Шифровальщик Spore Ransomware

[Lighton]

Добрый день!

Был скачен архив с приложением, после чего зашифровались все файлы с расширениями MS Office, .pdf

Чистил с помощью CureIT, KVRT. Было найдено и удалено несколько вирусов.

 

Просьба помочь в дешифровании. При запуске системы открывается окно IE с сообщением о том что все документы зашифрованы Spore ransomware.

 

Спасибо!

info.txt

log.txt

CollectionLog-2017.01.23-11.02.zip

Изменено 23 января, 2017 пользователем Lighton

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Lighton]

Надеюсь написал все правильно.

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\koryakin.LANIT\AppData\Roaming\JijlWit\Dhoryfto.exe','');
 QuarantineFile('C:\ProgramData\iWMiniProi\WMiniPro.exe','');
 QuarantineFile('C:\Program Files (x86)\006C9852-1428257948-E211-8034-B02D83049646\knso4AE9.tmp', '');
 QuarantineFile('C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.HTML', '');
 DeleteFile('C:\ProgramData\iWMiniProi\WMiniPro.exe','32');
 DeleteFile('C:\Users\koryakin.LANIT\AppData\Roaming\JijlWit\Dhoryfto.exe','32');
 DeleteFile('C:\Program Files (x86)\006C9852-1428257948-E211-8034-B02D83049646\knso4AE9.tmp', '32');
 DeleteFile('C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.HTML', '32');
 DeleteService('Yimieeu');
 DeleteService('WdsManPro');
 DeleteService('puwehevo');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - HKLM\System\CSS\Services\Tcpip\..\{775B09B4-E045-4C17-8123-5A63AFDC9063}: NameServer = 104.197.191.4
O17 - HKLM\System\CSS\Services\Tcpip\..\{8718928D-CBEB-45EA-A621-800A9249001D}: NameServer = 104.197.191.4
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{775B09B4-E045-4C17-8123-5A63AFDC9063}: NameServer = 104.197.191.4
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{8718928D-CBEB-45EA-A621-800A9249001D}: NameServer = 104.197.191.4

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Lighton]

Ответ от newvirus@kaspersky.com:

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.HTML

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

 

[KLAN-5695486740]

AdwCleanerS0.txt

ClearLNK-23.01.2017_12-14.log

[Sandor]

1. В безопасном режиме:

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2. В обычном режиме:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Lighton]

Готово

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
FF user.js: detected! => C:\Users\koryakin.LANIT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2016-08-05]
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> search.mpc.am
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id={81EA736D-38AE-412B-B14A-1635CE24796D}&gp=789106
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\koryakin.LANIT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2015-11-03]
FF Extension: (Поиск@Mail.Ru) - C:\Users\koryakin.LANIT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2015-11-03]
FF Extension: (Спутник @Mail.Ru) - C:\Users\koryakin.LANIT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2013-02-24] [not signed]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\koryakin.LANIT\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2015-11-03]
S4 Mucbipinod; "C:\Users\koryakin.LANIT\AppData\Roaming\Vuwodog\Vuwodog.exe" -cms [X]
2017-01-20 10:21 - 2017-01-20 10:21 - 02076160 ____R C:\Users\koryakin.LANIT\AppData\Roaming\RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.LST
2017-01-20 10:20 - 2017-01-20 10:20 - 00014462 ____R C:\Users\koryakin.LANIT\AppData\Roaming\RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.HTML
2017-01-20 10:17 - 2017-01-20 10:22 - 02965984 _____ C:\Users\koryakin.LANIT\AppData\Roaming\3760889526
2017-01-20 10:17 - 2017-01-20 10:17 - 00001088 ____R C:\Users\koryakin.LANIT\AppData\Roaming\RU9CD-1EEFH-XTOFE-ATAAO-TATAE-FTRHZ.KEY
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_98fe7RGgatvcZCaXxF7ff2529Fk-481123052 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_gdtS6a0b5ZRt_6PIn1MCYzp2mNI-1645993638 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_l2V968dCa1zMr5TTWgVJQP6xPVU1582337518 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_qFyz_p77Mklm6G-g9tbfmp6arrk-91909773 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_qUrYP-q7tpBAiiIGw2drcOQ1OLk285189430 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_TS_g8TeGGDswpR4ufNJw3TS0-CM-2018099378 [2302]
AlternateDataStreams: C:\Users\koryakin.LANIT\AppData\Roaming\Microsoft\Windows\Start Menu\Яндекс.website:DESTICON_Uk8wMlO6kp7jGPt0n6rTPeL77QE-1116572040 [2302]
HKU\S-1-5-21-1214440339-1383384898-1343024091-22318\...\StartupApproved\StartupFolder: => "SmartWeb.lnk"
HKU\S-1-5-21-1214440339-1383384898-1343024091-22318\...\StartupApproved\StartupFolder: => "crossbrowse.lnk"
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Lighton]

Готово

Fixlog.txt

[Sandor]

Адварь и следы вымогателя очищены. Расшифровки для этого зловреда, увы, пока нет.

[Lighton]

Спасибо