Перейти к содержанию

Spora ransomware Атаковал компьютер

0skar
 Share

Рекомендуемые сообщения

0skar Новичок

0skar

Опубликовано
Опубликовано (изменено)

Доброе утро, зашифровались все doc файлы, важные схемы, чертежы и тд. Компьютер был без доступа в интернет, по неосторожности вирус попал через USB-флешку, у организации нет запрашиваемой суммы мошенника.

Помогите разобраться, можно ли все файлы расшифровать. Заранее благодарен!

CollectionLog-2017.02.16-08.43.zip

Изменено пользователем 0skar
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Spora ransomware Атаковал

И не только он.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\1\csrss.exe', '');
 QuarantineFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\RUF14-64OXR-KOTHG-ETOFK-TRGTK-KGATH-FYYYY.html', '');
 QuarantineFile('C:\WINDOWS\system32\config\svchost.exe', '');
 DeleteFile('C:\Documents and Settings\1\csrss.exe', '32');
 DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\RUF14-64OXR-KOTHG-ETOFK-TRGTK-KGATH-FYYYY.html', '32');
 DeleteFile('C:\WINDOWS\system32\config\svchost.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Соберите и прикрепите свежие логи FRST.

Ссылка на комментарий
Поделиться на другие сайты
0skar Новичок

0skar

Опубликовано
  • Автор
Опубликовано (изменено)

Отправил Файл quarantine.zip. KLAN-5802106603, Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Программа Riskware, которая может причинить вред вашему устройству, найдена в файлах
svchost.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.jh

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.
Антивирусная Лаборатория, Kaspersky Lab HQ

 

После процедуры:  Сканирование Farbar

FRST.txt

Изменено пользователем 0skar
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2003-01-08 16:20 - 2003-01-08 16:23 - 9368032 _____ () C:\Documents and Settings\1\Application Data\3427462234
2003-01-08 16:23 - 2003-01-08 16:23 - 0001088 _____ () C:\Documents and Settings\1\Application Data\RUF14-64OXR-KOTHG-ETOFK-TRGTK-KGATH-FYYYY
2003-01-08 16:23 - 2003-01-08 16:23 - 0016715 _____ () C:\Documents and Settings\1\Application Data\RUF14-64OXR-KOTHG-ETOFK-TRGTK-KGATH-FYYYY.html
2003-01-08 16:20 - 2003-01-01 12:07 - 0000000 _____ () C:\Documents and Settings\1\Local Settings\Temp\c60686ebe7e3069d.exe
AlternateDataStreams: C:\Documents and Settings\1\Рабочий стол\АКТ гоголя 108Office Word.docx:SummaryInformation [43]
AlternateDataStreams: C:\Documents and Settings\1\Рабочий стол\АКТ гоголя 108Office Word.docx:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
0skar Новичок

0skar

Опубликовано
  • Автор
Опубликовано

Благодарю, а если лиценз. касперского приобрести, и запросить в лаборатории касперского? или им не удавалось дешифровку создать кому-либо?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • SS78RUS
      Атаковали через уязвимость NAS
      От SS78RUS
      Добрый вечер. 
      С нами случилась ситуация 1в1 с вышеописанной. NAS Zyxel 326 со всеми патчами, отключены все выходы во внешнюю сеть, работал только как локальное хранилище, всё равно атаковали через уязвимость самого NAS -создали облачного пользователя, которого даже удалить не могу.
      Подскажите, какой вариант с починкой файлов? Заранее спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • Sergei Lomov
      Майнер на компьютере
      От Sergei Lomov
      Здравствуйте, возникла проблема после скачивания и запуска игры с торента, сначала перестал открываться браузер хром появлялось сообщение “Не удается получить доступ к объекту на который ссылается ярлык.Возможно , отсутствуют необходимые разрешения” ,после чего пробовал установить антивирус на что мне появлялось сообщение - “Операция отменена из-за ограничений, действующих на этом компьютере.Обратитесь к системному администратору”. Не мог зайти на ваш сайт с компьютера перекидывало на сайт dns.google.Скачал программу autologger, удалось открыть только в безопасном режиме
      CollectionLog-2024.12.03-20.17.zip
    • xSmashQQQ
      Не открываются свойства компьютера.
      От xSmashQQQ
      Добрый вечер.
      Прошу помощи.
      Я захотел проверить свойства системы и зашел в панель управления-система. У меня она не открылась и я решил попробовать. Этот компьютер-свойства. Опять не открылось. Я попробовал вводить sfc /scannow, вроде что то исправила, но опять ничего не открылось, компьютер перезапускал. Мне нужна ваша помощь. Заранее спасибо
    • vika_
      Помощь в содержимом компьютера
      От vika_
      Добрый день! Компьютеру лет 10, вообще не разбираюсь, что и как у него. Решила включить, вроде заработал, но сильно шумел. Подумала, что надо друга то почистить,  но вот, когда открыла, поняла, что не знаю как действовать.
       Во-первых, лежали две детали, без своего места. Во-вторых, смутили 3 провода, которые висели, не подключенные никуда. Ну и в-третьих, можно ли аккуратно снять вентилятор и почистить за ним, боюсь чтоб не случилось ничего(
      Прошу понять и простить меня: в компьютерах совсем 0((


×
×
  • Создать...