Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Spora Ransomware вымогатель

Sperare
 Share Подписчики 1

Рекомендуемые сообщения

Sperare

Sperare 0

Опубликовано
Опубликовано

Большая просьба помочь со спорой. Зашифрованы все документы, Офис, Adobe, jpg, архивы. Outlook жив, что странно. Деньги вымогали через страницу. Скриншот страницы приложен. 
 
Kaspersky Virus Removal запускали. Файлы Farbar в приложении. 

 

RU7AD-70RXK-XTKGR-TXTOZ-GTAKK-GTAOZ.html

CollectionLog 2017.102.14.15.55.rar

post-44143-0-47367500-1487077103_thumb.jpg

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM-x32\...\RunOnce: [{6BED3ADD-63A3-4F93-AC4C-56FA7960863A}] => C:\Users\ladm\AppData\Local\Temp\{4824DCDC-3C35-449B-A1F6-33E6BAEABE54}\{6BED3ADD-63A3-4F93-AC4C-56FA7960863A}.cmd [290 2017-02-14] () <===== ATTENTION
AppInit_DLLs: C:\PROGRA~2\NVIDIA~1\3DVISI~1\NVSTIN~1.DLL => No File
Startup: C:\Users\s02\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU7AD-70RXK-XTKGR-TXTOZ-GTAKK-GTAOZ.html [2017-02-14] ()
C:\Users\ladm\AppData\Local\Temp\{4824DCDC-3C35-449B-A1F6-33E6BAEABE54}\{6BED3ADD-63A3-4F93-AC4C-56FA7960863A}.cmd
2017-02-14 14:27 - 2017-02-14 15:32 - 0000000 _____ () C:\Users\s02\AppData\Local\Temp\e6d93dd1acf54d11.exe
Task: {A22678ED-389D-4E1D-8862-D570D6D662B4} - \CCleanerSkipUAC -> No File <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sperare

Sperare 0

Опубликовано
  • Автор
Опубликовано

спасибо!


Каку почистил, но файлы разумеется так и остались закодированные. Файл прикрепил. 

 

В любом случае спасибо!

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

Запускали опять не от имени администратора?

 

файлы разумеется так и остались закодированные

Да, увы, пока нет лекарства для этого вымогателя.
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Sperare

Sperare 0

Опубликовано
  • Автор
Опубликовано

Запускал от админа, но скорее всего ключ в реестре не давал убирать работающий екзешник. Второй раз запустил, тогда все вычистил. Спасибо за помощь. 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 286

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 4.20 бета 2 (64-разрядная) v.4.20.2 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.13 v.7.13.101 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 24 PPAPI v.24.0.0.186 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • rmr
      Spora ransomware удалить вирус с компьютеров
      От rmr
      Здравствуйте!
       
       
      Минимум два компьютера в локальной сети заразились Spora ransomware.
      Сценарий классический: сотрудник по почте получает архив zip, открывает и через некоторое время все файлы на компьютере зашифровались.
       
      Установлен KES 10, базы, правда, давно не обновлялись... Он молчал.
      Полное сканирование тоже ничего не дало.
       
      Virus Removal Tool запускался (релиз последний, скачан 16.03.17)
      ничего не обнаружил.
       
      Отчет прикреплен к сообщению
       
       
       
       
      Также заразились открытые диски на других компьютерах.
       
       
       
      Помогите, пожалуйста, удалить вирус и попытаться восстановить данные.
    • dim2906
      Шифровальщик spora ransomware
      От dim2906
      Здравствуйте! 7 марта пришло письмо на почту. Сотрудница скачала и запустила файл с расширением .wsf. В итоге были зашифрованы файлы: word, excel, pdf, jpg, sqlite, dwg. Антивирусник не стоял на то время. Заметили когда файлы были поправлены вирусом. Возможно ли подобрать ключ для расшифровки?
       
      CollectionLog-2017.03.12-14.35.zip
      Отчет FRST64( Addition & FRST).rar
      Зашифрованные файлы.rar
    • T3mpAktus
      Поплись на Spora Ransomware
      От T3mpAktus
      Рабочая сеть попалась на Spora Ransomware.. на рабочем столе и в папках, о которых пишут зарубежные форумы, отсутсвует файл с раширением .key, который нужен для того, чтобы протестировать функциональность сайта spora.. есть файл на рабочам столе только с уникальным id для входа на сайт spora.
      Вопрос, разработан ли уже метод расшифровки всех файлов? И что делать в данной ситуации сейчас?
    • egor.izbranniy
      Spora ransomware
      От egor.izbranniy
      Доброго времени суток, Уважаемые!
       
      2 пользователя нашей компании поймали эту заразу этот вирус. 
      Самое интересное, что поймали они его сервером под управлением Windows Server 2012 R2. Данный сервер является терминальным, благо сервер БД отдельный. 
      Как итог, отсутствие возможности открыть любой файл .xls, .doc, .docx, .pdf, .jpeg и т.д.
       
      Есть ли инструкции по обеззараживанию ОС? При наличии лицензии на Ваш продукт, моя организация сможет себя обезопасить от подобных инцидентов в дальнейшем. Имеется ли успешный опыт дешифровки поражённых файлов, не прибегая к "услугам" вымогателей? 
    • Sanchez74
      SPORA RANSOMWARE
      От Sanchez74
      Пришло письмо на электронную почту с картинкой, которую нужно было открыть. Письмо содержало вирус SPORA RANSOMWARE. Вирус зашифровал файлы офис. Касперский с задачей не справился. Попытался проделать всё то, что помогло в этой теме https://forum.kasperskyclub.ru/index.php?showtopic=54374, безрезультатно. Прошу помощи спецов!!!
×
×
  • Создать...