spora Spora ransomware Атаковал компьютер

[0skar]

Доброе утро, зашифровались все doc файлы, важные схемы, чертежы и тд. Компьютер был без доступа в интернет, по неосторожности вирус попал через USB-флешку, у организации нет запрашиваемой суммы мошенника.

Помогите разобраться, можно ли все файлы расшифровать. Заранее благодарен!

CollectionLog-2017.02.16-08.43.zip

Изменено 16 февраля, 2017 пользователем 0skar

[0skar]

Скан Farbar

FRST.txt

Addition.txt

[Sandor]

Здравствуйте!

 

Spora ransomware Атаковал

И не только он.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\1\csrss.exe', '');
 QuarantineFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\RUF14-64OXR-KOTHG-ETOFK-TRGTK-KGATH-FYYYY.html', '');
 QuarantineFile('C:\WINDOWS\system32\config\svchost.exe', '');
 DeleteFile('C:\Documents and Settings\1\csrss.exe', '32');
 DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\RUF14-64OXR-KOTHG-ETOFK-TRGTK-KGATH-FYYYY.html', '32');
 DeleteFile('C:\WINDOWS\system32\config\svchost.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Соберите и прикрепите свежие логи FRST.

[0skar]

Отправил Файл quarantine.zip. KLAN-5802106603, Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Программа Riskware, которая может причинить вред вашему устройству, найдена в файлах
svchost.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.jh

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.
Антивирусная Лаборатория, Kaspersky Lab HQ

 

После процедуры:  Сканирование Farbar

FRST.txt

Изменено 16 февраля, 2017 пользователем 0skar

[Sandor]

Additiont.txt тоже, пожалуйста.

[0skar]

Сделано

Addition.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2003-01-08 16:20 - 2003-01-08 16:23 - 9368032 _____ () C:\Documents and Settings\1\Application Data\3427462234
2003-01-08 16:23 - 2003-01-08 16:23 - 0001088 _____ () C:\Documents and Settings\1\Application Data\RUF14-64OXR-KOTHG-ETOFK-TRGTK-KGATH-FYYYY
2003-01-08 16:23 - 2003-01-08 16:23 - 0016715 _____ () C:\Documents and Settings\1\Application Data\RUF14-64OXR-KOTHG-ETOFK-TRGTK-KGATH-FYYYY.html
2003-01-08 16:20 - 2003-01-01 12:07 - 0000000 _____ () C:\Documents and Settings\1\Local Settings\Temp\c60686ebe7e3069d.exe
AlternateDataStreams: C:\Documents and Settings\1\Рабочий стол\АКТ гоголя 108Office Word.docx:SummaryInformation [43]
AlternateDataStreams: C:\Documents and Settings\1\Рабочий стол\АКТ гоголя 108Office Word.docx:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[0skar]

Сделано

Fixlog.txt

[Sandor]

Вымогатель и его следы очищены. С расшифровкой, увы, помочь не сможем.

[0skar]

Благодарю, а если лиценз. касперского приобрести, и запросить в лаборатории касперского? или им не удавалось дешифровку создать кому-либо?

[Sandor]

Пока для этого типа вымогателя лекарства нет.