Перейти к содержанию

Spora ransomware

egor.izbranniy
 Share

Рекомендуемые сообщения

egor.izbranniy Новичок

egor.izbranniy

Опубликовано
Опубликовано

Доброго времени суток, Уважаемые!

 

2 пользователя нашей компании поймали эту заразу этот вирус. 

Самое интересное, что поймали они его сервером под управлением Windows Server 2012 R2. Данный сервер является терминальным, благо сервер БД отдельный. 

Как итог, отсутствие возможности открыть любой файл .xls, .doc, .docx, .pdf, .jpeg и т.д.

 

Есть ли инструкции по обеззараживанию ОС? При наличии лицензии на Ваш продукт, моя организация сможет себя обезопасить от подобных инцидентов в дальнейшем. Имеется ли успешный опыт дешифровки поражённых файлов, не прибегая к "услугам" вымогателей? 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
D:\Users\e.slavich\AppData\Roaming\RU442-6EHGZ-GTREO-RTZTR-XFKTX-KREHH-TRZXR.html

D:\Users\e.slavich\AppData\Roaming\1010374479

D:\Users\IT\AppData\Roaming\RUF63-57XGK-OTOFA-TZTXE-KRTEZ-HFTXE-OOYYY.html

 

удалите вручную

 

С расшифровкой помочь не сможем

Ссылка на комментарий
Поделиться на другие сайты
egor.izbranniy Новичок

egor.izbranniy

Опубликовано
  • Автор
Опубликовано (изменено)

thyrex

\

 

Файлы удалил. При авторизации на сервере под учётками e.slavich и IT сразу открывается spora.biz. Т.е., судя повсему, эта дрянь никуда не делась...

Изменено пользователем egor.izbranniy
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

В учетке e.slavich ничего не должно открываться.

D:\Users\IT\AppData\Roaming\foldmaster.exe проверьте на virustotal.com и пришлите ссылку на результат проверки.
 

D:\Users\IT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUF63-57XGK-OTOFA-TZTXE-KRTEZ-HFTXE-OOYYY.html
D:\Users\IT\AppData\Roaming\1010374479

 

почему-то не удалили.

Ссылка на комментарий
Поделиться на другие сайты
egor.izbranniy Новичок

egor.izbranniy

Опубликовано
  • Автор
Опубликовано

 


D:\Users\IT\AppData\Roaming\foldmaster.exe проверьте на virustotal.com и пришлите ссылку на результат проверки.

 

По данному пути этого файла нет. 

 

D:\Users\IT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUF63-57XGK-OTOFA-TZTXE-KRTEZ-HFTXE-OOYYY.html
D:\Users\IT\AppData\Roaming\1010374479

 

Почистил.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
QuarantineFile('D:\Users\IT\AppData\Roaming\foldmaster.exe','');
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Ссылка на комментарий
Поделиться на другие сайты
egor.izbranniy Новичок

egor.izbranniy

Опубликовано
  • Автор
Опубликовано

KLAN-5888891462

 

Thank you for sending a file for analysis to the Anti-Virus Lab.

Kaspersky Anti-Virus has scanned files.

No malware detected in files:
quarantine.zip

We will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • LamerMan
      Помощь с расшифровкой Elbie Ransomware
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • ksp_user
      Ransomware attack ( id[bMtMPqp].stop ) in my PC and Google drive
      От ksp_user
      Two months ago, suddenly, my Windows 11 PC refused me login. I tried several methods and everything failed and lead to fully format the PC. 
       
      Usually, I keep a copy of my notes in Google Drive so I did not worry much. 
       
      But I have noticed that my Google Drive also infected by a ransomware almost all the files there, renamed them to <filename>.<file extention>.id[bMtMPqp].stop and encrypted. 
       
      Since I couldn't log in to my PC , most probably ransomware encrypted the system files, I did not see any ransom notes or anything.
       
      Is it possible to identify the ransomware and decrypt the files in the Google Drive?
       
      Thanks.  
    • yaregg
      Diamond Ransomware
      От yaregg
      Вчера подключался некий "удалённый специалист" через anydesk.RDP порты были закрыты. Сегодня были проблемы с логином (пароль не походил). Зашёл под администратором, всё зашифровано.
      При помощи KVRT поймал исполняемый файл. Судя по всему, это LockBit V3 black и на расшифровку можно не рассчитывать?
       
       
       
       
      файлы.rarAddition.txtFRST.txt
    • Paulo César
      Infecção de ransomware STOP (Djvu)
      От Paulo César
      Boa tarde...
       
      Estou passando por essa praga que é o ransomware, preciso de ajuda caso alguém o possa fazer. 
      Passei o arquivo pelo site id-ransomware.malwarehunterteam.com e a mensagem que o STOP (Djavu). Alguém conhece?... Tem uma ferramenta para indicar?
×
×
  • Создать...