Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

файлы зашифрованы Trojan.Encoder.10103 DrWeb не помог

Иван Гогин
 Поделиться

Рекомендуемые сообщения

Иван Гогин

Иван Гогин

Опубликовано
Опубликовано

В почте попался на "письмо от контрагента", дважды кликнув на автомате по распакованному файлу, замаскированному под .doc с размывающей маской. Как результат - зашифрованы .docx, .xlsx, .pdf и .jpeg файлы. Установлен лицензионный DrWeb. Их саппорт написал, что всё пропало, так как зашифровано Trojan.Encoder.10103, а от него спасения нет, но файл из письма они теперь обозначили как вредоносный. Что интересно, архив я получил с mail.ru на mail.ru, а вот переслать его знакомому для изучения уже не смог - mail.ru уже определил его как заражённый. Существуют ли какие-либо шансы восстановления, хотя бы платно? Лучше заплатить честному человеку за работу, чем преступнику за преступление.

В приложении, кроме логов, зашифрованные .docx и .xlsx


Похоже, поторопился выложить лог...

данные Арапова.docx

CollectionLog-2017.03.10-22.41.zip

зарплата.xlsx

CollectionLog-2017.03.10-22.41.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

Это Spora. Никаких шансов на расшифровку.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-03-10 11:44 - 2017-03-10 11:44 - 0016650 _____ () C:\Users\Ivan\AppData\Roaming\RUC0D-22OOF-ZTXZG-XTOTO-XTXXX-ZFETO-AHYYY.html
2017-03-10 11:42 - 2017-03-10 11:44 - 13311192 _____ () C:\Users\Ivan\AppData\Roaming\1748359590
IFEO: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\dtlite.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\effectextractor.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\intelsmallbusinessadvantage.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\isoviewer.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\javacpl.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\javaw.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\javaws.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\lsc.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\nitropdf.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\pdvdcreate.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\pdvdlaunchpolicy.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\power2go.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\powerdvdcinema10.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\producer.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\skype.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\steam.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\tvsu.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\uninstall.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\viber.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
Startup: C:\Users\Ivan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUC0D-22OOF-ZTXZG-XTOTO-XTXXX-ZFETO-AHYYY.html [2017-03-10] ()
HKLM-x32\...\Run: [] => [X]
Task: {EDCA1563-92D3-467F-95D3-1D1C58741A01} - \WPD\SqmUpload_S-1-5-21-3582556321-3219786501-908861160-1002 -> No File <==== ATTENTION
Task: {E0C3C6AB-F6CA-4FD2-9B13-2B6EA2069422} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {C6F9FEEF-7D46-4905-882B-974077780CF3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {8AE9B4A4-F344-426F-9E06-1297BA45B7F3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {7C717254-CEAF-40F6-B7AE-A0BBE55C9010} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {86AF4EDC-E24C-4CF7-A9C3-E559581881E7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {53D1268C-E052-472F-BC32-8CC0B91DF5CE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {540BBDD5-B6B6-4AB8-987C-5B040B988C39} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {65D3BADA-EDF3-4963-93E1-ABF736282290} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {4C626F61-CBC8-4939-9066-8C5030315D89} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {32F0A4F9-8650-4A64-A091-C5D7E8140D75} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {2B4B6CF9-BF95-4D33-92A1-471E9CBF6428} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {2C018980-E2C0-4C61-B7D7-32521FE66A1D} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {14A5068E-28FD-438F-A41C-9032EEC58872} - \Microsoft\Windows\Setup\xtgt\refreshxtgtconfig -> No File <==== ATTENTION
Task: {1BA846E9-39D4-4372-B46F-C4EF201ED998} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
thyrex

thyrex

Опубликовано
Опубликовано

Можете оставить. Но вся надежда скорее всего только на слив ключей самими злодеями

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alegator2222
      Шифровальщик SPORA
      Автор alegator2222
      Добрый день коллеги, подверглись атаки вируса spora, шифрует файлы в hta, есть способ расшифровать? 
      пример_hta_файла.rar
    • stasnakhlov
      зашифровали файлы .hta
      Автор stasnakhlov
      Добрый день. 
       
      Проблема следующая: через почтовый клиент был открыт файл с вирусом, сам комп не заразился, а вот рабочий сервер пострадал, половина файлов за шифровались под расширение .hta . 
      CollectionLog-2017.10.25-14.04.zip
    • Viki
      Шифровальщик Hta
      Автор Viki
      Пришло письмо на электронную почту, с содержимым вроде "документы проверенны, с нашей стороны все в порядке, посмотрите с вашей" и прикрепленный файл hta, открыла, все документы на рабочем столе стали с расширением hta. исчезли все данные с 1с кварта и т.д. Как можно все восстановить подскажите пожалуйста
    • mixali4
      Шифровальщик Spora
      Автор mixali4
      Доброго времени суток. С почтового ящика qeer@mail.ru пришло письмо со следующим содержимым:
      Случайно запустил на компьютере файл, который пришел в архиве.
      Вирус зашифровал много файлов, но я успел вовремя отрубить, файлы преобразовались в расширения типа *.doc.hta, *.xls.hta. При открытии файла требует деньги, почта spora.help@gmail.com.
      Как расшифровать данные файлы, что вообще можно сделать?
      Документы очень важные. Ребята помогите пожалуйста.
      Спасибо!!!
    • Владимир72рус
      поймали шифровальщик spora, как дешифровать файлы?
      Автор Владимир72рус
      Вчера на работе у нас произошел инцидент, одна наша сотрудница приняла письмо по почте, от неизвестного источника, соответственно распаковала и открыла файл, сама того не понимая, что это был скрипт.
      После чего вирус начал делать свои дела на компе и в сети, то есть начал шифровать файлы, параллельно производил поиск в сети всех расширенных папок и начал шифровать все файлы.
      выкладываю файл со скриптом, а так же фото рабочего стола
       

      Строгое предупреждение от модератора Mark D. Pearlstone не выкладывайте вредоносные и потенциально вредоносные файлы и ссылки на форум.





×
×
  • Создать...