Перейти к содержанию

Spora ransomware Атаковал компьютер

0skar
 Share

Рекомендуемые сообщения

0skar Новичок

0skar

Опубликовано
Опубликовано (изменено)

Доброе утро, зашифровались все doc файлы, важные схемы, чертежы и тд. Компьютер был без доступа в интернет, по неосторожности вирус попал через USB-флешку, у организации нет запрашиваемой суммы мошенника.

Помогите разобраться, можно ли все файлы расшифровать. Заранее благодарен!

CollectionLog-2017.02.16-08.43.zip

Изменено пользователем 0skar
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Spora ransomware Атаковал

И не только он.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\1\csrss.exe', '');
 QuarantineFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\RUF14-64OXR-KOTHG-ETOFK-TRGTK-KGATH-FYYYY.html', '');
 QuarantineFile('C:\WINDOWS\system32\config\svchost.exe', '');
 DeleteFile('C:\Documents and Settings\1\csrss.exe', '32');
 DeleteFile('C:\Documents and Settings\1\Главное меню\Программы\Автозагрузка\RUF14-64OXR-KOTHG-ETOFK-TRGTK-KGATH-FYYYY.html', '32');
 DeleteFile('C:\WINDOWS\system32\config\svchost.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Соберите и прикрепите свежие логи FRST.

Ссылка на комментарий
Поделиться на другие сайты
0skar Новичок

0skar

Опубликовано
  • Автор
Опубликовано (изменено)

Отправил Файл quarantine.zip. KLAN-5802106603, Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Программа Riskware, которая может причинить вред вашему устройству, найдена в файлах
svchost.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.jh

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.
Антивирусная Лаборатория, Kaspersky Lab HQ

 

После процедуры:  Сканирование Farbar

FRST.txt

Изменено пользователем 0skar
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2003-01-08 16:20 - 2003-01-08 16:23 - 9368032 _____ () C:\Documents and Settings\1\Application Data\3427462234
2003-01-08 16:23 - 2003-01-08 16:23 - 0001088 _____ () C:\Documents and Settings\1\Application Data\RUF14-64OXR-KOTHG-ETOFK-TRGTK-KGATH-FYYYY
2003-01-08 16:23 - 2003-01-08 16:23 - 0016715 _____ () C:\Documents and Settings\1\Application Data\RUF14-64OXR-KOTHG-ETOFK-TRGTK-KGATH-FYYYY.html
2003-01-08 16:20 - 2003-01-01 12:07 - 0000000 _____ () C:\Documents and Settings\1\Local Settings\Temp\c60686ebe7e3069d.exe
AlternateDataStreams: C:\Documents and Settings\1\Рабочий стол\АКТ гоголя 108Office Word.docx:SummaryInformation [43]
AlternateDataStreams: C:\Documents and Settings\1\Рабочий стол\АКТ гоголя 108Office Word.docx:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
0skar Новичок

0skar

Опубликовано
  • Автор
Опубликовано

Благодарю, а если лиценз. касперского приобрести, и запросить в лаборатории касперского? или им не удавалось дешифровку создать кому-либо?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Dima.M
      Меня атаковал шировальщик elons
      От Dima.M
      Здрастуйте меня атаковал шифровальщик  elons,  письмо и пример фай прилагаю.
      Desktop.rar
    • ZombOs
      Майнер на компьютере
      От ZombOs
      Столкнулся с вирусом при попытке проверить файл на Вирус тотал. При просмотре диспетчера, заметил подозрительный процесс под именем "COM Surrogate", который дублировал сам себя и потреблял большой ресурс процессора. При попытке отключения процесса через диспетчер задач, процесс завершается и происходит резкий выход из диспетчера. При попытке перейти по расположению файла открывается проводник, после диспетчер и проводник резко закрываются. При попытке найти папку через безопасный режим ее нет на месте. А с подключением в интернет вовсе не работает безопасны режим. При попытке скачать антивирус пишеь, "Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору". На форма нашел пост, где говорится про программу AV block remover. Скачав ее через USB, запустил ее и получил следующие файл https://vk.com/away.php?to=https%3A%2F%2Fdrive.google.com%2Fdrive%2Ffolders%2F1tFVD4TYYqrMnXJZRZQbLncv3C9BjLZDK%3Fusp%3Dsharing&utf=1. В посте указали данный форм для обращения за помощью. 



      delminer.txt
    • iaroslav
      Майнер на компьютере
      От iaroslav
      Я подозреваю что у меня майнер или троян так как у меня не открываются параметры( все способы перепробовал) а также при открытии например панели управления выскакивает табличка: операция отменена из за огранечений..... Обратитесь к администратору хотя я и есть администратор. Перед этим я использовал AVbr и только потом AutoLogger
      AV_block_remove_2025.02.02-17.03.log report2.log report1.log CollectionLog-2025.02.02-17.19.zip
    • Ivan Serov
      Зависание и перезагрузка компьютера
      От Ivan Serov
      Приветствую. Спокойно сидел в пк, как вдруг завис экран на одной картинке, звук непрерывный и потом компьютер перезагрузился. Стоит запись "Дамп памяти ядра". При необходимости могу скинуть.
      Компьютер был перезагружен после критической ошибки. Код ошибки: 0x0000007e (0xffffffffc0000005, 0xfffff80454f90e36, 0xffff968309bf5d28, 0xffff968309bf5560). Дамп памяти сохранен в: C:\WINDOWS\MEMORY.DMP. Код отчета: e629bc3c-8a0e-450c-a73a-9176ef5d590d.
      Прикладываю малый дамп, сведения о системе и DxDiag.
      Desktop.zip
    • SS78RUS
      Атаковали через уязвимость NAS
      От SS78RUS
      Добрый вечер. 
      С нами случилась ситуация 1в1 с вышеописанной. NAS Zyxel 326 со всеми патчами, отключены все выходы во внешнюю сеть, работал только как локальное хранилище, всё равно атаковали через уязвимость самого NAS -создали облачного пользователя, которого даже удалить не могу.
      Подскажите, какой вариант с починкой файлов? Заранее спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...