Перейти к содержанию

шифровальщик Spora.biz

KevLaR
 Поделиться

Рекомендуемые сообщения

KevLaR

KevLaR

Опубликовано
Опубликовано

Здравствуйте, получил в начале февраля 1 сотрудник письмецо с вложенным .doc

Там оказался файл .hta ну и пошло поехало...

Все файлы есть, но кодировка спутанная, подобрать своими силами никак само-собой.

Кодированный док приложил

 

 

 

Есть  образец .exe архивированный если нужно.

Да, юзер приперся с личным ПК, без какого-либо адекватного антивиря, еще и без теневого копирования...

 

Вдруг есть шанс вернуть файлики растяпе...

CollectionLog-2017.02.21-09.52.zip

RectorDecryptor.2.7.0.0_20.02.2017_11.21.29_log.rar

addition+frst.rar

RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY.rar

Уведомление.doc

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AVG Web TuneUp

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY.html [2017-02-09] ()
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
BHO: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files\AVG Web TuneUp\4.3.6.255\AVG Web TuneUp.dll [2017-01-20] (AVG)
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
2017-02-16 09:30 - 2017-02-16 09:30 - 00016715 _____ C:\Users\Администратор\AppData\Roaming\RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY.html
2017-02-16 09:30 - 2017-02-16 09:30 - 00016715 _____ C:\RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY.html
2017-02-16 09:30 - 2017-02-16 09:30 - 00001088 _____ C:\Users\Администратор\AppData\Roaming\RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY
2017-02-16 09:29 - 2017-02-16 09:31 - 24822728 _____ C:\Users\Администратор\AppData\Roaming\2493016382
2017-02-09 08:27 - 2017-02-09 08:27 - 00016721 _____ C:\Users\Дмитрий\AppData\Roaming\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY.html
2017-02-09 08:27 - 2017-02-09 08:27 - 00016721 _____ C:\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY.html
2017-02-09 08:27 - 2017-02-09 08:27 - 00001088 _____ C:\Users\Дмитрий\AppData\Roaming\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY
2017-02-09 08:21 - 2017-02-09 10:17 - 27880088 _____ C:\Users\Дмитрий\AppData\Roaming\2493016382
2016-08-26 14:32 - 2016-08-11 16:33 - 5168856 _____ (Mail.Ru) C:\Users\Дмитрий\AppData\Local\Temp\MailRuUpdater.exe
Task: {1A68A3B8-2A79-44AB-9B89-E491D368C0EF} - System32\Tasks\MailRuUpdater => C:\Users\Дмитрий\AppData\Local\Mail.Ru\MailRuUpdater.exe [2017-01-18] (Mail.Ru)
Task: C:\Windows\Tasks\0615tbUpdateInfo.job => C:\ProgramData\Avg_Update_0615tb\0615tb_{50C5F499-1B12-4AE9-82DF-499548ADB19A}.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Вдруг есть шанс вернуть файлики

Увы, пока нет.
KevLaR

KevLaR

Опубликовано
  • Автор
Опубликовано

т.е. единственное что сейчас можно сделать-  это архив всех файлов и ждать пока появится дешифратор?

Такую вероятность рассматривали, в принципе готовы...

Есть ли какая-нибудь функция уведомления? Получить сообщение на почту, например, когда появится способ вернуть файлы.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Николай212322122
      Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
    • Fasolka
      Не получается удалить Trojan.Siggen31.49942
      Автор Fasolka
      Обьект: app.dll             Путь: C:\Users\lucif\AppData\Local\Temp\310HkrIkW1H0uUQZkVZi2Qlb5qF\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • Владхелп
      [РЕШЕНО] Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
×
×
  • Создать...