Перейти к содержанию

Spora ransomware

egor.izbranniy
 Share

Рекомендуемые сообщения

egor.izbranniy Новичок

egor.izbranniy

Опубликовано
Опубликовано

Доброго времени суток, Уважаемые!

 

2 пользователя нашей компании поймали эту заразу этот вирус. 

Самое интересное, что поймали они его сервером под управлением Windows Server 2012 R2. Данный сервер является терминальным, благо сервер БД отдельный. 

Как итог, отсутствие возможности открыть любой файл .xls, .doc, .docx, .pdf, .jpeg и т.д.

 

Есть ли инструкции по обеззараживанию ОС? При наличии лицензии на Ваш продукт, моя организация сможет себя обезопасить от подобных инцидентов в дальнейшем. Имеется ли успешный опыт дешифровки поражённых файлов, не прибегая к "услугам" вымогателей? 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
D:\Users\e.slavich\AppData\Roaming\RU442-6EHGZ-GTREO-RTZTR-XFKTX-KREHH-TRZXR.html

D:\Users\e.slavich\AppData\Roaming\1010374479

D:\Users\IT\AppData\Roaming\RUF63-57XGK-OTOFA-TZTXE-KRTEZ-HFTXE-OOYYY.html

 

удалите вручную

 

С расшифровкой помочь не сможем

Ссылка на комментарий
Поделиться на другие сайты
egor.izbranniy Новичок

egor.izbranniy

Опубликовано
  • Автор
Опубликовано (изменено)

thyrex

\

 

Файлы удалил. При авторизации на сервере под учётками e.slavich и IT сразу открывается spora.biz. Т.е., судя повсему, эта дрянь никуда не делась...

Изменено пользователем egor.izbranniy
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

В учетке e.slavich ничего не должно открываться.

D:\Users\IT\AppData\Roaming\foldmaster.exe проверьте на virustotal.com и пришлите ссылку на результат проверки.
 

D:\Users\IT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUF63-57XGK-OTOFA-TZTXE-KRTEZ-HFTXE-OOYYY.html
D:\Users\IT\AppData\Roaming\1010374479

 

почему-то не удалили.

Ссылка на комментарий
Поделиться на другие сайты
egor.izbranniy Новичок

egor.izbranniy

Опубликовано
  • Автор
Опубликовано

 


D:\Users\IT\AppData\Roaming\foldmaster.exe проверьте на virustotal.com и пришлите ссылку на результат проверки.

 

По данному пути этого файла нет. 

 

D:\Users\IT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUF63-57XGK-OTOFA-TZTXE-KRTEZ-HFTXE-OOYYY.html
D:\Users\IT\AppData\Roaming\1010374479

 

Почистил.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
QuarantineFile('D:\Users\IT\AppData\Roaming\foldmaster.exe','');
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Ссылка на комментарий
Поделиться на другие сайты
egor.izbranniy Новичок

egor.izbranniy

Опубликовано
  • Автор
Опубликовано

KLAN-5888891462

 

Thank you for sending a file for analysis to the Anti-Virus Lab.

Kaspersky Anti-Virus has scanned files.

No malware detected in files:
quarantine.zip

We will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Александр Жуков
      Вирус decrypex@tuta.io
      От Александр Жуков
      Доброго времени суток. Случилась вот такая беда - словили вирус-вымогатель на сервер c ОС Windows Server 2012R2 Standart.
      Зашифровались все данные, включая файлы форматов zip, rar, bak, mdf. 
      На сервер никто из пользователей не заходил. Подключились удаленно.
       
      У всех зараженных файлов поменялось расширение на JAVA и к имени добавилось "A0AED89E.decrypex@tuta.io".
       
      Может кто-то сталкивался с таким типом шифровки? 
       
      P.S. Вышел на диалог с вымогателями. Изначально просили 0,4 BTC (биткоина), после уговоров снизили цену до 1500$, что всё равно много.
      log28.11.17.txt
      Romexis - Сброс настроек - v2017-01-25.pdf.id-A0AED89E.decrypex@tuta.io.rar
      FILES ENCRYPTED.txt

      Check_Browsers_LNK.log
      HiJackThis.log
    • Andkit
      @WanaDecryptor@ посетил и меня
      От Andkit
      Вчера около 13:00 по МСК у меня зашифровались файлы на компьютере! 
       
      После этого пк перезагрузился и рабочий стол перестал работать, вообще О_о ( судя потом, я понял что там должен был быть баннер ) 
      пришлось аварийно выключить ноут и откатить систему, после этого, я проверил пк на вирусы антивирусной утилитой AdwCleaner а потом Dr Weber Cureit - он нашел только...(прикладываю скрин)  
       
      Зашифрованные файлы имеют розширение .WNCRY 
       
      В каждой папке на диску D:\   иметься 2 файла:  
      @Please_Read_Me@.txt  ;   @WanaDecryptor@.exe (также был зашифрован и рабочий стол, но на диску С:\ только он, насколько пока мне это известно) 
       
      P.S. Никаких обновлений я пока не устанавливал, и портов не закрывал, жду следующих указаний от вас .....????

      CollectionLog-2017.05.13-20.11.zip
    • rmr
      Spora ransomware удалить вирус с компьютеров
      От rmr
      Здравствуйте!
       
       
      Минимум два компьютера в локальной сети заразились Spora ransomware.
      Сценарий классический: сотрудник по почте получает архив zip, открывает и через некоторое время все файлы на компьютере зашифровались.
       
      Установлен KES 10, базы, правда, давно не обновлялись... Он молчал.
      Полное сканирование тоже ничего не дало.
       
      Virus Removal Tool запускался (релиз последний, скачан 16.03.17)
      ничего не обнаружил.
       
      Отчет прикреплен к сообщению
       
       
       
       
      Также заразились открытые диски на других компьютерах.
       
       
       
      Помогите, пожалуйста, удалить вирус и попытаться восстановить данные.
    • dim2906
      Шифровальщик spora ransomware
      От dim2906
      Здравствуйте! 7 марта пришло письмо на почту. Сотрудница скачала и запустила файл с расширением .wsf. В итоге были зашифрованы файлы: word, excel, pdf, jpg, sqlite, dwg. Антивирусник не стоял на то время. Заметили когда файлы были поправлены вирусом. Возможно ли подобрать ключ для расшифровки?
       
      CollectionLog-2017.03.12-14.35.zip
      Отчет FRST64( Addition & FRST).rar
      Зашифрованные файлы.rar
    • T3mpAktus
      Поплись на Spora Ransomware
      От T3mpAktus
      Рабочая сеть попалась на Spora Ransomware.. на рабочем столе и в папках, о которых пишут зарубежные форумы, отсутсвует файл с раширением .key, который нужен для того, чтобы протестировать функциональность сайта spora.. есть файл на рабочам столе только с уникальным id для входа на сайт spora.
      Вопрос, разработан ли уже метод расшифровки всех файлов? И что делать в данной ситуации сейчас?
×
×
  • Создать...