Перейти к содержанию

шифровальщик Spora.biz

KevLaR
 Поделиться

Рекомендуемые сообщения

KevLaR

KevLaR

Опубликовано
Опубликовано

Здравствуйте, получил в начале февраля 1 сотрудник письмецо с вложенным .doc

Там оказался файл .hta ну и пошло поехало...

Все файлы есть, но кодировка спутанная, подобрать своими силами никак само-собой.

Кодированный док приложил

 

 

 

Есть  образец .exe архивированный если нужно.

Да, юзер приперся с личным ПК, без какого-либо адекватного антивиря, еще и без теневого копирования...

 

Вдруг есть шанс вернуть файлики растяпе...

CollectionLog-2017.02.21-09.52.zip

RectorDecryptor.2.7.0.0_20.02.2017_11.21.29_log.rar

addition+frst.rar

RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY.rar

Уведомление.doc

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AVG Web TuneUp

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY.html [2017-02-09] ()
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
BHO: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files\AVG Web TuneUp\4.3.6.255\AVG Web TuneUp.dll [2017-01-20] (AVG)
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
2017-02-16 09:30 - 2017-02-16 09:30 - 00016715 _____ C:\Users\Администратор\AppData\Roaming\RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY.html
2017-02-16 09:30 - 2017-02-16 09:30 - 00016715 _____ C:\RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY.html
2017-02-16 09:30 - 2017-02-16 09:30 - 00001088 _____ C:\Users\Администратор\AppData\Roaming\RU4E5-66OZZ-RETGA-FFTFZ-TEXKT-GRAHH-TKGXY
2017-02-16 09:29 - 2017-02-16 09:31 - 24822728 _____ C:\Users\Администратор\AppData\Roaming\2493016382
2017-02-09 08:27 - 2017-02-09 08:27 - 00016721 _____ C:\Users\Дмитрий\AppData\Roaming\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY.html
2017-02-09 08:27 - 2017-02-09 08:27 - 00016721 _____ C:\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY.html
2017-02-09 08:27 - 2017-02-09 08:27 - 00001088 _____ C:\Users\Дмитрий\AppData\Roaming\RUEC6-CEOFE-ZFTER-XETFR-TXXAA-ATGHH-RGTRE-ZXYYY
2017-02-09 08:21 - 2017-02-09 10:17 - 27880088 _____ C:\Users\Дмитрий\AppData\Roaming\2493016382
2016-08-26 14:32 - 2016-08-11 16:33 - 5168856 _____ (Mail.Ru) C:\Users\Дмитрий\AppData\Local\Temp\MailRuUpdater.exe
Task: {1A68A3B8-2A79-44AB-9B89-E491D368C0EF} - System32\Tasks\MailRuUpdater => C:\Users\Дмитрий\AppData\Local\Mail.Ru\MailRuUpdater.exe [2017-01-18] (Mail.Ru)
Task: C:\Windows\Tasks\0615tbUpdateInfo.job => C:\ProgramData\Avg_Update_0615tb\0615tb_{50C5F499-1B12-4AE9-82DF-499548ADB19A}.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Вдруг есть шанс вернуть файлики

Увы, пока нет.
KevLaR

KevLaR

Опубликовано
  • Автор
Опубликовано

т.е. единственное что сейчас можно сделать-  это архив всех файлов и ждать пока появится дешифратор?

Такую вероятность рассматривали, в принципе готовы...

Есть ли какая-нибудь функция уведомления? Получить сообщение на почту, например, когда появится способ вернуть файлы.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Fasolka
      Не получается удалить Trojan.Siggen31.49942
      Автор Fasolka
      Обьект: app.dll             Путь: C:\Users\lucif\AppData\Local\Temp\310HkrIkW1H0uUQZkVZi2Qlb5qF\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • Владхелп
      Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
    • shougo04
      [РЕШЕНО] Client Helper вирус, помогите
      Автор shougo04
      Всем привет. Первый раз пишу сюда, отчаялся сильно. Уже качал Malwarebytes который на компе выявил 1 троян, несколько значений реестра от программы DriverIdentifier и что-то ещё, что я забыл. После того как я всё это удалил, вручную почистил реестр от подозрительных, старых, лишних значений, всё равно тыкаю Диспетчер задач - нагрузка ЦП (не видюхи) 40%+ и при открытии диспетчера падает соответственно до 1-3%. Так же использовал программу M1nerSearch, которая так же удалила 4 файла и 1 значение реестра по-моему, лог сохранился, если что прикреплю. 
       
      Я зашёл в Speccy и там обнаружил вкладку "планировщик задач" где увидел очень подозрительные процессы.  В планировщике задач обнаружил Client Helper(который MinerSearch как вирус определял), и Edgeupdate которые как я выяснил могут являться знаками наличия вируса. Вирусы получал крайне редко, и то очень давно, поэтому несильно шарю в них, извините.
      Я сейчас скачаю программу Revo uninstaller и попробую с помощью неё ещё что-нибудь сделать. Так же отмечу что вытаскивал кабель инета, устанавливал CCleaner, чистил комп, чистил реестр с помощью неё, потом обратно инет подключал. Так же исправлял ошибки реестра программой Wise Registry Cleaner.
       
      На всякий случай прикрепил 2 лога от MinerSearch, 1-й в котором указаны кол-во запусков 1 это тот лог, который при первом запуске мне и показал 5 проблем. 
      2 лог это лог уже второй проверки после всех вышеописанных манипуляций с ПК, он не обнаружил проблем, но как видите они остались, так что хз.
       
       
      Скрин подозрительной активности в Планировщике.
       
       
      MinerSearch_12_17_2025_7-15-07_PM.log MinerSearch_12_17_2025_8-23-48_PM.log
    • Кустас
      Подозрение на вирус
      Автор Кустас
      Компьютер начал ОЧЕНЬ сильно тупить, даже проводник пр и входе в папку открывает её секунд 10.
      CollectionLog-2025.12.13-21.05.zip
×
×
  • Создать...