Шифровальщик Spore Ransomware

[Helen_86 0]

Добрый день! На почту поступило письмо от неизвестного с зип-архивным файлом, после его открытия произошло заражение компьютера вирусом, т.е. все документы офиса и рисунки были зашифрованы. при открытии браузера появилась страница с требованиями заплатить деньги за расшифровку

 

FRST.txt

 

Прикрепляю файлы которые были зашифрованы, а также логи программ проверки предложенных на сайте

 

 

 

Addition.txt

report1.log

report2.log

Акт на инвентаризацию 2015.docx

График дежурства в общежитии.docx

Изменено 16 января, 2017 пользователем Helen_86

[SQ 831]

Порядок оформления запроса о помощи

[Helen_86 0]

Ну мы уже это все провели, все проверки согласно вашему порядку. Что-то не так?

[SQ 831]

Необходим лог вида CollectionLog-yyyy.mm.dd-hh.mm.zip, где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2014.07.14-21.04.zip
Для того чтобы убедиться, что нет активной угрозы.

[Helen_86 0]

Есть

CollectionLog-2017.01.16-10.51.zip

[SQ 831]

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  Zip: C:\Users\МарчукЕН\AppData\Local\Temp\15aaeeb0-ed08-9291-9fcc-7f07fc80ff5e.exe;C:\Users\МарчукЕН\AppData\Local\Temp\goodtdeaasdgb54.exe;C:\Users\МарчукЕН\AppData\Roaming\442942118
  File: C:\Users\МарчукЕН\Downloads\LI_97c416c1f6939102bff7be0f2deab6f4.exe
  2017-01-13 09:06 - 2017-01-13 10:08 - 01982600 _____ C:\Users\МарчукЕН\AppData\Roaming\442942118
  C:\Users\Администратор\AppData\Local\Temp\15aaeeb0-ed08-9291-9fcc-7f07fc80ff5e.exe
  C:\Users\Администратор\AppData\Local\Temp\ReimagePackage.exe
  C:\Users\МарчукЕВ1\AppData\Local\Temp\magentsetup.exe
  C:\Users\МарчукЕН\AppData\Local\Temp\15aaeeb0-ed08-9291-9fcc-7f07fc80ff5e.exe
  C:\Users\МарчукЕН\AppData\Local\Temp\goodtdeaasdgb54.exe
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

<дата>_<время>.zip (где <дата> - текущая дата, <время> - текущее время ) с рабочего стола отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

[Helen_86 0]

Вот файл fixlog.txt

Fixlog.txt

[SQ 831]

Отправляли архив на проверку?

 

<дата>_<время>.zip (где <дата> - текущая дата, <время> - текущее время  с рабочего стола отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

[Helen_86 0]

Да, отправили.

________________________________________________________________________________________

Запрос KLAN-5660705746 в сообщении:

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Мы не смогли распаковать эти архивы:
16_01_2017_13_36.zip

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

________________________________________________

 

Мы не смогли отправить просто заархивированный файл, пришлось его запаролить и только тогда письмо дошло до адресата. Пароль архива указали в письме.

[SQ 831]

Видимо архив пустой.

Пробуйте создать запрос если есть лицензия на продукты ЛК https://forum.kasperskyclub.ru/index.php?showtopic=48525

 

[Helen_86 0]

Нет, архив не пустой 82КБ, архив просто запаролен, автоматическая система поэтому и не смогла его вскрыть. А если отправлять без пароля, то письмо автоматически откланяется их системой и не доставляется адресату. Запрос в тех. поддержку создали, зашифрованные файлы отправили.

[Helen_86 0]

Ответ на запрос о помощи из службы технической поддержки:

 

Уважаемый, Клиент!

Анализ предоставленных Вами файлов показал, что файлы были зашифрованы модификацией Trojan-Ransom.Win32.Spora.
Данная модификация трояна использует криптографически стойкие алгоритмы.

К сожалению, расшифровка на данный момент не возможна.

Мы сохраняем информацию о запросах, в которых не удалось расшифровать данные (номер инцидента, образцы зашифрованных файлов, дополнительные данные). Если расшифровка станет возможна, мы переоткроем обращение и пришлём Вам утилиту-декриптор.

Можем ли мы закрыть запрос, до момента создания утилиты?

Большое спасибо

[SQ 831]

Можем ли мы закрыть запрос, до момента создания утилиты?

 

Большое спасибо

можете, а так Вам решать

[Sandor 1 252]

@Пользователь4, у Вас нет прав писать в чужой теме, сообщение удалил.