Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифрованы файлы Spora Ransomware

Virusnak
 Поделиться

Рекомендуемые сообщения

Virusnak

Virusnak

Опубликовано
Опубликовано

Добрый день уважаемые пользователи лабфорума поймал на днях спору 

 

заражено несколько компьютеров включая сервер 

 

нашел первичный компьютер где были скачаны все дистрибутивы

 

прикрепляю логи как указаны в правилах

CollectionLog-2017.02.16-13.07.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 ExecuteRepair(1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\Shnapi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU220-1AKHZ-FTRAE-FTKOF-TXOGE-TFKOF-ETAKF-OYYYY.html [2017-02-15] ()
2017-02-15 11:00 - 2017-02-15 11:00 - 00016721 _____ C:\Users\Shnapi\AppData\Roaming\RU220-1AKHZ-FTRAE-FTKOF-TXOGE-TFKOF-ETAKF-OYYYY.html
2017-02-15 11:00 - 2017-02-15 11:00 - 00016721 _____ C:\RU220-1AKHZ-FTRAE-FTKOF-TXOGE-TFKOF-ETAKF-OYYYY.html
2017-02-15 11:00 - 2017-02-15 11:00 - 00001088 _____ C:\Users\Shnapi\AppData\Roaming\RU220-1AKHZ-FTRAE-FTKOF-TXOGE-TFKOF-ETAKF-OYYYY
2017-02-15 10:58 - 2017-02-15 11:01 - 21647560 _____ C:\Users\Shnapi\AppData\Roaming\1882215188
2017-02-15 10:58 - 2017-02-15 10:58 - 00073728 _____ C:\Users\Shnapi\AppData\Roaming\u.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Virusnak

Virusnak

Опубликовано
  • Автор
Опубликовано
Sandor

Я сутра попробую восстановить этот компьютер.

 

 

с сервера мне точно такие же процедуры выполнять и сюда логи сбрасывать ?

thyrex

thyrex

Опубликовано
Опубликовано

Если на самом сервере шифратор не запускали, то логи с него не нужны.

Virusnak

Virusnak

Опубликовано
  • Автор
Опубликовано (изменено)

Могу сказать только 

 

что сообщение в браузере выпало на ноутбуке.

общая папка с сервера для ноута расшарена 

 

 

но в момент когда перестали открываться файлы я просто отключил коммутатор и выключил сервер. 

 

 

После я вытащил жесткий и подключил к другому компу, дабы без запуска системы прогнать антивярем но попытки были таковы что комп при проверке отрубался.

 

На данный момент сервер включен, но без сети

Ноут в также 

Остальные машины вроде живут

Изменено пользователем Virusnak
Sandor

Sandor

Опубликовано
Опубликовано

Вам еще повезло, что уцелели теневые копии. Обычно они при заражении удаляются.

Универсального средства для этого типа вымогателя пока нет.

Virusnak

Virusnak

Опубликовано
  • Автор
Опубликовано (изменено)

Уцелели только на ноуте 

 

сейчас уже поражена вся сеть

 

более 10 компьютеров включая сервер

 

Теневые копий удалены

 

судя по заметкам

 

выход остается только один дать инную сумму злодеям

Изменено пользователем Virusnak

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alegator2222
      Шифровальщик SPORA
      Автор alegator2222
      Добрый день коллеги, подверглись атаки вируса spora, шифрует файлы в hta, есть способ расшифровать? 
      пример_hta_файла.rar
    • stasnakhlov
      зашифровали файлы .hta
      Автор stasnakhlov
      Добрый день. 
       
      Проблема следующая: через почтовый клиент был открыт файл с вирусом, сам комп не заразился, а вот рабочий сервер пострадал, половина файлов за шифровались под расширение .hta . 
      CollectionLog-2017.10.25-14.04.zip
    • Viki
      Шифровальщик Hta
      Автор Viki
      Пришло письмо на электронную почту, с содержимым вроде "документы проверенны, с нашей стороны все в порядке, посмотрите с вашей" и прикрепленный файл hta, открыла, все документы на рабочем столе стали с расширением hta. исчезли все данные с 1с кварта и т.д. Как можно все восстановить подскажите пожалуйста
    • mixali4
      Шифровальщик Spora
      Автор mixali4
      Доброго времени суток. С почтового ящика qeer@mail.ru пришло письмо со следующим содержимым:
      Случайно запустил на компьютере файл, который пришел в архиве.
      Вирус зашифровал много файлов, но я успел вовремя отрубить, файлы преобразовались в расширения типа *.doc.hta, *.xls.hta. При открытии файла требует деньги, почта spora.help@gmail.com.
      Как расшифровать данные файлы, что вообще можно сделать?
      Документы очень важные. Ребята помогите пожалуйста.
      Спасибо!!!
    • Владимир72рус
      поймали шифровальщик spora, как дешифровать файлы?
      Автор Владимир72рус
      Вчера на работе у нас произошел инцидент, одна наша сотрудница приняла письмо по почте, от неизвестного источника, соответственно распаковала и открыла файл, сама того не понимая, что это был скрипт.
      После чего вирус начал делать свои дела на компе и в сети, то есть начал шифровать файлы, параллельно производил поиск в сети всех расширенных папок и начал шифровать все файлы.
      выкладываю файл со скриптом, а так же фото рабочего стола
       

      Строгое предупреждение от модератора Mark D. Pearlstone не выкладывайте вредоносные и потенциально вредоносные файлы и ссылки на форум.





×
×
  • Создать...