Spora Ransomware зашифровал файлы

[ra1qjm 0]

Добрый день

Открыли письмо из электронной почты. Все файлы MS Office, а так же .dxf, dwg зашифровались. Возможно ли расшифровать файлы?

 

CollectionLog-2017.02.06-09.58.zip

[Sandor 1 286]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

qksee

WinZip

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\CHERNY~1\LOCALS~1\Temp\11-20150313-154741.exe', '');
 QuarantineFile('D:\autorun.inf', '');
 DeleteFile('C:\DOCUME~1\CHERNY~1\LOCALS~1\Temp\11-20150313-154741.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\11-20150313-154741','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ra1qjm 0]

Шифровальщик [KLAN-5748181059]

 

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
autorun.inf

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
 

AdwCleanerS0.zip

[Sandor 1 286]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Прокси
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ra1qjm 0]

Файлы прикреплены ниже:

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerC0.txt

[Sandor 1 286]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

hohosearch - Uninstall

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO: AlterGeoBHO Class -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> C:\Program Files\AlterGeo\Html5 geolocation provider\npHtml5loc.dll => No File
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
Toolbar: HKU\S-1-5-21-1358748168-1363604689-3321068892-1163 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1358748168-1363604689-3321068892-1163 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
FF Extension: (SimilarWeb) - C:\Documents and Settings\chernyshova\Application Data\Firefox\Firefox\Profiles\nprbnwex.default\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2016-09-14] [not signed]
CHR Profile: C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData [2017-02-06] <==== ATTENTION
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-05-24]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\aohghmighlieiainnegkcijnfilokake [2016-05-24]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-05-24]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\bgknpfancpeamejmcooedljjnaddldhg [2016-05-24]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-05-24]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-05-24]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-05-27]
CHR Extension: (Zayka.Music - play/pause) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\kcmikiinlbdnncpljckiigiahflinffn [2016-11-03]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\lanabbpahpjnaljebnpgkjemcbkepiak [2016-05-24]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\ChromeDefaultData\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-05-24]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-05]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-11-11]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bgknpfancpeamejmcooedljjnaddldhg [2016-05-11]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-11-11]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\cegdomhocaeoedbdpfolmgjkjaijfomo [2015-03-05]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-11]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch [2015-02-02]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-17]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jedelkhanefmcnpappfhachbpnlhomai [2015-02-02]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lanabbpahpjnaljebnpgkjemcbkepiak [2016-05-24]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mfmjpfoggikolkfilofbpgcnhdcgahib [2015-05-07]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pfjgibhmcgncmjhdodpaolfbjpjjajal [2015-05-07]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pgaidlfgjkmeendhknafahppllbniejm [2015-05-07]
CHR Extension: (No Name) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-03-31]
CHR Extension: (Домашняя страница – Mail.Ru) - C:\Documents and Settings\chernyshova\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pldbienodkpgkccocelidinmciedjdok [2014-09-13]
R1 BDMWrench; C:\windows\System32\DRIVERS\BDMWrench.sys [229712 2014-12-02] (Baidu)
R1 BdSandBox; C:\windows\System32\DRIVERS\BdSandBox.sys [139784 2014-11-06] (Baidu)
S1 bd0001; system32\DRIVERS\bd0001.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
S1 BDEnhanceBoost; system32\DRIVERS\BDEnhanceBoost.sys [X]
S2 BDMNetMon; system32\DRIVERS\BDMNetMon.sys [X]
2017-02-01 09:21 - 2017-02-01 09:21 - 00001088 ___RH C:\US905-A0XEF-GRTXR-GGOTK-FXOTR-GRZTR-XKXOT-XHEAY.KEY
2017-02-01 09:21 - 2017-02-01 09:21 - 00001088 ___RH C:\Documents and Settings\chernyshova\Application Data\US905-A0XEF-GRTXR-GGOTK-FXOTR-GRZTR-XKXOT-XHEAY.KEY
2017-02-01 09:11 - 2017-02-01 09:21 - 14025584 _____ C:\Documents and Settings\chernyshova\Application Data\1223333024
2017-02-01 09:11 - 2017-02-01 09:11 - 00155648 _____ C:\Documents and Settings\chernyshova\Application Data\updatesys.exe
AV: 百度杀毒 (Enabled - Up to date) {0E1F41F2-EA45-46c0-8860-B93C2A890530}
HKU\S-1-5-21-1358748168-1363604689-3321068892-1163\Software\Classes\.scr: scrfile =>  <===== ATTENTION
DomainProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe] => Enabled:百度杀毒服务程序
DomainProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSd.exe] => Enabled:百度杀毒主程序
DomainProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe] => Enabled:百度杀毒托盘程序
DomainProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSdUpdate.exe] => Enabled:百度杀毒更新程序
DomainProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSdBugRpt.exe] => Enabled:百度杀毒BUG上报程序
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe] => Enabled:百度高速下载器
StandardProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe] => Enabled:百度杀毒服务程序
StandardProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSd.exe] => Enabled:百度杀毒主程序
StandardProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe] => Enabled:百度杀毒托盘程序
StandardProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSdUpdate.exe] => Enabled:百度杀毒更新程序
StandardProfile\AuthorizedApplications: [C:\Program Files\baidu\BaiduSd\3.0.0.4605\BaiduSdBugRpt.exe] => Enabled:百度杀毒BUG上报程序
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe] => Enabled:百度高速下载器
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[ra1qjm 0]

Лог

Fixlog.txt

[Sandor 1 286]

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробнее читайте в руководстве Как подготовить лог UVS.

[ra1qjm 0]

Лог

MTS2_2017-02-06_17-04-41.rar

[Sandor 1 286]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v3.87.9 [http://dsrt.dyndns.org]
  ;Target OS: NTv5.1
  v388c
  BREG
  zoo %Sys32%\DRIVERS\BDMWRENCH.SYS
  bl 600FF7E8F24583CB50647EF3A1F48E84 229712
  addsgn 79132211B982F18DF42BF358F238EEFAE9463CC28AFA1F7885C3C5BC50D685702017E3153F552D7D2880849F461649FA7DDFAA4F56DAA06E2C77041BC4062273 64 baidu
  
  zoo %Sys32%\DRIVERS\BDSANDBOX.SYS
  bl 59E0587601FF044922A9190CC6C1A67D 139784
  addsgn 79132211B982F18DF42BF35842F8ECFAE946701588FA1F7885C3C5BC50D6A7A322172F7F3F55E9AA2A80849F461649FA7DDFA28254DA64042C7784CCC6062273 64 baidu
  
  zoo %Sys32%\DRIVERS\BD0004.SYS
  bl DDCF044527E1C849A3D724E0AC7E6013 183112
  addsgn 79132211B9CB807608D42B71DD88A90525FEF8CD488F3CF3903B34BE506EBD48201702BF36669F6CD47F849FE5DA4DF97DAAEFF994797C282E7753FF64CE2670 64 baidu
  
  zoo %Sys32%\DRIVERS\BDFILEDEFEND.SYS
  bl 6C7A23D64565591E9BBC204EC3917CAC 26824
  addsgn 79132211B982F18DF42BF358C536EDFAE9D6FCB2899F1F0E85AAC5DF50B371102355C3133E139D202BEC84FA465F49947DACE80255BFB04F2D03A47FC7692201 64 Baidu
  
  delall %Sys32%\DRIVERS\BD0001.SYS
  delall %Sys32%\DRIVERS\BD0002.SYS
  delref MAIL.RU/CNT/11956636?RCIGUC__PARAM__
  chklst
  delvir
  
  czoo
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
• Подробнее читайте в этом руководстве.

[ra1qjm 0]

Архив отправлен.

[Sandor 1 286]

С расшифровкой, к сожалению, помочь не сможем.

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку. Но пока решения нет.

[ra1qjm 0]

Спасибо за оперативную информацию.

[mike 1 1 044]

Вложение из письма отправьте мне на почту.

[ra1qjm 0]

Постараюсь завтра найти. Возможно пользователь уже удалил письмо. На какой адрес выслать, если найду?