намерено не е било проблем да бъде изтрито (може би с изключение на файла част от активатора на Windows)... А лог файла на Emsisoft е напълно чист. Мисля, че сме почистили добре, остава да чакате и да се надявате за декриптор.

За да почистим използваните от нас инструменти направете следното:

За да премахнем Farbar Recovery Scan Tool направете следното:

Преименувайте изпълнимия файл FRST64.exe на Uninstall.exe.

image.png.9cf9e0ab76b122782aff3552f54c5829.png     =>     image.png.44f957ce25ef61c76206655a46425152.png

Кликнете с десен бутон на мишката върху Uninstall.exe и изберете Run as administrator. Ще бъдете уведомени, че трябва да рестартирате системата, за да изтриете инструмента.

image.png.abcc20b28654d54fae08e7451bb5dc3b.png

След рестарта инструмента и прилежащите към него файлове ще бъдат изтрити.

 

Изтеглете  KpRm от kernel-panik и го запишете на вашия работен плот. 

  • Щракнете с десния бутон върху kprm_1.9.exe и изберете Run as administrator
  • Когато инструментът се отвори сложете отметка пред Delete Tools и премахнете останалите и натиснете бутона Run.

111.PNG

  • След като приключите, щракнете върху OK. 
  • В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.

Останалите инструменти, файлове, папки и лог файлове (ако има такива) можете да изтриете ръчно.

Поздрави!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

И нещо за последно, но не по-малко важно:

Цитат

Is there a chance to decrypt a .BORA file?

Not for now. The private key for this variant has not been acquired. If and when that happens, only files encrypted by an offline key will be decryptable.

Check your C drive for the SytemID/PersonalID.txt file. It contains all of the ID's involved in the encryption.

If one them ends it "t1", some of your files may be decryptable when the private key is acquired.

If none of them end in "t1", all of your files were encrypted by an online key, and are not recoverable.

Finally, change ALL of your online passwords (e-tail stores, email, gaming, banking, etc). Later STOP variants bring along a password stealing trojan named Azorult.

Може би е този, който премахнахме с FRST:

C:\FRST\Quarantine\C\ProgramData\WIFIService\WIFIService.exe -> Quarantined
      Size . . . . . . . : 1 298 432 bytes
      Age  . . . . . . . : 0.4 days (2019-10-08 13:53:49)
      Entropy  . . . . . : 6.0
      SHA-256  . . . . . : B5944CBDC2274B64B06471925A1F221D0B428FC053DA77FD3F2EFF6C12704725
    > Kaspersky  . . . . : Trojan.Win32.Ekstak.ttib

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Не откривам SystemID/PersonalID.txt в C, но файла, в който пише Personal ID e попаднал в E. Това е единственото място, в което виждам Personal ID. 

Прикачвам файла. 

Мисля, че е от файловете, които не могат да се възстановят. 

Поздрави !

_readme.txt

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Някакви препоръки, какво да правя сега ? 

Къде мога да следя евентуално за декриптор ? 

 

Благодаря предварително,

Поздрави !

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Е нали вече беше написано?

Цитат

 

https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/page-546

Друго остава да преместите криптираните си файлове на някой носител ако не искате да ги триете и да чакате и да се надявате, че един ден (като приключи цикъла на Stop Ransomware) авторите му ще пуснат криптиращите ключове за да се създаде декриптиращ инструмент (или някой да хакне базата им с данни и да освободи ключовете преждевременно).

Може да отнеме месеци, а може и никога да не се появи декриптор за тази версия. Гаранция никаква общо взето.

Поздрави!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.


  • Разглеждащи това в момента   0 потребители

    Няма регистрирани потребители разглеждащи тази страница.

  • Горещи теми в момента

  • Подобни теми

    • от dkaraulan
      Здравейте
      Сканирах с Malwarebytes и изтрих high risks detected. Останалите potential threats не ги разпознавам и затова пиша тема.
      Не разполагам с диск за операционна система. Прикачвам файловете от десктопа.
      Благодаря предварително!
      Addition.txt FRST.txt
    • от doktorkartar
      При всяко стартиране на Мозила ми се блокират началните прозорци (без значение от кой сайт са) и ми излизат 3 грешки от Kaspersky T.S. След това мога да си презаредя блокирания прозорец на ново и го отваря без проблем. Проблема се явява само при стартирането на Мозила.
      Дали е от заразена система или неправилна настройка на АВ-та програма ?
      Имам наличен диск с ОС.
       

      Addition.txt FRST.txt
    • от CaptainJord
      Здравейте, от няколко дни, когато стартирам компютъра ми се отваря автоматично Google Chrome и ме пренасочва към някакви random сайтове.. Съмнявам се да нямам някакъв злонамерен софтуер. Понеже Eset не ми работи, а уж я имам на системата инсталирана, когато я натисна не ми тръгва и не мога да направя Scan на системата.. 
       
       
      Addition.txt FRST.txt
    • от snuri
      Здравейте.
      Проблем с усб флаш паметите (4бр) като ги пусна на настолния и лаптопа ми излиза шорткът към флашката(само в мойте компючтри) на други показва че флашката/те са празни.
      Сканирах с мбам и намери доста зарази поставих ги в карантина и след рестарт на компа не можах да вляза във флашките.Изписва ми ерор Г://-_-_.
      Ако може да помогнете.
      Благодаря предварително

      Addition.txt FRST.txt dd.txt hfg.txt log.txt
    • от v3cko
      Напоследък Chrome зарежда бавно имам чувството че сякаш системата е тромава , днес при опитите да изтегля Farbar страницата се зареждаше около 1:30 минути докато започне самото изтегляне и то неуспешно
      Addition_04-08-2019 17.09.48.txt FRST_04-08-2019 17.09.48.txt
  • Дарение

×
×
  • Добави ново...