Ransomware GandCrab v5.0.4
Napsal: 03 lis 2018 09:54
Dobrý den, včera jsem bohužel narazil na GandCrab v5.0.4, projel jsem to Windows Defender, Malwarebytes, HitmanPro a mám teď nainstalovaný i Eset. Taky jsem četl něco o SpyHunter programu, ale ten potřebuje licenci. Zašifrovalo mi to všechny soubory a v koši mám 1 soubor který nemá název a je extrémně velký (i když je to nemožné protože mám jen 256GB SSD). A netuším co ten soubor v sobě má Původní data ? Ransomware? Jiný vir? . Zatím jsem nenašel žádný program který by uměl dešifrovat data GandCrabu u verze 5.0.4, bitdefender je zatím u v5.0.3 . Soubory jsou "předělané" na typ .bphvnm . Soubor hosts jsem obnovil do základního stavu.
Takže potřeboval bych teď analyzovat jestli pořád nemám nějakou část GandCrabu aktivní nebo nějaký jiný vir.
Přikládám log s prvním skenem Malwarebytes.
Malwarebytes
www.malwarebytes.com
-Podrobnosti logovacího souboru-
Datum skenování: 02.11.18
Čas skenování: 20:47
Logovací soubor: 2ebd2e1c-ded8-11e8-99e3-5404a6034d5e.json
-Informace o softwaru-
Verze: 3.6.1.2711
Verze komponentů: 1.0.482
Aktualizovat verzi balíku komponent: 1.0.7661
Licence: Zkušební
-Systémová informace-
OS: Windows 10 (Build 17763.55)
CPU: x64
Systém souborů: NTFS
Uživatel: KEDAR-PC\Kedar
-Shrnutí skenování-
Typ skenování: Skenování hrozeb (Threat Scan)
Spuštění skenování: Ruční
Výsledek: Dokončeno
Skenované objekty: 329709
Zjištěné hrozby: 22
Hrozby umístěné do karantény: 22
Uplynulý čas: 9 min, 41 sek
-Možnosti skenování-
Paměť: Povoleno
Start: Povoleno
Systém souborů: Povoleno
Archivy: Povoleno
Rootkity: Zakázáno
Heuristika: Povoleno
Potenciálně nežádoucí program: Detekovat
Potenciálně nežádoucí modifikace: Detekovat
-Podrobnosti skenování-
Proces: 0
(Nebyly zjištěny žádné škodlivé položky)
Modul: 0
(Nebyly zjištěny žádné škodlivé položky)
Klíč registru: 5
PUP.Optional.SpyHunter, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\SpyHunter5, Smazání při restartu, [3917], [552679],1.0.7661
PUP.Optional.NewTab, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\imhlianhlhdicjchlbmbfaefhhjencbe, Smazání při restartu, [2235], [513814],1.0.7661
RiskWare.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\{A161224E-WSP1-9722-1GH5-LA58912C12AA}, Smazání při restartu, [674], [535305],1.0.7661
RiskWare.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{4524A362-CF72-4CA0-8BE5-384611B8BE29}, Smazání při restartu, [674], [535305],1.0.7661
RiskWare.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\LOGON\{4524A362-CF72-4CA0-8BE5-384611B8BE29}, Smazání při restartu, [674], [535305],1.0.7661
Hodnota v registru: 3
Spyware.PasswordStealer, HKU\S-1-5-21-1248986085-3350451917-519491516-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|MICROSOFT ONEDRIVE, Smazání při restartu, [3490], [586868],1.0.7661
PUP.Optional.NewTab, HKU\S-1-5-21-1248986085-3350451917-519491516-1001\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|IMHLIANHLHDICJCHLBMBFAEFHHJENCBE, Smazání při restartu, [2235], [513814],1.0.7661
PUP.Optional.NewTab, HKU\S-1-5-21-1248986085-3350451917-519491516-1002\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|IMHLIANHLHDICJCHLBMBFAEFHHJENCBE, Smazání při restartu, [2235], [513814],1.0.7661
Data registrů: 0
(Nebyly zjištěny žádné škodlivé položky)
Datové proudy: 0
(Nebyly zjištěny žádné škodlivé položky)
Adresář: 0
(Nebyly zjištěny žádné škodlivé položky)
Soubor: 14
PUP.Optional.SpyHunter, C:\PROGRAMDATA\ENIGMASOFT LIMITED\SH5_INSTALLER.EXE, Smazání při restartu, [3917], [552679],1.0.7661
PUP.Optional.SpyHunter, C:\PROGRAM FILES\ENIGMASOFT\SPYHUNTER\SPYHUNTER5.EXE, Smazání při restartu, [3917], [552678],1.0.7661
PUP.Optional.NewTab, C:\USERS\KEDAR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Nahrazen, [2235], [513814],1.0.7661
Adware.Appearch, C:\USERS\KEDAR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\PREFERENCES, Nahrazen, [14489], [541059],1.0.7661
RiskWare.BitCoinMiner, C:\WINDOWS\SYSTEM32\TASKS\{A161224E-WSP1-9722-1GH5-LA58912C12AA}, Smazání při restartu, [674], [535305],1.0.7661
RiskWare.BitCoinMiner, C:\USERS\KEDAR\APPDATA\ROAMING\XPERIF~1\PRECOMP\PRECOMP.EXE, Smazání při restartu, [674], [535305],1.0.7661
RiskWare.BitCoinMiner, C:\USERS\KEDAR\APPDATA\ROAMING\XPERIFIRM\PRECOMP\PRECOMP.EXE, Smazání při restartu, [674], [535305],1.0.7661
PUP.Optional.SpyHunter, C:\PROGRAMDATA\ENIGMASOFT LIMITED\SH5_INSTALLER.EXE, Smazání při restartu, [3917], [552698],1.0.7661
Generic.Malware/Suspicious, C:\USERS\KEDAR\APPDATA\LOCAL\TEMP\797F.TMP\CR-PIRIFORM.EXE, Smazání při restartu, [0], [392686],1.0.7661
Generic.Malware/Suspicious, C:\USERS\KEDAR\APPDATA\LOCAL\TEMP\R2.EXE, Smazání při restartu, [0], [392686],1.0.7661
Trojan.MalPack.SMY.Generic, C:\USERS\KEDAR\APPDATA\LOCAL\TEMP\PP.EXE, Smazání při restartu, [10532], [590398],1.0.7661
Generic.Malware/Suspicious, C:\USERS\KEDAR\APPDATA\LOCAL\TEMP\SLNATIVE.EXE, Smazání při restartu, [0], [392686],1.0.7661
Trojan.MalPack.SMY.Generic, C:\USERS\KEDAR\APPDATA\LOCAL\TEMP\DISK.SYS, Smazání při restartu, [10532], [590398],1.0.7661
PUP.Optional.SpyHunter, C:\USERS\KEDAR\DOWNLOADS\SH-REMOVER.EXE, Smazání při restartu, [3917], [552698],1.0.7661
Fyzický sektor: 0
(Nebyly zjištěny žádné škodlivé položky)
WMI: 0
(Nebyly zjištěny žádné škodlivé položky)
(end)
Takže potřeboval bych teď analyzovat jestli pořád nemám nějakou část GandCrabu aktivní nebo nějaký jiný vir.
Přikládám log s prvním skenem Malwarebytes.
Malwarebytes
www.malwarebytes.com
-Podrobnosti logovacího souboru-
Datum skenování: 02.11.18
Čas skenování: 20:47
Logovací soubor: 2ebd2e1c-ded8-11e8-99e3-5404a6034d5e.json
-Informace o softwaru-
Verze: 3.6.1.2711
Verze komponentů: 1.0.482
Aktualizovat verzi balíku komponent: 1.0.7661
Licence: Zkušební
-Systémová informace-
OS: Windows 10 (Build 17763.55)
CPU: x64
Systém souborů: NTFS
Uživatel: KEDAR-PC\Kedar
-Shrnutí skenování-
Typ skenování: Skenování hrozeb (Threat Scan)
Spuštění skenování: Ruční
Výsledek: Dokončeno
Skenované objekty: 329709
Zjištěné hrozby: 22
Hrozby umístěné do karantény: 22
Uplynulý čas: 9 min, 41 sek
-Možnosti skenování-
Paměť: Povoleno
Start: Povoleno
Systém souborů: Povoleno
Archivy: Povoleno
Rootkity: Zakázáno
Heuristika: Povoleno
Potenciálně nežádoucí program: Detekovat
Potenciálně nežádoucí modifikace: Detekovat
-Podrobnosti skenování-
Proces: 0
(Nebyly zjištěny žádné škodlivé položky)
Modul: 0
(Nebyly zjištěny žádné škodlivé položky)
Klíč registru: 5
PUP.Optional.SpyHunter, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\SpyHunter5, Smazání při restartu, [3917], [552679],1.0.7661
PUP.Optional.NewTab, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\imhlianhlhdicjchlbmbfaefhhjencbe, Smazání při restartu, [2235], [513814],1.0.7661
RiskWare.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\{A161224E-WSP1-9722-1GH5-LA58912C12AA}, Smazání při restartu, [674], [535305],1.0.7661
RiskWare.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{4524A362-CF72-4CA0-8BE5-384611B8BE29}, Smazání při restartu, [674], [535305],1.0.7661
RiskWare.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\LOGON\{4524A362-CF72-4CA0-8BE5-384611B8BE29}, Smazání při restartu, [674], [535305],1.0.7661
Hodnota v registru: 3
Spyware.PasswordStealer, HKU\S-1-5-21-1248986085-3350451917-519491516-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|MICROSOFT ONEDRIVE, Smazání při restartu, [3490], [586868],1.0.7661
PUP.Optional.NewTab, HKU\S-1-5-21-1248986085-3350451917-519491516-1001\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|IMHLIANHLHDICJCHLBMBFAEFHHJENCBE, Smazání při restartu, [2235], [513814],1.0.7661
PUP.Optional.NewTab, HKU\S-1-5-21-1248986085-3350451917-519491516-1002\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|IMHLIANHLHDICJCHLBMBFAEFHHJENCBE, Smazání při restartu, [2235], [513814],1.0.7661
Data registrů: 0
(Nebyly zjištěny žádné škodlivé položky)
Datové proudy: 0
(Nebyly zjištěny žádné škodlivé položky)
Adresář: 0
(Nebyly zjištěny žádné škodlivé položky)
Soubor: 14
PUP.Optional.SpyHunter, C:\PROGRAMDATA\ENIGMASOFT LIMITED\SH5_INSTALLER.EXE, Smazání při restartu, [3917], [552679],1.0.7661
PUP.Optional.SpyHunter, C:\PROGRAM FILES\ENIGMASOFT\SPYHUNTER\SPYHUNTER5.EXE, Smazání při restartu, [3917], [552678],1.0.7661
PUP.Optional.NewTab, C:\USERS\KEDAR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Nahrazen, [2235], [513814],1.0.7661
Adware.Appearch, C:\USERS\KEDAR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\PREFERENCES, Nahrazen, [14489], [541059],1.0.7661
RiskWare.BitCoinMiner, C:\WINDOWS\SYSTEM32\TASKS\{A161224E-WSP1-9722-1GH5-LA58912C12AA}, Smazání při restartu, [674], [535305],1.0.7661
RiskWare.BitCoinMiner, C:\USERS\KEDAR\APPDATA\ROAMING\XPERIF~1\PRECOMP\PRECOMP.EXE, Smazání při restartu, [674], [535305],1.0.7661
RiskWare.BitCoinMiner, C:\USERS\KEDAR\APPDATA\ROAMING\XPERIFIRM\PRECOMP\PRECOMP.EXE, Smazání při restartu, [674], [535305],1.0.7661
PUP.Optional.SpyHunter, C:\PROGRAMDATA\ENIGMASOFT LIMITED\SH5_INSTALLER.EXE, Smazání při restartu, [3917], [552698],1.0.7661
Generic.Malware/Suspicious, C:\USERS\KEDAR\APPDATA\LOCAL\TEMP\797F.TMP\CR-PIRIFORM.EXE, Smazání při restartu, [0], [392686],1.0.7661
Generic.Malware/Suspicious, C:\USERS\KEDAR\APPDATA\LOCAL\TEMP\R2.EXE, Smazání při restartu, [0], [392686],1.0.7661
Trojan.MalPack.SMY.Generic, C:\USERS\KEDAR\APPDATA\LOCAL\TEMP\PP.EXE, Smazání při restartu, [10532], [590398],1.0.7661
Generic.Malware/Suspicious, C:\USERS\KEDAR\APPDATA\LOCAL\TEMP\SLNATIVE.EXE, Smazání při restartu, [0], [392686],1.0.7661
Trojan.MalPack.SMY.Generic, C:\USERS\KEDAR\APPDATA\LOCAL\TEMP\DISK.SYS, Smazání při restartu, [10532], [590398],1.0.7661
PUP.Optional.SpyHunter, C:\USERS\KEDAR\DOWNLOADS\SH-REMOVER.EXE, Smazání při restartu, [3917], [552698],1.0.7661
Fyzický sektor: 0
(Nebyly zjištěny žádné škodlivé položky)
WMI: 0
(Nebyly zjištěny žádné škodlivé položky)
(end)