For et par uger, var en af mine naboer uheldig og blev ramt af Ransomware af typen Locky.
Skaden var ikke særlig stor, da Microsoft AV efter korttid fangede viraen, og denne havde storset kun fået krypteret nogle "HP printer hjælpe filer + lenove hjælpe filer".
De enkelte filer som kunne havde haft værdi kunne jeg hente tilbage via shadowExplorere som er en værktøj som gør det muligt at kigge på de "shadow copies" som windows laver med tidrum.
Selve infektionen var et word dokument, med en macro der var tilsendt vi EMAIL, som en falsk faktura
At det var en macro virus betød heldigvis også at vira'en kom til at køre som den på logget bruger og derfor ikke kunne komme forbi UAC og få "slettet" shadow copies, som ellers er set før.
Outlook PST file blev ikke "ødelagt" da denne var åben og derved ikke kunne blive krypteret.
Blot for en sikkerhed skyld kørte jeg maskinen igennem med en Trendmicro House Call scanning, samt kørte sfc /scannow + autoruns med virustotal check.
HP printer softwaren og lenovo software, hvis hjælpe filer var blevet krypteret, blev afinstaller og installeret på ny.
nemmeste måde at finde filerne på var at lave en søgning efter *.locky og af den vej finde de steder som vira'en havde nået at drille.
"Naboens" bærbar var forbi huset den anden dag.
årsag....
Ejeren havde allerede fjernet noget af adware, udover hvad Windows defender havde klaret, spørgsmålet var, er der mere "snavs" og kan det fjernes/sikres at det ikke sker igen.
Step 1 var meget simpelt, jeg skulle have sysinternals værktøjerne på maskinen, præcis autoruns.exe samt procexp.exe i først omgang, den snuppede jeg på http://live.sysinternals.com/
Step 2 start de 2 applikationer og slå "virustotal.com" featuren til.
Herefter afslørede autoruns.exe hurtig følgende:
og process explorere, var der hurtig en rundll32.exe som så mistænkeligt ud.
Herudover var der nogle simple browser add-on's som hurtig og nemt kunne fjernes.
de 2 services fra autoruns, blev stoppet og filerne herunder kunne slettes og registry gøres rent.
Runddll32.exe process døde også og jeg kunne slette c:\programfiles (x64)\Tampafunc\Tampafunc.dll
Efter en genstart, gentog jeg processen med at starte process explorere og autoruns for at se om der var mere eller sleeper kode som var blevet aktiveret.
Umilbart var det ikke.
Herefter, skulle maskine patchs op, Windows updates blev installeret af 2 omgang, dvs. der manglede patches siden december 2014
Ejeren havde installeret Secunia PSI tilbage i Januar, men da denne først var komme på maskinen efter at adware var kommet på havde heller ikke kunne opdateret 3 parts software.
Secunia PSI kunne også afsløre at den flere gang havde opdateret Adobe shockware player, men der efterfølgende så var blevet nedgraderet igen.
Hvilket kunne tyde på at adware aktiv bruge et hul i den gamle Adobe shockware player 12.0.4.144
Efter Windows update og secunia psi begge var blevet glade / grønne, kørte jeg blot for en sikkerhed skyld et par gange sfc /scannow på maskinen, og der var tydeligvis ting som var rundet rundt med i maven af Windows, sfc /scannow fixede noget af den men ikke det hele....
For at det ikke skulle ske igen, blev følgende udført.
Adobe shockware player blev afinstalleret.
Emet 5.1 blev installeret.
java jre blev afinstalleret ( de fleste offentlige ting kan nu tilgåes via JavaScript, så java jre er ikke nødvendig for mangle alm. borger. :-)
Hele sysinternals suiten blev hentet nede på computeren og sysmon servicen blev installeret, så er der en mulighed for at finde de sidste skadelige bits, hvis jeg har overset nogle og adware skulle ske at genopstå på maskinen.
OBS. hvis secunia psi ser udtil at hænge når den skal scanne for filer, så se om "pisa" servicen er gået død, nogle gange skal denne lige genstartes før at alle filer bliver scannet og secunia evner at opdaterete 3 parts software.