Ransomware GandCrab v5.0.4 Vyřešeno

Místo pro vaše HiJackThis logy a logy z dalších programů…

Moderátoři: Mods_senior, Security team

Uživatelský avatar
KedarCZE
Level 3
Level 3
Příspěvky: 411
Registrován: říjen 14
Bydliště: Severní Morava
Pohlaví: Muž
Stav:
Offline

Ransomware GandCrab v5.0.4

Příspěvekod KedarCZE » 03 lis 2018 09:54

Dobrý den, včera jsem bohužel narazil na GandCrab v5.0.4, projel jsem to Windows Defender, Malwarebytes, HitmanPro a mám teď nainstalovaný i Eset. Taky jsem četl něco o SpyHunter programu, ale ten potřebuje licenci. Zašifrovalo mi to všechny soubory a v koši mám 1 soubor který nemá název a je extrémně velký (i když je to nemožné protože mám jen 256GB SSD). A netuším co ten soubor v sobě má Původní data ? Ransomware? Jiný vir? . Zatím jsem nenašel žádný program který by uměl dešifrovat data GandCrabu u verze 5.0.4, bitdefender je zatím u v5.0.3 . Soubory jsou "předělané" na typ .bphvnm . Soubor hosts jsem obnovil do základního stavu.
Takže potřeboval bych teď analyzovat jestli pořád nemám nějakou část GandCrabu aktivní nebo nějaký jiný vir.

Obrázek

Přikládám log s prvním skenem Malwarebytes.

Malwarebytes
www.malwarebytes.com

-Podrobnosti logovacího souboru-
Datum skenování: 02.11.18
Čas skenování: 20:47
Logovací soubor: 2ebd2e1c-ded8-11e8-99e3-5404a6034d5e.json

-Informace o softwaru-
Verze: 3.6.1.2711
Verze komponentů: 1.0.482
Aktualizovat verzi balíku komponent: 1.0.7661
Licence: Zkušební

-Systémová informace-
OS: Windows 10 (Build 17763.55)
CPU: x64
Systém souborů: NTFS
Uživatel: KEDAR-PC\Kedar

-Shrnutí skenování-
Typ skenování: Skenování hrozeb (Threat Scan)
Spuštění skenování: Ruční
Výsledek: Dokončeno
Skenované objekty: 329709
Zjištěné hrozby: 22
Hrozby umístěné do karantény: 22
Uplynulý čas: 9 min, 41 sek

-Možnosti skenování-
Paměť: Povoleno
Start: Povoleno
Systém souborů: Povoleno
Archivy: Povoleno
Rootkity: Zakázáno
Heuristika: Povoleno
Potenciálně nežádoucí program: Detekovat
Potenciálně nežádoucí modifikace: Detekovat

-Podrobnosti skenování-
Proces: 0
(Nebyly zjištěny žádné škodlivé položky)

Modul: 0
(Nebyly zjištěny žádné škodlivé položky)

Klíč registru: 5
PUP.Optional.SpyHunter, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\SpyHunter5, Smazání při restartu, [3917], [552679],1.0.7661
PUP.Optional.NewTab, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\imhlianhlhdicjchlbmbfaefhhjencbe, Smazání při restartu, [2235], [513814],1.0.7661
RiskWare.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\{A161224E-WSP1-9722-1GH5-LA58912C12AA}, Smazání při restartu, [674], [535305],1.0.7661
RiskWare.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{4524A362-CF72-4CA0-8BE5-384611B8BE29}, Smazání při restartu, [674], [535305],1.0.7661
RiskWare.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\LOGON\{4524A362-CF72-4CA0-8BE5-384611B8BE29}, Smazání při restartu, [674], [535305],1.0.7661

Hodnota v registru: 3
Spyware.PasswordStealer, HKU\S-1-5-21-1248986085-3350451917-519491516-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|MICROSOFT ONEDRIVE, Smazání při restartu, [3490], [586868],1.0.7661
PUP.Optional.NewTab, HKU\S-1-5-21-1248986085-3350451917-519491516-1001\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|IMHLIANHLHDICJCHLBMBFAEFHHJENCBE, Smazání při restartu, [2235], [513814],1.0.7661
PUP.Optional.NewTab, HKU\S-1-5-21-1248986085-3350451917-519491516-1002\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|IMHLIANHLHDICJCHLBMBFAEFHHJENCBE, Smazání při restartu, [2235], [513814],1.0.7661

Data registrů: 0
(Nebyly zjištěny žádné škodlivé položky)

Datové proudy: 0
(Nebyly zjištěny žádné škodlivé položky)

Adresář: 0
(Nebyly zjištěny žádné škodlivé položky)

Soubor: 14
PUP.Optional.SpyHunter, C:\PROGRAMDATA\ENIGMASOFT LIMITED\SH5_INSTALLER.EXE, Smazání při restartu, [3917], [552679],1.0.7661
PUP.Optional.SpyHunter, C:\PROGRAM FILES\ENIGMASOFT\SPYHUNTER\SPYHUNTER5.EXE, Smazání při restartu, [3917], [552678],1.0.7661
PUP.Optional.NewTab, C:\USERS\KEDAR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Nahrazen, [2235], [513814],1.0.7661
Adware.Appearch, C:\USERS\KEDAR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\PREFERENCES, Nahrazen, [14489], [541059],1.0.7661
RiskWare.BitCoinMiner, C:\WINDOWS\SYSTEM32\TASKS\{A161224E-WSP1-9722-1GH5-LA58912C12AA}, Smazání při restartu, [674], [535305],1.0.7661
RiskWare.BitCoinMiner, C:\USERS\KEDAR\APPDATA\ROAMING\XPERIF~1\PRECOMP\PRECOMP.EXE, Smazání při restartu, [674], [535305],1.0.7661
RiskWare.BitCoinMiner, C:\USERS\KEDAR\APPDATA\ROAMING\XPERIFIRM\PRECOMP\PRECOMP.EXE, Smazání při restartu, [674], [535305],1.0.7661
PUP.Optional.SpyHunter, C:\PROGRAMDATA\ENIGMASOFT LIMITED\SH5_INSTALLER.EXE, Smazání při restartu, [3917], [552698],1.0.7661
Generic.Malware/Suspicious, C:\USERS\KEDAR\APPDATA\LOCAL\TEMP\797F.TMP\CR-PIRIFORM.EXE, Smazání při restartu, [0], [392686],1.0.7661
Generic.Malware/Suspicious, C:\USERS\KEDAR\APPDATA\LOCAL\TEMP\R2.EXE, Smazání při restartu, [0], [392686],1.0.7661
Trojan.MalPack.SMY.Generic, C:\USERS\KEDAR\APPDATA\LOCAL\TEMP\PP.EXE, Smazání při restartu, [10532], [590398],1.0.7661
Generic.Malware/Suspicious, C:\USERS\KEDAR\APPDATA\LOCAL\TEMP\SLNATIVE.EXE, Smazání při restartu, [0], [392686],1.0.7661
Trojan.MalPack.SMY.Generic, C:\USERS\KEDAR\APPDATA\LOCAL\TEMP\DISK.SYS, Smazání při restartu, [10532], [590398],1.0.7661
PUP.Optional.SpyHunter, C:\USERS\KEDAR\DOWNLOADS\SH-REMOVER.EXE, Smazání při restartu, [3917], [552698],1.0.7661

Fyzický sektor: 0
(Nebyly zjištěny žádné škodlivé položky)

WMI: 0
(Nebyly zjištěny žádné škodlivé položky)


(end)
OS: Windows 10 64 bit
MB: ASUS PRIME X570-P
Procesor: AMD Ryzen 7 3700X
Grafika: MSI GeForce RTX 3060 Ti Gaming Z TRIO
RAM: Kingston HyperX Fury 16 GB (2 x 8 GB) DDR4-3200 CL16
Zdroj: MSI MPG A750GF
SSD: Kingston SSD A2000 500 GB
HDD: Seagate IronWolf 4 TB
Monitor: Dell S2721D
Case: Fractal Design Define S

Reklama
Uživatelský avatar
KedarCZE
Level 3
Level 3
Příspěvky: 411
Registrován: říjen 14
Bydliště: Severní Morava
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod KedarCZE » 03 lis 2018 09:57

Jinak všechno co našel Malwarebytes jsem po restartu nechal smazat.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 9:56:03, on 03.11.2018
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.17763.0001)


Boot mode: Normal

Running processes:
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
C:\Program Files (x86)\NVIDIA Corporation\NvNode\NVIDIA Web Helper.exe
C:\Users\Kedar\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.8.0_181\bin\ssv.dll
O4 - HKCU\..\Run: [HP DeskJet 4530 series (NET)] "C:\Program Files\HP\HP DeskJet 4530 series\Bin\ScanToPCActivationApp.exe" -deviceID "TH76F4F0910661:NW" -scfn "HP DeskJet 4530 series (NET)" -AutoStart 1
O4 - HKUS\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (User 'NETWORK SERVICE')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Program Files\Microsoft Office 15\Root\Office15\EXCEL.EXE/3000
O8 - Extra context menu item: Se&nd to OneNote - res://C:\Program Files\Microsoft Office 15\Root\Office15\ONBttnIE.dll/105
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office 15\root\Office15\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office 15\root\Office15\ONBttnIE.dll
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office 15\root\Office15\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office 15\root\Office15\ONBttnIELinkedNotes.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office 15\root\Office15\MSOSB.DLL
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\DriverStore\FileRepository\nvami.inf_amd64_1474122a0ce2f241\nvinit.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: AdobeUpdateService - Unknown owner - C:\Program Files (x86)\Common Files\Adobe\Adobe Desktop Common\ElevationManager\AdobeUpdateService.exe (file missing)
O23 - Service: Adobe Genuine Monitor Service (AGMService) - Adobe Systems, Incorporated - C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGMService.exe
O23 - Service: Adobe Genuine Software Integrity Service (AGSService) - Adobe Systems, Incorporated - C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\WINDOWS\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\DiagSvcs\DiagnosticsHub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\WINDOWS\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Security\ekrn.exe
O23 - Service: ESET Firewall Helper (ekrnEpfw) - ESET - C:\Program Files\ESET\ESET Security\ekrn.exe
O23 - Service: Elan Service (ETDService) - ELAN Microelectronics Corp. - C:\Program Files\Elantech\ETDService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\WINDOWS\system32\fxssvc.exe (file missing)
O23 - Service: Google Chrome Elevation Service (GoogleChromeElevationService) - Google Inc. - C:\Program Files (x86)\Google\Chrome\Application\71.0.3578.30\elevation_service.exe
O23 - Service: Služba Aktualizace Google (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Služba Aktualizace Google (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: HitmanPro Scheduler (HitmanProScheduler) - SurfRight B.V. - C:\Program Files\HitmanPro\hmpsched.exe
O23 - Service: @oem1.inf,%SERVICE_NAME%;Intel Bluetooth Service (ibtsiva) - Unknown owner - C:\WINDOWS\system32\ibtsiva (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Malwarebytes Service (MBAMService) - Malwarebytes - C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\WINDOWS\System32\msdtc.exe (file missing)
O23 - Service: Wireless PAN DHCP Server (MyWiFiDHCPDNS) - Unknown owner - C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NVIDIA LocalSystem Container (NvContainerLocalSystem) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe
O23 - Service: NVIDIA NetworkService Container (NvContainerNetworkService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe
O23 - Service: NVIDIA Display Container LS (NVDisplay.ContainerLocalSystem) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe
O23 - Service: NVIDIA Telemetry Container (NvTelemetryContainer) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NvTelemetry\NvTelemetryContainer.exe
O23 - Service: Origin Client Service - Electronic Arts - D:\Hry\Origin\OriginClientService.exe
O23 - Service: Origin Web Helper Service - Electronic Arts - D:\Hry\Origin\OriginWebHelperService.exe
O23 - Service: @%systemroot%\system32\PerceptionSimulation\PerceptionSimulationService.exe,-101 (perceptionsimulation) - Unknown owner - C:\WINDOWS\system32\PerceptionSimulation\PerceptionSimulationService.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\WINDOWS\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\SecurityHealthAgent.dll,-1002 (SecurityHealthService) - Unknown owner - C:\WINDOWS\system32\SecurityHealthService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.exe,-101 (SensorDataService) - Unknown owner - C:\WINDOWS\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\System32\SgrmBroker.exe,-100 (SgrmBroker) - Unknown owner - C:\WINDOWS\system32\SgrmBroker.exe (file missing)
O23 - Service: @firewallapi.dll,-50323 (SNMPTRAP) - Unknown owner - C:\WINDOWS\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spectrum.exe,-101 (spectrum) - Unknown owner - C:\WINDOWS\system32\spectrum.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\WINDOWS\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\WINDOWS\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\TieringEngineService.exe,-702 (TieringEngineService) - Unknown owner - C:\WINDOWS\system32\TieringEngineService.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\WINDOWS\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\WINDOWS\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: Služba Xperia Companion (XperiaCompanionService) - Sony - C:\Program Files\Sony\Xperia Companion\Service\XperiaCompanionService.exe
O23 - Service: Intel(R) PROSet/Wireless Zero Configuration Service (ZeroConfigService) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe

--
End of file - 10670 bytes
OS: Windows 10 64 bit
MB: ASUS PRIME X570-P
Procesor: AMD Ryzen 7 3700X
Grafika: MSI GeForce RTX 3060 Ti Gaming Z TRIO
RAM: Kingston HyperX Fury 16 GB (2 x 8 GB) DDR4-3200 CL16
Zdroj: MSI MPG A750GF
SSD: Kingston SSD A2000 500 GB
HDD: Seagate IronWolf 4 TB
Monitor: Dell S2721D
Case: Fractal Design Define S

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod jaro3 » 05 lis 2018 18:07

SpyHunter -- o tom neuvažuj , taky ho mbam maže..

Free Decrypter Available for the Latest GandCrab Ransomware Versions
https://www.bleepingcomputer.com/news/s ... -versions/
zkus to decryptovat pomocí utility bitdegfendru. Je to na versions 1, 4 and 5 of the ransomware GandCrab.

Máš tedy všechny soubory zašifrovány?
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Uživatelský avatar
KedarCZE
Level 3
Level 3
Příspěvky: 411
Registrován: říjen 14
Bydliště: Severní Morava
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod KedarCZE » 05 lis 2018 18:20

KedarCZE píše:Zatím jsem nenašel žádný program který by uměl dešifrovat data GandCrabu u verze 5.0.4, bitdefender je zatím u v5.0.3 . (end)


Ano, všechny txt,zip,rar,jpg,mp3,.... . (Jen jeden přežil, protože zrovna hrál ve Winampu :D )
OS: Windows 10 64 bit
MB: ASUS PRIME X570-P
Procesor: AMD Ryzen 7 3700X
Grafika: MSI GeForce RTX 3060 Ti Gaming Z TRIO
RAM: Kingston HyperX Fury 16 GB (2 x 8 GB) DDR4-3200 CL16
Zdroj: MSI MPG A750GF
SSD: Kingston SSD A2000 500 GB
HDD: Seagate IronWolf 4 TB
Monitor: Dell S2721D
Case: Fractal Design Define S

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod jaro3 » 05 lis 2018 18:29

Zkus tu utilitu , jinak to možná bude marné. ukázalo se Ti něco o zaplacení výpalného?
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Uživatelský avatar
KedarCZE
Level 3
Level 3
Příspěvky: 411
Registrován: říjen 14
Bydliště: Severní Morava
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod KedarCZE » 05 lis 2018 18:46

Ta utilita se jmenuje BITDEFENDER GandCrab Decryptor. Neboli to co jsem již zkoušel jak již jsem psal.

KedarCZE píše:Zatím jsem nenašel žádný program který by uměl dešifrovat data GandCrabu u verze 5.0.4, BITDEFENDER je zatím u v5.0.3 . (end)


Jasně v každé složce TXT soubor (který Eset detekuje jako virus...?)
Tady ho máš.

---= GANDCRAB V5.0.4 =---

***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .BPHVNM

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.


The server with your key is in a closed network TOR. You can get there by the following ways:

----------------------------------------------------------------------------------------

| 0. Download Tor browser - https://www.torproject.org/

| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/3654cc13440d58e8
| 4. Follow the instructions on this page

----------------------------------------------------------------------------------------


On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.


ATTENTION!

IN ORDER TO PREVENT DATA DAMAGE:

* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW

---BEGIN GANDCRAB KEY---
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
---END GANDCRAB KEY---

---BEGIN PC DATA---
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
---END PC DATA---
OS: Windows 10 64 bit
MB: ASUS PRIME X570-P
Procesor: AMD Ryzen 7 3700X
Grafika: MSI GeForce RTX 3060 Ti Gaming Z TRIO
RAM: Kingston HyperX Fury 16 GB (2 x 8 GB) DDR4-3200 CL16
Zdroj: MSI MPG A750GF
SSD: Kingston SSD A2000 500 GB
HDD: Seagate IronWolf 4 TB
Monitor: Dell S2721D
Case: Fractal Design Define S

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod jaro3 » 05 lis 2018 20:06

já jsem to sem dával , protože psali že je to na verze 1,4 a 5 ..tak jsem myslel že to na v5.0.4 bude taky.
Zkusím někde ještě pohledat , Ty to zkus taky , ale nevypadá to dobře..

Můžeme všechny nákazy dát pryč , ale složky a soubory nedešifrujeme.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

svarog
nováček
Příspěvky: 2
Registrován: listopad 18
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod svarog » 05 lis 2018 20:46

dobrý večer take mám na pc Ransomware GandCrab v5.0.4. co s tím? nakazí to i co mám na flešce?

svarog
nováček
Příspěvky: 2
Registrován: listopad 18
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod svarog » 05 lis 2018 20:52

před dvěma roky jsem něl něco podobného a pomohl mi to vyřešit pan před vzdánemý přístup , ale jeho tel. číslo už nefunguje...

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod jaro3 » 05 lis 2018 22:30

No ono to jen tak nepůjde. Před 2 lety byla jiná situace , dnes je masterkey někde jinde.
nakazí Ti to vše co dáš do PC/notebooku , tedy flešky HDD , ext.HDD ( a zašifruje).
Musí se čekat , zda se objeví decryptor , ale je tam lhůta , pak už to ani nepůjde.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Uživatelský avatar
KedarCZE
Level 3
Level 3
Příspěvky: 411
Registrován: říjen 14
Bydliště: Severní Morava
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod KedarCZE » 06 lis 2018 18:10

O jaké lhůtě se bavíme ?
OS: Windows 10 64 bit
MB: ASUS PRIME X570-P
Procesor: AMD Ryzen 7 3700X
Grafika: MSI GeForce RTX 3060 Ti Gaming Z TRIO
RAM: Kingston HyperX Fury 16 GB (2 x 8 GB) DDR4-3200 CL16
Zdroj: MSI MPG A750GF
SSD: Kingston SSD A2000 500 GB
HDD: Seagate IronWolf 4 TB
Monitor: Dell S2721D
Case: Fractal Design Define S

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod jaro3 » 06 lis 2018 19:38

Nemáš tam napsáno do kdy máš zaplatit? Některé ransomware to tak mají.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra


Zpět na “HiJackThis”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 6 hostů