Перейти к содержанию

Spora Ransomware зашифровал файлы


Рекомендуемые сообщения

Добрый день

Открыли письмо из электронной почты. Все файлы MS Office, а так же .dxf, dwg зашифровались. Возможно ли расшифровать файлы?

 

CollectionLog-2017.02.06-09.58.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

qksee

WinZip

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\CHERNY~1\LOCALS~1\Temp\11-20150313-154741.exe', '');
 QuarantineFile('D:\autorun.inf', '');
 DeleteFile('C:\DOCUME~1\CHERNY~1\LOCALS~1\Temp\11-20150313-154741.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\11-20150313-154741','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Шифровальщик [KLAN-5748181059]

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
autorun.inf

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
 

AdwCleanerS0.zip

Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Прокси
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Через Панель управления - Удаление программ - удалите нежелательное ПО:

hohosearch - Uninstall

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO: AlterGeoBHO Class -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> C:\Program Files\AlterGeo\Html5 geolocation provider\npHtml5loc.dll => No File
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
Toolbar: HKU\S-1-5-21-1358748168-1363604689-3321068892-1163 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1358748168-1363604689-3321068892-1163 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
FF Extension: (SimilarWeb) - C:\Documents and Settings\chernyshova\Application Data\Firefox\Firefox\Profiles\nprbnwex.default\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2016-09-14] [not signed]
CHR Profile: C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData [2017-02-06] <==== ATTENTION
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-05-24]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\aohghmighlieiainnegkcijnfilokake [2016-05-24]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-05-24]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\bgknpfancpeamejmcooedljjnaddldhg [2016-05-24]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-05-24]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-05-24]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-05-27]
CHR Extension: (Zayka.Music - play/pause) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\kcmikiinlbdnncpljckiigiahflinffn [2016-11-03]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\lanabbpahpjnaljebnpgkjemcbkepiak [2016-05-24]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-05-24]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-05]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-11-11]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bgknpfancpeamejmcooedljjnaddldhg [2016-05-11]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-11-11]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\cegdomhocaeoedbdpfolmgjkjaijfomo [2015-03-05]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-11]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch [2015-02-02]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-17]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jedelkhanefmcnpappfhachbpnlhomai [2015-02-02]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lanabbpahpjnaljebnpgkjemcbkepiak [2016-05-24]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mfmjpfoggikolkfilofbpgcnhdcgahib [2015-05-07]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pfjgibhmcgncmjhdodpaolfbjpjjajal [2015-05-07]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pgaidlfgjkmeendhknafahppllbniejm [2015-05-07]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-03-31]
CHR Extension: (Домашняя страница – Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pldbienodkpgkccocelidinmciedjdok [2014-09-13]
R1 BDMWrench; C:\windows\System32\DRIVERS\BDMWrench.sys [229712 2014-12-02] (Baidu)
R1 BdSandBox; C:\windows\System32\DRIVERS\BdSandBox.sys [139784 2014-11-06] (Baidu)
S1 bd0001; system32\DRIVERS\bd0001.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
S1 BDEnhanceBoost; system32\DRIVERS\BDEnhanceBoost.sys [X]
S2 BDMNetMon; system32\DRIVERS\BDMNetMon.sys [X]
2017-02-01 09:21 - 2017-02-01 09:21 - 00001088 ___RH C:\US905-A0XEF-GRTXR-GGOTK-FXOTR-GRZTR-XKXOT-XHEAY.KEY
2017-02-01 09:21 - 2017-02-01 09:21 - 00001088 ___RH C:\Documents and Settings\chernyshova\Application Data\US905-A0XEF-GRTXR-GGOTK-FXOTR-GRZTR-XKXOT-XHEAY.KEY
2017-02-01 09:11 - 2017-02-01 09:21 - 14025584 _____ C:\Documents and Settings\chernyshova\Application Data\1223333024
2017-02-01 09:11 - 2017-02-01 09:11 - 00155648 _____ C:\Documents and Settings\chernyshova\Application Data\updatesys.exe
AV: 百度杀毒 (Enabled - Up to date) {0E1F41F2-EA45-46c0-8860-B93C2A890530}
HKU\S-1-5-21-1358748168-1363604689-3321068892-1163\Software\Classes\.scr: scrfile =>  <===== ATTENTION
DomainProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe] => Enabled:百度杀毒服务程序
DomainProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSd.exe] => Enabled:百度杀毒主程序
DomainProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe] => Enabled:百度杀毒托盘程序
DomainProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSdUpdate.exe] => Enabled:百度杀毒更新程序
DomainProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSdBugRpt.exe] => Enabled:百度杀毒BUG上报程序
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe] => Enabled:百度高速下载器
StandardProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe] => Enabled:百度杀毒服务程序
StandardProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSd.exe] => Enabled:百度杀毒主程序
StandardProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe] => Enabled:百度杀毒托盘程序
StandardProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSdUpdate.exe] => Enabled:百度杀毒更新程序
StandardProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSdBugRpt.exe] => Enabled:百度杀毒BUG上报程序
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe] => Enabled:百度高速下载器
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  • Подробнее читайте в руководстве Как подготовить лог UVS.
Ссылка на комментарий
Поделиться на другие сайты

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v3.87.9 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v388c
    BREG
    zoo %Sys32%\DRIVERS\BDMWRENCH.SYS
    bl 600FF7E8F24583CB50647EF3A1F48E84 229712
    addsgn 79132211B982F18DF42BF358F238EEFAE9463CC28AFA1F7885C3C5BC50D685702017E3153F552D7D2880849F461649FA7DDFAA4F56DAA06E2C77041BC4062273 64 baidu
    
    zoo %Sys32%\DRIVERS\BDSANDBOX.SYS
    bl 59E0587601FF044922A9190CC6C1A67D 139784
    addsgn 79132211B982F18DF42BF35842F8ECFAE946701588FA1F7885C3C5BC50D6A7A322172F7F3F55E9AA2A80849F461649FA7DDFA28254DA64042C7784CCC6062273 64 baidu
    
    zoo %Sys32%\DRIVERS\BD0004.SYS
    bl DDCF044527E1C849A3D724E0AC7E6013 183112
    addsgn 79132211B9CB807608D42B71DD88A90525FEF8CD488F3CF3903B34BE506EBD48201702BF36669F6CD47F849FE5DA4DF97DAAEFF994797C282E7753FF64CE2670 64 baidu
    
    zoo %Sys32%\DRIVERS\BDFILEDEFEND.SYS
    bl 6C7A23D64565591E9BBC204EC3917CAC 26824
    addsgn 79132211B982F18DF42BF358C536EDFAE9D6FCB2899F1F0E85AAC5DF50B371102355C3133E139D202BEC84FA465F49947DACE80255BFB04F2D03A47FC7692201 64 Baidu
    
    delall %Sys32%\DRIVERS\BD0001.SYS
    delall %Sys32%\DRIVERS\BD0002.SYS
    delref MAIL.RU/CNT/11956636?RCIGUC__PARAM__
    chklst
    delvir
    
    czoo
    restart
    
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

С расшифровкой, к сожалению, помочь не сможем.

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку. Но пока решения нет.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • alegator2222
      От alegator2222
      Добрый день коллеги, подверглись атаки вируса spora, шифрует файлы в hta, есть способ расшифровать? 
      пример_hta_файла.rar
    • mixali4
      От mixali4
      Доброго времени суток. С почтового ящика qeer@mail.ru пришло письмо со следующим содержимым:
      Случайно запустил на компьютере файл, который пришел в архиве.
      Вирус зашифровал много файлов, но я успел вовремя отрубить, файлы преобразовались в расширения типа *.doc.hta, *.xls.hta. При открытии файла требует деньги, почта spora.help@gmail.com.
      Как расшифровать данные файлы, что вообще можно сделать?
      Документы очень важные. Ребята помогите пожалуйста.
      Спасибо!!!
    • Boriskis1996
      От Boriskis1996
      Пришло письмо на почту , скачал файл открыл его. Получилось поймайл вирус Spora.   README_eGUiKSAmJi.hta  вижу этот файл во всех папках. Помогите с расшифровкой всех файлов, может какая программа поможет
      Addition.txt
      FRST.txt
    • ptpg
      От ptpg
      Спора зашифровал много файлов, в основном .doc и .pdf. Нужна помощь в расшифровке.  
      В архиве зашифрованный и не зашифрованный файл(также ссылка на сайт вируса).
      Спасибо.
      Архив WinRAR.rar
    • sputnikdom
      От sputnikdom
      У меня перестали открываться файлы. появляется уведомление, чтобы заплатить за расшифровку файлов
×
×
  • Создать...