spora Spora ransomware

22 февраля, 2017

Доброго времени суток, Уважаемые!

2 пользователя нашей компании поймали ~~эту заразу~~ этот вирус.

Самое интересное, что поймали они его сервером под управлением Windows Server 2012 R2. Данный сервер является терминальным, благо сервер БД отдельный.

Как итог, отсутствие возможности открыть любой файл .xls, .doc, .docx, .pdf, .jpeg и т.д.

Есть ли инструкции по обеззараживанию ОС? При наличии лицензии на Ваш продукт, моя организация сможет себя обезопасить от подобных инцидентов в дальнейшем. Имеется ли успешный опыт дешифровки поражённых файлов, не прибегая к "услугам" вымогателей?

22 февраля, 2017

Порядок оформления запроса о помощи

22 февраля, 2017

Прошу прощения. Вот:

CollectionLog-2017.02.22-14.43.zip

22 февраля, 2017

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

22 февраля, 2017

отчёты Farbar Recovery:

FarBar.zip

22 февраля, 2017

D:\Users\e.slavich\AppData\Roaming\RU442-6EHGZ-GTREO-RTZTR-XFKTX-KREHH-TRZXR.html
D:\Users\e.slavich\AppData\Roaming\1010374479

D:\Users\IT\AppData\Roaming\RUF63-57XGK-OTOFA-TZTXE-KRTEZ-HFTXE-OOYYY.html

удалите вручную

С расшифровкой помочь не сможем

23 февраля, 2017

thyrex

\

Файлы удалил. При авторизации на сервере под учётками e.slavich и IT сразу открывается spora.biz. Т.е., судя повсему, эта дрянь никуда не делась...

Изменено 23 февраля, 2017 пользователем egor.izbranniy

23 февраля, 2017

Сделайте логи FRST.txt, загрузивших под этими учетными записями

23 февраля, 2017

Вот:

e.slavich.zip

IT.zip

23 февраля, 2017

В учетке e.slavich ничего не должно открываться.

D:\Users\IT\AppData\Roaming\foldmaster.exe проверьте на virustotal.com и пришлите ссылку на результат проверки.

D:\Users\IT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUF63-57XGK-OTOFA-TZTXE-KRTEZ-HFTXE-OOYYY.html
D:\Users\IT\AppData\Roaming\1010374479

почему-то не удалили.

23 февраля, 2017

D:\Users\IT\AppData\Roaming\foldmaster.exe проверьте на virustotal.com и пришлите ссылку на результат проверки.

По данному пути этого файла нет.

D:\Users\IT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUF63-57XGK-OTOFA-TZTXE-KRTEZ-HFTXE-OOYYY.html
D:\Users\IT\AppData\Roaming\1010374479

Почистил.

23 февраля, 2017

Выполните скрипт в AVZ

begin
QuarantineFile('D:\Users\IT\AppData\Roaming\foldmaster.exe','');
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

27 февраля, 2017

KLAN-5888891462

Thank you for sending a file for analysis to the Anti-Virus Lab.

Kaspersky Anti-Virus has scanned files.

No malware detected in files:
quarantine.zip

We will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days.

27 февраля, 2017

Мусор почистили. Больше помочь нечем.

spora Spora ransomware

Рекомендуемые сообщения

egor.izbranniy

thyrex

egor.izbranniy

thyrex

egor.izbranniy

thyrex

egor.izbranniy

thyrex

egor.izbranniy

thyrex

egor.izbranniy

thyrex

egor.izbranniy

thyrex

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum