Infecção pelo Ransomware STOP (Djvu)

[Duda Sgluber]

Bom dia!

Antes de mais nada, tenho a obrigação e a honestidade de dizer que estou criando este tópico para ajudar um amigo. Embora esta situação não esteja prevista no "Manual de uso do setor Remoção de malware", achei que não seria ofensivo, abusivo ou transgressor postar e pedir ajuda em nome dele.

 

Pelo título, vocês já devem imaginar o tamanho da encrenca. Como eu tenho uma longa caminhada e alguma experiência na área, já fiz várias pesquisas e procedimentos a respeito do ransomware STOP (Djvu), mas gostaria da opinião e da orientação de quem é mestre na área de segurança pra saber o que faltou fazer e o que ainda pode ser feito. No momento, estou utilizando programas de recuperação de dados para tentar restaurar o que for possível.

 

Desde já, agradeço imensamente por qualquer mensagem.

Addition.txt FRST.txt AdwCleaner[C00].txt AdwCleaner[S00].txt

[Lusitano]

6 horas atrás, Duda Sgluber disse:

Como eu tenho uma longa caminhada e alguma experiência na área, já fiz várias pesquisas e procedimentos a respeito do ransomware STOP (Djvu), mas gostaria da opinião e da orientação de quem é mestre na área de segurança pra saber o que faltou fazer e o que ainda pode ser feito. No momento, estou utilizando programas de recuperação de dados para tentar restaurar o que for possível.

Quanto ao Djvu, depende muito de qual a variante, sendo que o mais provável é se tratar de uma recente e para essas não há forma de desencriptar sem a respetiva chave. Em alguns arquivos de imagem e vídeo há algum sucesso na recuperação, isso você pode tentar.

Caso exista backup dos arquivos, após a remoção do malware, eles podem ser restaurados.

 

ATENÇÃO: Neste tipo de infeção, é importante que dê seguimento rápido a este tópico e que não instale/desinstale nada, a menos que eu lhe tenha solicitado!

 

Citação

==================== Central de Segurança ========================

(Se uma entrada for incluída na fixlist, será removida.)

AV: Norton 360 (Enabled - Up to date) {1122B19A-E671-38EC-8EAC-87048FD4528D}
AV: Norton Security (Enabled - Up to date) {A2708B76-6835-6565-CB96-694212954A75}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: Norton 360 (Disabled - Out of date) {AECE2126-F4E7-6909-11F2-1B69D1FBCBD0}
AV: Avast Antivirus (Disabled - Up to date) {EB19B86E-3998-C706-90EF-92B41EB091AF}
AV: Norton 360 (Enabled - Up to date) {9E3FD331-C4C2-7AC4-0537-131EEF1B1F8A}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: Norton Security (Enabled) {9A4B0A53-225A-643D-E0C9-C077EC460D0E}
FW: Norton 360 (Enabled) {A6045214-8EAD-7B9C-2E68-BA2B11C858F1}
FW: Avast Antivirus (Disabled) {D322394B-73F7-C65E-BBB0-3B81E063D6D4}
FW: Norton 360 (Enabled) {291930BF-AC1E-39B4-A5F3-2E31710715F6}

Demasiado, desnecessário e não recomendável ter todos esses programas. Mantenha apenas um e desinstale os restantes. A escolha é sua, por mim bastaria você manter o Windows Defender.

Pressione as teclas win + R e digite appwiz.cpl

Desinstale os programas (listados acima) que você optou por não manter.

 

 

Citação

Executando a partir de C:\temp
 

IMPORTANTE: Coloque a ferramenta FRST no seu desktop (área de trabalho) antes de a executar!!!

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restrição <==== ATENÇÃO
HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Update: Restrição <==== ATENÇÃO
HKU\S-1-5-21-2400331221-4059026756-1448463897-1001\...\Policies\Explorer: [] 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restrição <==== ATENÇÃO
Task: {362938CE-6DC7-4F58-A33A-1DFB9B249C89} - System32\Tasks\Oem\AcerJumpstartTask => C:\Program Files (x86)\Acer\Acer Jumpstart\hermes.exe /default (Nenhum Arquivo)
Task: {57FFB57F-C75A-404F-A96A-729794E6F261} - System32\Tasks\Rerun Warsaw's CoreFixer => C:\WINDOWS\TEMP\is-ECLB3.tmp\corefixer.exe /norerun (Nenhum Arquivo) <==== ATENÇÃO
Task: {8D56143F-9B83-4877-AC4A-28E895A5D94E} - System32\Tasks\ACC => C:\Program Files (x86)\Acer\Care Center\LiveUpdateChecker.exe -auto (Nenhum Arquivo)
Task: {C0D318DA-239E-4261-B6C0-51EC98126EFB} - System32\Tasks\BacKGroundAgent => C:\Program Files (x86)\Acer\AOP Framework\BackgroundAgent.exe task (Nenhum Arquivo)
Task: {CFAC506B-1477-4ED3-AF4F-B53CB807AD77} - System32\Tasks\User Boot Experience Task => C:\OEM\Preload\FUBService\FUBService.exe (Nenhum Arquivo)
S3 QALSvc; "C:\Program Files\Acer\Acer Quick Access\QALSvc.exe" [X]
S3 QASvc; "C:\Program Files\Acer\Acer Quick Access\QASvc.exe" [X]
S3 UEIPSvc; "C:\Program Files\Acer\User Experience Improvement Program\Framework\UBTService.exe" [X]
S3 EuGdiDrv; \SystemRoot\system32\EuGdiDrv.sys [X]
Folder: C:\EES32
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Nenhum Arquivo
FirewallRules: [{532EBC1D-B1C8-4CB8-87E1-021C1D9ABD58}] => (Allow) C:\Lexmark\Lexmark_Travel_Print\install\x64\installgui.exe => Nenhum Arquivo
FirewallRules: [{1BA30255-6CA8-4A36-8AEF-69F90181BC9C}] => (Allow) C:\Lexmark\Lexmark_Travel_Print\install\x64\installgui.exe => Nenhum Arquivo
FirewallRules: [{99C87660-1499-4AC6-A208-2CFA2018A426}] => (Allow) C:\Lexmark\Lexmark_Travel_Print\install\x64\installgui.exe => Nenhum Arquivo
FirewallRules: [{29615BBE-3576-4E45-9CEE-2E5EEED82472}] => (Allow) C:\Lexmark\Lexmark_Travel_Print\install\x64\installgui.exe => Nenhum Arquivo
FirewallRules: [{6E6CF011-C74F-451D-9D6D-588013D22EBC}] => (Allow) C:\Program Files (x86)\Acer\AOP Framework\acer\ccd.exe => Nenhum Arquivo
FirewallRules: [{DE67E19E-A7FB-4CE3-BD44-3FE31E1D8F4E}] => (Allow) C:\Program Files (x86)\Acer\AOP Framework\acer\ccd.exe => Nenhum Arquivo
FirewallRules: [{A84AE955-43BB-40DB-A7F7-E688A7DACDD7}] => (Allow) D:\Common\EpsonNet Setup\ENEasyApp.exe => Nenhum Arquivo
FirewallRules: [{C9E88BC8-B0EF-4009-BCAB-046B82F131EB}] => (Allow) D:\Common\EpsonNet Setup\ENEasyApp.exe => Nenhum Arquivo
FirewallRules: [{A3D9F6BF-91E9-4214-BC13-B40A08B0186D}] => (Allow) C:\Lexmark\Lexmark_LPSU\LPSU\Install\x64\InstallGui.exe => Nenhum Arquivo
FirewallRules: [{0F030435-9FF6-4E01-9BEF-0C83E2893268}] => (Allow) C:\Lexmark\Lexmark_LPSU\LPSU\Install\x64\InstallGui.exe => Nenhum Arquivo
FirewallRules: [{3AE9EE0B-9AEB-4ABD-B6B3-5AEF1A18295D}] => (Allow) C:\Lexmark\Lexmark_Travel_Print\install\x64\installgui.exe => Nenhum Arquivo
FirewallRules: [{BA859CC2-8A68-4F2D-B5A6-531413ED36AF}] => (Allow) C:\Lexmark\Lexmark_Travel_Print\install\x64\installgui.exe => Nenhum Arquivo
CMD: WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="nsi" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="vss" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="bfe" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
CMD: WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="rasman" set startmode="manual"
CMD: WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
CMD: net start sdrsvc
CMD: net start vss
CMD: net start rpcss
CMD: net start eventsystem
CMD: net start winmgmt
CMD: net start msiserver
CMD: net start bfe
CMD: net start trustedinstaller
CMD: WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
CMD: WMIC SERVICE WHERE Name="windefend" CALL startservice
CMD: WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "automatic"
CMD: WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
CMD: net start windefend
CMD: net start mpssvc
CMD: net start mpsdrv
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: ipconfig /registerdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow
CMD: DISM /Online /Cleanup-Image /RestoreHealth
Hosts:
RemoveProxy:
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
C:\ProgramData\Temp\*
C:\Program Files (x86)\Temp\*
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\*
C:\Windows\ServiceProfiles\LocalService\AppData\LocalLow\Temp\*
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\*
C:\Users\AllUserName\AppData\LocalLow\Temp\*
C:\Users\AllUserName\Appdata\Local\Temp\*
EmptyTemp:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

 

 

[Duda Sgluber]

12 horas atrás, Lusitano disse:

Quanto ao Djvu, depende muito de qual a variante, sendo que o mais provável é se tratar de uma recente e para essas não há forma de desencriptar sem a respetiva chave. Em alguns arquivos de imagem e vídeo há algum sucesso na recuperação, isso você pode tentar.

Caso exista backup dos arquivos, após a remoção do malware, eles podem ser restaurados.

 

Sim, é uma variante recente e você confirma o que eu temia, infelizmente: não há recuperação sem a respectiva chave.
De fato, tomando o cuidado de parar imediatamente a utilização do disco infectado e fazendo acesso a ele por meio de outra máquina, é possível recuperar alguma coisa. O problema é que recuperação de dados é um processo demorado, minucioso e frustrante.
Backup não existia, lamentavelmente.

 

12 horas atrás, Lusitano disse:

Demasiado, desnecessário e não recomendável ter todos esses programas. Mantenha apenas um e desinstale os restantes. A escolha é sua, por mim bastaria você manter o Windows Defender.

Pressione as teclas win + R e digite appwiz.cpl

Desinstale os programas (listados acima) que você optou por não manter.

 

Concordo!
Tanto que, tempos atrás, recomendei que ele desinstalasse a "suite" Norton, o que foi feito.

Só o Avast permanece instalado, acredito que o Farbar identificou apenas chaves órfãs no registro do Windows, não?

 

12 horas atrás, Lusitano disse:

Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta e por gentileza me informe se tem notado mais esse sintoma relatado anteriormente.

 

Arquivo anexado.
Eu nem esperava tanto quando postei esta mensagem: queria especialmente uma opinião a respeito da criptografia promovida pelo STOP (Djvu), o que já consegui. A máquina já estava "limpa" e funcional e acredito que com sua ajuda ficou ainda melhor, @Lusitano: muito obrigado!
 

Além de agradecer, quero deixar uma modesta sugestão final para todos os que estiverem na luta contra essas pragas virtuais, especialmente quando houver corrupção de dados pessoais: pesquisem sobre o Serviço de Cópias de Sombra de Volume (Volume Shadow Copy ) do Windows e usem/deem uma olhada no excelente e gratuito programa ShadowCopyView, do programador Nir Sofer (site NirSoft).

 

Nesta batalha em que estou, fez toda a diferença.

Fixlog.txt

[Lusitano]

9 horas atrás, Duda Sgluber disse:

Sim, é uma variante recente e você confirma o que eu temia, infelizmente: não há recuperação sem a respectiva chave

Confirmo que é uma nova variante (.oflg) e ainda existem arquivos encriptados no sistema, dentro da pasta referenciada abaixo e que pode ser deletada ou guardá-la e no futuro caso venha a existir uma solução, esses arquivos poderão então ser recuperados:

Citação

C:\EES32

 

9 horas atrás, Duda Sgluber disse:

Só o Avast permanece instalado, acredito que o Farbar identificou apenas chaves órfãs no registro do Windows, não?

Basicamente, sim é isso. Na desinstalação dos AV's é sempre preferível utilizar as respetiva ferramentas de cada um dos fabricantes. Eu consigo através do FRST remover as entradas órfãs que ainda existem.

 

9 horas atrás, Duda Sgluber disse:

recomendei que ele desinstalasse a "suite" Norton, o que foi feito

Ainda restou no sistema:

Citação

C:\ProgramData\Norton

 

 

9 horas atrás, Duda Sgluber disse:

A máquina já estava "limpa" e funcional e acredito que com sua ajuda ficou ainda melhor

Ainda existem vestígios, mas como é habitual em boa parte dos ransomwares, o objetivo fica cumprido com a encriptação e pedido de resgate, não sendo o objetivo outro que não esse de conseguir o dinheiro de resgate.

Ainda existe a pasta acima referida que contém arquivos que foram encriptados. Mas, os mesmos não são malware.

Outra coisa que não consegui resolver com o script anterior foi as atualizações do Windows, ainda existem restrições:

Citação

HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Update

 Já que você tem conhecimentos, altere o valor nessa chave. Caso tenha dificuldade é só questionar.

 

10 horas atrás, Duda Sgluber disse:

sugestão final para todos os que estiverem na luta contra essas pragas virtuais, especialmente quando houver corrupção de dados pessoais: pesquisem sobre o Serviço de Cópias de Sombra de Volume

A sugestão sendo válida não é infalível. Existem ransomware (por exemplo o magniber) que apagam o VSS. 

 

[Duda Sgluber]

Em 24/10/2022 às 07:36, Lusitano disse:

Confirmo que é uma nova variante (.oflg) e ainda existem arquivos encriptados no sistema, dentro da pasta referenciada abaixo e que pode ser deletada ou guardá-la e no futuro caso venha a existir uma solução, esses arquivos poderão então ser recuperados:

 

 

Em 24/10/2022 às 07:36, Lusitano disse:

Basicamente, sim é isso. Na desinstalação dos AV's é sempre preferível utilizar as respetiva ferramentas de cada um dos fabricantes. ...

 

Isso foi feito, mas como acontece em muitos casos, infelizmente, os desinstaladores "oficiais" deixam rastros.

 

Em 24/10/2022 às 07:36, Lusitano disse:

Ainda existem vestígios, mas como é habitual em boa parte dos ransomwares, o objetivo fica cumprido com a encriptação e pedido de resgate, não sendo o objetivo outro que não esse de conseguir o dinheiro de resgate.

Ainda existe a pasta acima referida que contém arquivos que foram encriptados. Mas, os mesmos não são malware.

Outra coisa que não consegui resolver com o script anterior foi as atualizações do Windows, ainda existem restrições:

Em 24/10/2022 às 07:36, Lusitano disse:

Já que você tem conhecimentos, altere o valor nessa chave. Caso tenha dificuldade é só questionar.

 

Perfeito, @Lusitano... valeu!

 

Em 24/10/2022 às 07:36, Lusitano disse:

A sugestão sendo válida não é infalível. Existem ransomware (por exemplo o magniber) que apagam o VSS. 

 

"Infalível" é uma palavra muito abrangente... principalmente em computação.

Sendo uma informação útil, acredito que já seja valiosa. Como neste caso e para mim fez toda a diferença, pode ajudar alguém que estiver lendo estas mensagens, no futuro.
Quando estamos em meio à total escuridão, qualquer sinal de luz é uma esperança.

[Lusitano]

2 horas atrás, Duda Sgluber disse:

Sendo uma informação útil, acredito que já seja valiosa. Como neste caso e para mim fez toda a diferença, pode ajudar alguém que estiver lendo estas mensagens, no futuro.

Sem dúvida, é de fato uma informação útil e bem vinda.

 

 

Vamos finalizar, removendo algumas das coisas que utilizámos durante o processo e as quais você não irá necessitar no uso regular do PC e garantir que esse pc fica com um ponto de restauração que pode ser muito útil caso venha a ter algum problema.

 

• Faça o download de KpRm e salve no seu desktop.
• Clique direito em kprm_(versão).exe e selecione executar como Administrador.
• Leia e aceite o Aviso Legal.
• Quando a ferramenta abrir, assegure-se que todas as caixas por baixo de "Actions" estão marcadas.
• Debaixo de "Quarantines", escolha "Delete Now" e clique em "Run".
• Quando completar, clique em OK
• Um documento será aberto no seu Bloco de Notas (arquivo: kprm-(data).txt). Verifique se foi criado um novo ponto de restauro.

 

Mantenha seus programas atualizados, faça uma utilização responsável do seu computador e faça backups regulares salvando-os em diferentes locais. Caso venha a necessitar no futuro, cá estaremos para tentar ajudar.

 

Abraço

 

[Duda Sgluber]

Mais uma vez, muito obrigado, @Lusitano!

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.