Поймали Spora

[Drom]

Добрый день вчера пришел вордовский документ с вложением, после открытия которого 1 ПК и половина файлообменника (тот диск который был доступен для этого ПК зашифровало doc и excel) На пк ничего ценного не было, а вот с сервером большая проблема. (Были включены теневые копии) Лог с сервака прикладываю.

На данный момент сервак находится в безопасном режиме (идет проверка kvrt)

CollectionLog-2017.02.28-14.58.zip

[Drom]

Ребят я понимаю что с расшифровкой данной заразы Вы мне сейчас не поможете, помогите проверить осталась она на серваке еще или нет.....

И еще 1 вопрос мб не совсем в тему НО данная гадость пока искали ПК с которого идет заражение успела пошифровать половину файлов .doc и .excel на одном из файлобменников сервака, остальные не тронула или не успела так же были частично удалены теневые копии этого диска (остались лиш 2 последние, после того как файлы уже были зашифрованы) Чисто теоретически возможна ли восстановление теневой копии более ранней версии?

[Sandor]

Здравствуйте!

 

Чтобы удалить возможные следы, нужны логи с ПК, на котором вымогатель был запущен, а не с сервера.

[Drom]

Прикрепляю файл непосредственно с зараженной машины.

CollectionLog-2017.03.01-14.19.zip

[Sandor]

1. Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Drom]

Сделано

Addition.txt

ClearLNK-01.03.2017_15-41.log

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\Mihaylov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU2D8-32XRH-HAKTX-RHREE-THRKR-HTXZX-AZTFH-OXETX-KROZY.html [2017-02-28] ()
HKU\S-1-5-21-3429369359-2408895556-3693955657-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=profitraf3
SearchScopes: HKU\S-1-5-21-3429369359-2408895556-3693955657-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=blackbear2
2017-03-01 10:04 - 2015-03-07 14:06 - 00000000 ____D C:\Users\Mihaylov\AppData\Local\IObit installer
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Drom]

Готово

Fixlog.txt

[Sandor]

На этом все. Можете проверить уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Drom]

Спасибо