Перейти к содержанию

шифровальщик Spora.biz

KevLaR
 Поделиться

Рекомендуемые сообщения

KevLaR

KevLaR

Опубликовано
Опубликовано

Здравствуйте, получил в начале февраля 1 сотрудник письмецо с вложенным .doc

Там оказался файл .hta ну и пошло поехало...

Все файлы есть, но кодировка спутанная, подобрать своими силами никак само-собой.

Кодированный док приложил

 

 

 

Есть  образец .exe архивированный если нужно.

Да, юзер приперся с личным ПК, без какого-либо адекватного антивиря, еще и без теневого копирования...

 

Вдруг есть шанс вернуть файлики растяпе...

CollectionLog-2017.02.21-09.52.zip

RectorDecryptor.2.7.0.0_20.02.2017_11.21.29_log.rar

addition+frst.rar

RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY.rar

Уведомление.doc

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AVG Web TuneUp

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY.html [2017-02-09] ()
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
BHO: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files\AVG Web TuneUp\4.3.6.255\AVG Web TuneUp.dll [2017-01-20] (AVG)
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
2017-02-16 09:30 - 2017-02-16 09:30 - 00016715 _____ C:\Users\Администратор\AppData\Roaming\RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY.html
2017-02-16 09:30 - 2017-02-16 09:30 - 00016715 _____ C:\RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY.html
2017-02-16 09:30 - 2017-02-16 09:30 - 00001088 _____ C:\Users\Администратор\AppData\Roaming\RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY
2017-02-16 09:29 - 2017-02-16 09:31 - 24822728 _____ C:\Users\Администратор\AppData\Roaming\2493016382
2017-02-09 08:27 - 2017-02-09 08:27 - 00016721 _____ C:\Users\Дмитрий\AppData\Roaming\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY.html
2017-02-09 08:27 - 2017-02-09 08:27 - 00016721 _____ C:\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY.html
2017-02-09 08:27 - 2017-02-09 08:27 - 00001088 _____ C:\Users\Дмитрий\AppData\Roaming\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY
2017-02-09 08:21 - 2017-02-09 10:17 - 27880088 _____ C:\Users\Дмитрий\AppData\Roaming\2493016382
2016-08-26 14:32 - 2016-08-11 16:33 - 5168856 _____ (Mail.Ru) C:\Users\Дмитрий\AppData\Local\Temp\MailRuUpdater.exe
Task: {1A68A3B8-2A79-44AB-9B89-E491D368C0EF} - System32\Tasks\MailRuUpdater => C:\Users\Дмитрий\AppData\Local\Mail.Ru\MailRuUpdater.exe [2017-01-18] (Mail.Ru)
Task: C:\Windows\Tasks\0615tbUpdateInfo.job => C:\ProgramData\Avg_Update_0615tb\0615tb_{50C5F499-1B12-4AE9-82DF-499548ADB19A}.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Вдруг есть шанс вернуть файлики

Увы, пока нет.
KevLaR

KevLaR

Опубликовано
  • Автор
Опубликовано

т.е. единственное что сейчас можно сделать-  это архив всех файлов и ждать пока появится дешифратор?

Такую вероятность рассматривали, в принципе готовы...

Есть ли какая-нибудь функция уведомления? Получить сообщение на почту, например, когда появится способ вернуть файлы.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Quester1337
      Подозрение на вирус(ратник или стиллер)
      Автор Quester1337
      После скачки файла из интернета с проверенного ресурса было много срабатываний антивируса, однако я разрешил софту работать, вроде бы ничего странного не случалось, теперь я его удалил и хотел бы удостовериться, что его не осталось, т.к. в дз видел процесс повершелл который грузит цп(17-30%). Логи прилагаю.
      CollectionLog-2026.01.16-15.50.zip
    • pro100danya
      Угроза DPC:PowerShell.AVKill.10
      Автор pro100danya
      перестал работать запрет ,скачал фикс с ютуба после перезапуска пк удалился хром,скачал dr web и
      постоянно поврежденны файлы hosts и Chromiumconfig и недавно 200+ раз др веб отклонил DPC:PowerShell.AVKill.10
      я решил закинуть в вирус тотал ехешник и там было куча вирусов.
      пожалуйста помогите мне удалить вирус я не понимаю как его удалить но dr web постоянно детектит все его действия но АВ мне надо выключить для установки различных программ но я боюсь за свой пк
      также не хочу просто чтоб у меня был вирус на пк
    • Romchik45
      вирус закрывает антивирус
      Автор Romchik45
      1. Удалил антивирус 360 security.
      2. Захожу в антивирус винды (чтобы восстановить нужный мне файл) -журнал защиты и хочу восстановить один файл, в итоге там появляется непонятный файл и антивирус сам закрывается.
      3. Провел полное сканирование с помощью dr web cureit и обнаружились угрозы, переместились в карантин.
      После этого всего всеравно антивирус закрывается как на видео.
      Прилагаю еще скриншот с двумя непонятными программами которые установлены на пк.
      у меня виндовс 10 на пк
      https://www.youtube.com/watch?v=j5aPu8TweZI

      CollectionLog-2026.01.14-20.08.zip Архив ZIP - WinRAR.zip
    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
    • Beshan
      После kms auto появляется самовосстанавливающаяся папка с trojan (czyuzabpfprl и ztbhbqffszlu)
      Автор Beshan
      Добрый день, пытался активировать виндовс через kms auto, после чего начали появляться самовосстанавливающиеся папки с файлом внутри, которые антивирус бесконечно теперь удаляет. Прикрепляю логи с Farbar Recovery Scan Tool. Спасибо
      Addition.zip FRST.zip
×
×
  • Создать...