spora Spora ransomware

[egor.izbranniy]

Доброго времени суток, Уважаемые!

 

2 пользователя нашей компании поймали эту заразу этот вирус. 

Самое интересное, что поймали они его сервером под управлением Windows Server 2012 R2. Данный сервер является терминальным, благо сервер БД отдельный. 

Как итог, отсутствие возможности открыть любой файл .xls, .doc, .docx, .pdf, .jpeg и т.д.

 

Есть ли инструкции по обеззараживанию ОС? При наличии лицензии на Ваш продукт, моя организация сможет себя обезопасить от подобных инцидентов в дальнейшем. Имеется ли успешный опыт дешифровки поражённых файлов, не прибегая к "услугам" вымогателей? 

[thyrex]

Порядок оформления запроса о помощи

[egor.izbranniy]

Прошу прощения. Вот:

CollectionLog-2017.02.22-14.43.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[egor.izbranniy]

отчёты Farbar Recovery:

FarBar.zip

[thyrex]

D:\Users\e.slavich\AppData\Roaming\RU442-6EHGZ-GTREO-RTZTR-XFKTX-KREHH-TRZXR.html

D:\Users\e.slavich\AppData\Roaming\1010374479

D:\Users\IT\AppData\Roaming\RUF63-57XGK-OTOFA-TZTXE-KRTEZ-HFTXE-OOYYY.html

 

удалите вручную

 

С расшифровкой помочь не сможем

[egor.izbranniy]

thyrex

\

 

Файлы удалил. При авторизации на сервере под учётками e.slavich и IT сразу открывается spora.biz. Т.е., судя повсему, эта дрянь никуда не делась...

Изменено 23 февраля, 2017 пользователем egor.izbranniy

[thyrex]

Сделайте логи FRST.txt, загрузивших под этими учетными записями

[egor.izbranniy]

Вот: 

 

e.slavich.zip

IT.zip

[thyrex]

В учетке e.slavich ничего не должно открываться.

D:\Users\IT\AppData\Roaming\foldmaster.exe проверьте на virustotal.com и пришлите ссылку на результат проверки.
 

D:\Users\IT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUF63-57XGK-OTOFA-TZTXE-KRTEZ-HFTXE-OOYYY.html
D:\Users\IT\AppData\Roaming\1010374479

 

почему-то не удалили.

[egor.izbranniy]

 

D:\Users\IT\AppData\Roaming\foldmaster.exe проверьте на virustotal.com и пришлите ссылку на результат проверки.

 

По данному пути этого файла нет. 

 

D:\Users\IT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUF63-57XGK-OTOFA-TZTXE-KRTEZ-HFTXE-OOYYY.html
D:\Users\IT\AppData\Roaming\1010374479

 

Почистил.

[thyrex]

Выполните скрипт в AVZ

begin
QuarantineFile('D:\Users\IT\AppData\Roaming\foldmaster.exe','');
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

[egor.izbranniy]

KLAN-5888891462

 

Thank you for sending a file for analysis to the Anti-Virus Lab.

Kaspersky Anti-Virus has scanned files.

No malware detected in files:
quarantine.zip

We will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days.

[thyrex]

Мусор почистили. Больше помочь нечем.