spora Вирус Spora ransomware

24 января, 2017

Здравствуйте! Вчера поймала вирус. Он зашифровал файлы и требует деньги для их расшифровки.

Как можно дешифровать эти файлы? Очень важные документы. Файл с логами прикреплен. Все сделала согласно правилам оформления запроса.

CollectionLog-2017.01.24-12.22.zip

24 января, 2017

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUC61-5BKRF-OTXKZ-RTZTX-ZGRTO-OZATX-EGRYY.HTML', '');
 QuarantineFile('C:\Users\User\appdata\local\temp\new-super-ext.exe', '');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUC61-5BKRF-OTXKZ-RTZTX-ZGRTO-OZATX-EGRYY.HTML', '32');
 DeleteFile('C:\Users\User\appdata\local\temp\new-super-ext.exe', '32');
ExecuteSysClean;
 ExecuteRepair(3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

27 января, 2017

Все выполнила.

Ответ по электронной почте:

"Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
quarantine.zip

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ"

ClearLNK-27.01.2017_11-04.log

CollectionLog-2017.01.27-11.25.zip

27 января, 2017

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

28 января, 2017

Выполнила

Addition.txt

FRST.txt

Shortcut.txt

28 января, 2017

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/search?fr=ntg&q=
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-01-19]
CHR StartupUrls: Default -> "hxxp://www.mail.ru/cnt/8731"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms}
CHR DefaultSearchKeyword: Default -> mail.ru
CHR Extension: (Домашняя страница – Mail.Ru) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\pldbienodkpgkccocelidinmciedjdok [2014-09-15]
Task: {DF01520B-8C1A-47FB-A9F8-F5B3270C3E94} - System32\Tasks\MailRuUpdater => C:\Users\User\AppData\Local\Mail.Ru\MailRuUpdater.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

29 января, 2017

Выполнила

Fixlog.txt

30 января, 2017

Адварь и следы вымогателя очищены. С расшифровкой помочь не сможем.

30 января, 2017

Спасибо за помощь!

spora Вирус Spora ransomware

Рекомендуемые сообщения

TanyaSm

Sandor

TanyaSm

Sandor

TanyaSm

Sandor

TanyaSm

Sandor

TanyaSm

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum