SPORA RANSOMWARE

[Sanchez74]

Пришло письмо на электронную почту с картинкой, которую нужно было открыть. Письмо содержало вирус SPORA RANSOMWARE. Вирус зашифровал файлы офис. Касперский с задачей не справился. Попытался проделать всё то, что помогло в этой теме https://forum.kasperskyclub.ru/index.php?showtopic=54374, безрезультатно. Прошу помощи спецов!!!

[Sandor]

Здравствуйте!

 

Выполнять рекомендации, написанные для других - в лучшем случае бесполезно, в худшем - вредно.

 

Прочтите и выполните Порядок оформления запроса о помощи

[Sanchez74]

Вот мои логи..

CollectionLog-2017.02.10-12.49.zip

[Sandor]

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Включите Восстановление системы.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Sanchez74]

Готово

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2017-02-09 17:13 - 2017-02-09 17:13 - 00397240 _____ C:\Users\ЭКОВОД\AppData\Roaming\814835183
2017-02-09 17:13 - 2017-02-09 17:13 - 00016709 _____ C:\Users\ЭКОВОД\AppData\Roaming\RUE96-50OXA-TOHAT-XOTXT-XRGZT-XGOYY.html
2017-02-09 17:13 - 2017-02-09 17:13 - 00016709 _____ C:\RUE96-50OXA-TOHAT-XOTXT-XRGZT-XGOYY.html
2017-02-09 17:13 - 2017-02-09 17:13 - 00001088 _____ C:\Users\ЭКОВОД\AppData\Roaming\RUE96-50OXA-TOHAT-XOTXT-XRGZT-XGOYY
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Sanchez74]

готово.

Fixlog.txt

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

[Sanchez74]

У меня пробная версия пока. Через 29 дней куплю лицензию, если все вылечу. Личный кабинет не дает ввести ключ от моего антивируса. 

[Sandor]

Увы, обрадовать нечем.

1. В кабинет можно попасть только при наличии коммерческой версии.

2. Этот тип вымогателя пока не поддается расшифровке.

[Sanchez74]

Что делать? А то, что мы проделали с логами, это для чего?

[Sandor]

Первый скрипт закрыл уязвимости в IE, второй убрал следы вымогателя (если понадобятся, они находятся в папке C:\FRST\quarantine)