Перейти к содержанию

Поймал SPORу

Станислав Ненашев

Автор Станислав Ненашев
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Станислав Ненашев

Станислав Ненашев

Опубликовано
Опубликовано

Добрый день!!! На днях на файловый сервер прилетел вирус SPORA, зашифровал все файлы. Есть шанс вылечить и расшифровать всё? 

post-44602-0-98384200-1489477410_thumb.jpg

RUE82.rar

Sandor

Sandor

Опубликовано
Опубликовано

На момент заражения была ли включена эта настройка?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Станислав Ненашев

Станислав Ненашев

Опубликовано
  • Автор
Опубликовано

На момент заражения была ли включена эта настройка?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

На момент заражения была ли включена эта настройка? не была произведена (

Addition.txt

FRST.txt

Shortcut.txt

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
FF Extension: (No Name) - C:\Program Files (x86)\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} [not found]
2017-03-13 16:16 - 2017-03-13 16:16 - 04542848 ____R C:\Users\ava\AppData\Roaming\RUF10-A5XZG-GHTAZ-ERTXK-ORTOE-RFTXO-AZOTF-HFYYY.LST
2017-03-13 16:16 - 2017-03-13 16:16 - 00014522 ____R C:\Users\ava\Desktop\RUF10-A5XZG-GHTAZ-ERTXK-ORTOE-RFTXO-AZOTF-HFYYY.HTML
2017-03-13 16:16 - 2017-03-13 16:16 - 00014522 ____R C:\Users\ava\AppData\Roaming\RUF10-A5XZG-GHTAZ-ERTXK-ORTOE-RFTXO-AZOTF-HFYYY.HTML
2017-03-13 15:25 - 2017-03-13 15:25 - 00001088 ____R C:\Users\ava\Desktop\RUF10-A5XZG-GHTAZ-ERTXK-ORTOE-RFTXO-AZOTF-HFYYY.KEY
2017-03-13 15:25 - 2017-03-13 15:25 - 00001088 ____R C:\Users\ava\AppData\Roaming\RUF10-A5XZG-GHTAZ-ERTXK-ORTOE-RFTXO-AZOTF-HFYYY.KEY
2017-03-13 15:23 - 2017-03-13 16:16 - 06138224 _____ C:\Users\ava\AppData\Roaming\1646356717
2017-03-07 12:09 - 2017-03-07 12:09 - 00001086 _____ C:\Program Files (x86).lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001082 _____ C:\WindowsImageBackup.lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001078 _____ C:\ExchangeSetupLogs.lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001062 _____ C:\Program Files.lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001058 _____ C:\Обработки 1С.lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001058 _____ C:\ConsUserData.lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001042 _____ C:\PerfLogs.lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001038 _____ C:\Windows.lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001030 _____ C:\Users.lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001022 _____ C:\ATI.lnk
2017-03-07 12:08 - 2017-03-07 12:08 - 25623680 ____R C:\Users\администратор.PL\AppData\Roaming\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.LST
2017-03-07 12:08 - 2017-03-07 12:08 - 25623680 ____R C:\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.LST
2017-03-07 12:04 - 2017-03-07 12:04 - 00014522 ____R C:\Users\администратор.PL\Desktop\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.HTML
2017-03-07 12:04 - 2017-03-07 12:04 - 00014522 ____R C:\Users\администратор.PL\AppData\Roaming\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.HTML
2017-03-07 12:04 - 2017-03-07 12:04 - 00014522 ____R C:\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.HTML
2017-03-07 09:20 - 2017-03-07 09:20 - 00001088 ____R C:\Users\администратор.PL\Desktop\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.KEY
2017-03-07 09:20 - 2017-03-07 09:20 - 00001088 ____R C:\Users\администратор.PL\AppData\Roaming\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.KEY
2017-03-07 09:20 - 2017-03-07 09:20 - 00001088 ____R C:\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.KEY
2017-03-07 09:09 - 2017-03-07 12:09 - 33062952 _____ C:\Users\администратор.PL\AppData\Roaming\1646356717
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Следы вымогателя очищены. С расшифровкой помочь не сможем.

Станислав Ненашев

Станислав Ненашев

Опубликовано
  • Автор
Опубликовано

Следы вымогателя очищены. С расшифровкой помочь не сможем.

На других дисках остались файлы от вируса, и в интернет эксплорере каждый раз выскакивает сообщение от вымогателей

Sandor

Sandor

Опубликовано
Опубликовано

Виноват, я пропустил:

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\ava\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUF10-A5XZG-GHTAZ-ERTXK-ORTOE-RFTXO-AZOTF-HFYYY.HTML [2017-03-13] ()
Startup: C:\Users\администратор.PL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.HTML [2017-03-07] ()
Startup: C:\Users\администратор.PL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.HTML [2017-03-07] ()
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

На других дисках остались файлы

Просто удалите их.
Станислав Ненашев

Станислав Ненашев

Опубликовано
  • Автор
Опубликовано

Виноват, я пропустил:

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\ava\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUF10-A5XZG-GHTAZ-ERTXK-ORTOE-RFTXO-AZOTF-HFYYY.HTML [2017-03-13] ()
Startup: C:\Users\администратор.PL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.HTML [2017-03-07] ()
Startup: C:\Users\администратор.PL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.HTML [2017-03-07] ()
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

На других дисках остались файлы

Просто удалите их.

 

Спасибо и на этом!!! Тему можно закрывать )))

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kenu
      Новый шифровальщик
      Автор Kenu
      Столкнулся вчера с таким вот новым шифровальщиком,который делает папки скрытыми,а все файлы неоткрываются и пишет что проблемы с содержимым,а так же во всех папках прикреплен файлик,который открывает этот сайт http://torifyme.com/,где уже сообщается что все ваши файлы зашифрованы.
      CollectionLog-2017.06.14-09.35.zip
    • Артем Дмитренко
      Не открываются файлы MS Office 2007
      Автор Артем Дмитренко
      Добрый день.Бухгалтеру на  почту пришло письмо, после его запуска  не открываются документы. Прикладываю архив логов.
      CollectionLog-2017.06.15-16.35.zip
    • GadelG
      Шифровальщик df696522.exe
      Автор GadelG
      Добрый день! И к Нам попал этот шифратор...
      Причем у большинства сотрудников в папке пользователя Temp был df696522.exe (0 байт) 
      На двух машинах он успел зашифровать 100% информации, порядка 4200 папок со всем их содержимым (подсчитал количество HELP_mDWQoleS.html)
      Подскажите через Kaspersk.Live Rescue CD вычистить систему от шифратора Spora возможно? Что предпринять для защиты от повторного проникновения?
    • ptpg
      Прошу помощи в расшифровке SPORA
      Автор ptpg
      Спора зашифровал много файлов, в основном .doc и .pdf. Нужна помощь в расшифровке.  
      В архиве зашифрованный и не зашифрованный файл(также ссылка на сайт вируса).
      Спасибо.
      Архив WinRAR.rar
    • k0ma
      Поймали шифровальщика df696522.exe
      Автор k0ma
      Соседи поймали, решили сами по удалять все "лишние" на их взгляд файлы и удалили письмо с требованиями.
      Восстановление результатов не дает. Не могу понять куда и кому платить что бы восстановить данные.
      На Рабочем столе есть файл df696522.exe (скрытый). Повторный запуск результатов тоже не дал.
       
      CollectionLog-2017.06.06-09.36.zip
×
×
  • Создать...