Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

Вчера по эл.почте пришло письмо с архивом:

 

Документы для оплаты август 2016

 

crazyferma <vst35met@mail.ru>

Кому: fotocd

 

 

вчера, 2:34

[удалено]

 

 

 

 

 

Я открыл данное вложение и ....  спустя некоторое время обнаружил, что файлы форматов doc, pdf, xls  на компьютере не открываются, а в браузере появилась страница с названием SPORA RANSOMWARE.

Все документы данных форматов оказались закодированы и мне предлагается восстановить данные файлы, как я полагаю за деньги.

Скрин данной страницы в броузере с сообщением прикладываю.

Помогите расшифровать данные на компьютере - систему на диске С я восстановил из образа - думал, что причина в глюках, но и моя манипуляция не помогла.

--- оказалось , что испорчены файлы форматов doc, pdf, xls на всех жестких дисках (в корне у всех появился файл:  RU693-3EKKE-HTXGH-XTGHE-TXOGT-HEAAF-TORER.html   

Если необходимо, могу приложить документы форматов doc, pdf, xls закодированные вирусом и нормальные версии этих же документов   (они были в архиве и не пострадали от вируса)  .

Ссылка на сообщение
Поделиться на другие сайты

@Mark D. Pearlstone, система была восстановлена и логи бесполезны.

 

@AndreySvetlov, к сожалению, с расшифровкой помочь не смогут даже в вирлабах.

Ссылка на сообщение
Поделиться на другие сайты

все выполнил, файл CollectionLog-2017.02.16-19.50.zip  готов - как его прикрепить - не вижу?


все выполнил, файл CollectionLog-2017.02.16-19.50.zip  готов - как его прикрепить - не вижу?


Может можно как-то выделить код из файлов:

имеются документы форматов doc, pdf, xls закодированные вирусом и нормальные версии этих же документов   (они были в архиве и не пострадали от вируса) 


Kaspersky XoristDecryptor

вроде предлагает подобный алгоритм лечения, только у меня он запускается под XP


точнее, не запускается под XP

Ссылка на сообщение
Поделиться на другие сайты

Если система была восстановлена, то в логах нет необходимости. Прикрепить их можно через кнопку Расширенная форма.

 

 

 


Может можно как-то выделить код из файлов
если бы все было так просто, расшифровка давно была бы.
Ссылка на сообщение
Поделиться на другие сайты

Или я могу снова запустить этот вредоносный файл - может он снова повторит все записи в системе???


Или я могу снова запустить этот вредоносный файл - может он снова повторит все записи в системе???


и тогда заново соберу логи

Ссылка на сообщение
Поделиться на другие сайты

или он перекодирует уже закодированные файлы?


или он перекодирует уже закодированные файлы?


или он перекодирует уже закодированные файлы?


или он перекодирует уже закодированные файлы?


т.е. ситуация безвыходная?

Ссылка на сообщение
Поделиться на другие сайты

Подскажите, а если попробовать след.вариант:

 

я переношу все зашифрованные вирусом файлы на флешку, оставляю на компе только нормальные файлы и запускаю заново эту вредоносную программу. Потом собираю логи и пересылаю Вам, удаляю вирус, переписываю обратно с флешки на комп.ранее зашифрованные файлы и все их вмести лечим?

Ссылка на сообщение
Поделиться на другие сайты

Ничем не поможет расшифровке. Ключ, с помощью которого зашифрованы файлы, сам зашифрован с помощью алгоритма RSA с длиной ключа 2048 бит. При шифровании RSA используется публичный ключ, а для расшифровки используется приватный ключ, известный только самим злодеям.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Mrak
      Всем привет!
      Перешёл на 10ку. Пока открываю пдф файлы с помощью браузера. Но хочется, чтобы в проводнике работал предпросмотр, который упирается это делать без отдельной программы.
      Какую программу посоветуете? 
    • От Ytkaaa
      Здравствуйте, возник вопрос, пользуюсь security cloud, недавно делал проверку, в отчете написано что какие-то файлы повреждены(посмотрел что за файлы, что от от подсветки клавиатуры), это security cloud их повредил или они уже были? Нормально ли это и стоит ли что-то делать с этим? 
    • От Rayled
      Добрый день!
      Сегодня надо было зайти на сайт kaspersky.ru, чтобы купить (продлить) лицензию. Вбил в яндексе "касперский", первой строкой выдало их рекламу, по ней и нажал, но вместо нужного сайта меня редиректнуло на "https://5015.xg4ken.com/media/redir.php?prof=..." (ссылка длинная, копировать всю не стал,  вместо точек там дальше куча команд, общая длина URL составила 788 символов). Экран браузера при этом стал чёрным. Прикрепляю видео всего этого. Проверил в Яндекс.браузере, Опере, Хроме, Файерфоксе - результат идентичный.
       
      Решил узнать что такое xg4ken.com и выдало, что это вредоносный рекламный софт, который редиректит в браузере на левые страницы вместо искомых. Почитал инструкции по избавлению о проблеме, но что-то там довольно мутно всё написано, утилиты какие-то предлагают ставить... Решил для начала сделать полную проверку диска С с помощью KIS, но результата это не дало, ничего не найдено (скрин прилагаю).
       
      Скажите, пожалуйста, ваши мысли по этому поводу и если у меня действительно на ПК проник вредоносный софт, то как от него избавиться. Заранее спасибо!

      каспер.mp4
    • От Drawen
      Здравствуйте. На сетевых папках с открытым полным доступом обнаружились зашифрованные файлы вида price.xls.id-B8E48228.[bitcoin1@foxmail.com].harma. Зараженный компьютер пока обнаружить не удалось (в сети порядка 50 пк). Шифрование происходит постепенно и нерегулярно - в одной папке могут зашифроваться все файлы, в другой - один-два. Пример зашифрованного файла прилагаю. Очень надеюсь на Вашу помощь. 
      price.xls.id-B8E48228.bitcoin1@foxmail.com.zip
    • От tolevich
      Здравствуйте, сегодня зашел на сервер по RDP а там все файлы зашифрованы и имеют расширение .harma, прилагаю файл от  Farbar Recovery Scan Tool Прошу помочь с решением данной проблемы
       
      FRST.txt
      CollectionLog-2020.01.21-10.15.zip
×
×
  • Создать...