Перейти к содержанию

шифровальщик Spora.biz

KevLaR
 Поделиться

Рекомендуемые сообщения

KevLaR

KevLaR

Опубликовано
Опубликовано

Здравствуйте, получил в начале февраля 1 сотрудник письмецо с вложенным .doc

Там оказался файл .hta ну и пошло поехало...

Все файлы есть, но кодировка спутанная, подобрать своими силами никак само-собой.

Кодированный док приложил

 

 

 

Есть  образец .exe архивированный если нужно.

Да, юзер приперся с личным ПК, без какого-либо адекватного антивиря, еще и без теневого копирования...

 

Вдруг есть шанс вернуть файлики растяпе...

CollectionLog-2017.02.21-09.52.zip

RectorDecryptor.2.7.0.0_20.02.2017_11.21.29_log.rar

addition+frst.rar

RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY.rar

Уведомление.doc

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AVG Web TuneUp

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY.html [2017-02-09] ()
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
BHO: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files\AVG Web TuneUp\4.3.6.255\AVG Web TuneUp.dll [2017-01-20] (AVG)
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
2017-02-16 09:30 - 2017-02-16 09:30 - 00016715 _____ C:\Users\Администратор\AppData\Roaming\RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY.html
2017-02-16 09:30 - 2017-02-16 09:30 - 00016715 _____ C:\RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY.html
2017-02-16 09:30 - 2017-02-16 09:30 - 00001088 _____ C:\Users\Администратор\AppData\Roaming\RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY
2017-02-16 09:29 - 2017-02-16 09:31 - 24822728 _____ C:\Users\Администратор\AppData\Roaming\2493016382
2017-02-09 08:27 - 2017-02-09 08:27 - 00016721 _____ C:\Users\Дмитрий\AppData\Roaming\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY.html
2017-02-09 08:27 - 2017-02-09 08:27 - 00016721 _____ C:\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY.html
2017-02-09 08:27 - 2017-02-09 08:27 - 00001088 _____ C:\Users\Дмитрий\AppData\Roaming\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY
2017-02-09 08:21 - 2017-02-09 10:17 - 27880088 _____ C:\Users\Дмитрий\AppData\Roaming\2493016382
2016-08-26 14:32 - 2016-08-11 16:33 - 5168856 _____ (Mail.Ru) C:\Users\Дмитрий\AppData\Local\Temp\MailRuUpdater.exe
Task: {1A68A3B8-2A79-44AB-9B89-E491D368C0EF} - System32\Tasks\MailRuUpdater => C:\Users\Дмитрий\AppData\Local\Mail.Ru\MailRuUpdater.exe [2017-01-18] (Mail.Ru)
Task: C:\Windows\Tasks\0615tbUpdateInfo.job => C:\ProgramData\Avg_Update_0615tb\0615tb_{50C5F499-1B12-4AE9-82DF-499548ADB19A}.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Вдруг есть шанс вернуть файлики

Увы, пока нет.
KevLaR

KevLaR

Опубликовано
  • Автор
Опубликовано

т.е. единственное что сейчас можно сделать-  это архив всех файлов и ждать пока появится дешифратор?

Такую вероятность рассматривали, в принципе готовы...

Есть ли какая-нибудь функция уведомления? Получить сообщение на почту, например, когда появится способ вернуть файлы.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Vyatka
      Майнер и возможно руткит
      Автор Vyatka
      Добрый день. На ноутбуке заметил просадку фпс в играх.  Заметил нагрузку на процессор (спадает спустя секунду), вентиляторы вообще не крутились.
      Переустановил систему. После переустановки нагрузка на процессор осталась и вентиляторы начали крутить в отсечку.
      Также судя по всему в системе прописан скрытый администратор.
      После неудачных попыток вернуть контроль над ноутбуком, решил проверить рабочий пк (пишу с него). На рабочем пк обнаружилась та же проблема.
      Логи прикрепляю.
      CollectionLog-2025.10.03-15.40.zip
    • Матвей_123
      [РЕШЕНО] Вирус после использования KMS Auto
      Автор Матвей_123
      Вирус в папке ProgramData, создает папку qhpxndiguijf. Началось после того, как хотел полноCollectionLog-2025.09.25-12.14.zipCollectionLog-2025.09.25-12.14.zipстью удалить старый офис на ноутбуке через KMS Auto. Файл логов прикладываю. Помогите, пожалуйста, ноутбук рабочий, не могу полностью сносить виндовс, заранее спасибо
    • EvgeniyPoluchil
      DPC:PowerShell.AVKILL.10
      Автор EvgeniyPoluchil
      Здравствуйте, dr.web начал находить каждые 10-15 секунд угрозу под названием DPC:PowerShell.AVKILL.10, при этом иногда в уведомлении появляется некий троян и сразу же исчезает. Дополнительно было замечено, что подгрузка при включении аппарата увеличилась, так и с ОЗУ.CollectionLog-2025.09.25-00.00.zip
    • Fiadosiy
      вирус
      Автор Fiadosiy
      поймал вирус, жрет процессор а ДЗ не показывается думал на майнер доктор вроде удалил антивирусники не видят но запускаются 
       
      CollectionLog-2025.09.23-17.39.zip
    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
×
×
  • Создать...