SPORA RANSOMWARE зашифровала файлы doc, pdf, xls на компьютере

[AndreySvetlov 0]

Добрый день.

Вчера по эл.почте пришло письмо с архивом:

 

Документы для оплаты август 2016

 

crazyferma <vst35met@mail.ru>

Кому: fotocd

 

 

вчера, 2:34

[удалено]

 

 

 

 

 

Я открыл данное вложение и ....  спустя некоторое время обнаружил, что файлы форматов doc, pdf, xls  на компьютере не открываются, а в браузере появилась страница с названием SPORA RANSOMWARE.

Все документы данных форматов оказались закодированы и мне предлагается восстановить данные файлы, как я полагаю за деньги.

Скрин данной страницы в броузере с сообщением прикладываю.

Помогите расшифровать данные на компьютере - систему на диске С я восстановил из образа - думал, что причина в глюках, но и моя манипуляция не помогла.

--- оказалось , что испорчены файлы форматов doc, pdf, xls на всех жестких дисках (в корне у всех появился файл:  RU693-3EKKE-HTXGH-XTGHE-TXOGT-HEAAF-TORER.html   

Если необходимо, могу приложить документы форматов doc, pdf, xls закодированные вирусом и нормальные версии этих же документов   (они были в архиве и не пострадали от вируса)  .

[thyrex 1 468]

@Mark D. Pearlstone, система была восстановлена и логи бесполезны.

 

@AndreySvetlov, к сожалению, с расшифровкой помочь не смогут даже в вирлабах.

[AndreySvetlov 0]

все выполнил, файл CollectionLog-2017.02.16-19.50.zip  готов - как его прикрепить - не вижу?

все выполнил, файл CollectionLog-2017.02.16-19.50.zip  готов - как его прикрепить - не вижу?

Может можно как-то выделить код из файлов:

имеются документы форматов doc, pdf, xls закодированные вирусом и нормальные версии этих же документов   (они были в архиве и не пострадали от вируса) 

Kaspersky XoristDecryptor

вроде предлагает подобный алгоритм лечения, только у меня он запускается под XP

точнее, не запускается под XP

[thyrex 1 468]

Если система была восстановлена, то в логах нет необходимости. Прикрепить их можно через кнопку Расширенная форма.

 

 

 

Может можно как-то выделить код из файлов

если бы все было так просто, расшифровка давно была бы.

[AndreySvetlov 0]

Или я могу снова запустить этот вредоносный файл - может он снова повторит все записи в системе???

Или я могу снова запустить этот вредоносный файл - может он снова повторит все записи в системе???

и тогда заново соберу логи

[thyrex 1 468]

И зашифруете все повторно. Тогда даже сами злодеи не смогут помочь

[AndreySvetlov 0]

или он перекодирует уже закодированные файлы?

или он перекодирует уже закодированные файлы?

или он перекодирует уже закодированные файлы?

или он перекодирует уже закодированные файлы?

т.е. ситуация безвыходная?

[thyrex 1 468]

Конечно. Расширение у файлов ведь остается неизменным

[AndreySvetlov 0]

а код прописывается уникальный для каждого файла или он один для всех файлов?

[thyrex 1 468]

Один для всех

[AndreySvetlov 0]

т.е. решений моей проблемы никаких нет?

[thyrex 1 468]

Нет и вряд ли будет

[AndreySvetlov 0]

Подскажите, а если попробовать след.вариант:

 

я переношу все зашифрованные вирусом файлы на флешку, оставляю на компе только нормальные файлы и запускаю заново эту вредоносную программу. Потом собираю логи и пересылаю Вам, удаляю вирус, переписываю обратно с флешки на комп.ранее зашифрованные файлы и все их вмести лечим?

[thyrex 1 468]

Ничем не поможет расшифровке. Ключ, с помощью которого зашифрованы файлы, сам зашифрован с помощью алгоритма RSA с длиной ключа 2048 бит. При шифровании RSA используется публичный ключ, а для расшифровки используется приватный ключ, известный только самим злодеям.