Поймал SPORу

[Станислав Ненашев]

Добрый день!!! На днях на файловый сервер прилетел вирус SPORA, зашифровал все файлы. Есть шанс вылечить и расшифровать всё? 

RUE82.rar

[Sandor]

Здравствуйте!

 

Увы, пока "лекарства" нет.

Попробуйте определить с какого компьютера пошло шифрование и на нем выполните Порядок оформления запроса о помощи

[Станислав Ненашев]

сделал логи

CollectionLog-2017.03.14-11.27.zip

[Sandor]

На момент заражения была ли включена эта настройка?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Станислав Ненашев]

На момент заражения была ли включена эта настройка?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

На момент заражения была ли включена эта настройка? не была произведена (

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
FF Extension: (No Name) - C:\Program Files (x86)\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} [not found]
2017-03-13 16:16 - 2017-03-13 16:16 - 04542848 ____R C:\Users\ava\AppData\Roaming\RUF10-A5XZG-GHTAZ-ERTXK-ORTOE-RFTXO-AZOTF-HFYYY.LST
2017-03-13 16:16 - 2017-03-13 16:16 - 00014522 ____R C:\Users\ava\Desktop\RUF10-A5XZG-GHTAZ-ERTXK-ORTOE-RFTXO-AZOTF-HFYYY.HTML
2017-03-13 16:16 - 2017-03-13 16:16 - 00014522 ____R C:\Users\ava\AppData\Roaming\RUF10-A5XZG-GHTAZ-ERTXK-ORTOE-RFTXO-AZOTF-HFYYY.HTML
2017-03-13 15:25 - 2017-03-13 15:25 - 00001088 ____R C:\Users\ava\Desktop\RUF10-A5XZG-GHTAZ-ERTXK-ORTOE-RFTXO-AZOTF-HFYYY.KEY
2017-03-13 15:25 - 2017-03-13 15:25 - 00001088 ____R C:\Users\ava\AppData\Roaming\RUF10-A5XZG-GHTAZ-ERTXK-ORTOE-RFTXO-AZOTF-HFYYY.KEY
2017-03-13 15:23 - 2017-03-13 16:16 - 06138224 _____ C:\Users\ava\AppData\Roaming\1646356717
2017-03-07 12:09 - 2017-03-07 12:09 - 00001086 _____ C:\Program Files (x86).lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001082 _____ C:\WindowsImageBackup.lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001078 _____ C:\ExchangeSetupLogs.lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001062 _____ C:\Program Files.lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001058 _____ C:\Обработки 1С.lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001058 _____ C:\ConsUserData.lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001042 _____ C:\PerfLogs.lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001038 _____ C:\Windows.lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001030 _____ C:\Users.lnk
2017-03-07 12:09 - 2017-03-07 12:09 - 00001022 _____ C:\ATI.lnk
2017-03-07 12:08 - 2017-03-07 12:08 - 25623680 ____R C:\Users\администратор.PL\AppData\Roaming\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.LST
2017-03-07 12:08 - 2017-03-07 12:08 - 25623680 ____R C:\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.LST
2017-03-07 12:04 - 2017-03-07 12:04 - 00014522 ____R C:\Users\администратор.PL\Desktop\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.HTML
2017-03-07 12:04 - 2017-03-07 12:04 - 00014522 ____R C:\Users\администратор.PL\AppData\Roaming\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.HTML
2017-03-07 12:04 - 2017-03-07 12:04 - 00014522 ____R C:\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.HTML
2017-03-07 09:20 - 2017-03-07 09:20 - 00001088 ____R C:\Users\администратор.PL\Desktop\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.KEY
2017-03-07 09:20 - 2017-03-07 09:20 - 00001088 ____R C:\Users\администратор.PL\AppData\Roaming\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.KEY
2017-03-07 09:20 - 2017-03-07 09:20 - 00001088 ____R C:\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.KEY
2017-03-07 09:09 - 2017-03-07 12:09 - 33062952 _____ C:\Users\администратор.PL\AppData\Roaming\1646356717
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Станислав Ненашев]

Сделал

Fixlog.txt

[Sandor]

Следы вымогателя очищены. С расшифровкой помочь не сможем.

[Станислав Ненашев]

Следы вымогателя очищены. С расшифровкой помочь не сможем.

На других дисках остались файлы от вируса, и в интернет эксплорере каждый раз выскакивает сообщение от вымогателей

[Sandor]

Виноват, я пропустил:

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\ava\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUF10-A5XZG-GHTAZ-ERTXK-ORTOE-RFTXO-AZOTF-HFYYY.HTML [2017-03-13] ()
Startup: C:\Users\администратор.PL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.HTML [2017-03-07] ()
Startup: C:\Users\администратор.PL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.HTML [2017-03-07] ()
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

На других дисках остались файлы

Просто удалите их.

[Станислав Ненашев]

Виноват, я пропустил:

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\ava\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUF10-A5XZG-GHTAZ-ERTXK-ORTOE-RFTXO-AZOTF-HFYYY.HTML [2017-03-13] ()
Startup: C:\Users\администратор.PL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.HTML [2017-03-07] ()
Startup: C:\Users\администратор.PL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RUE82-06AAZ-FATAX-OKKTA-FXGTE-XEKTG-ZAAZT-XKXHY.HTML [2017-03-07] ()
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

На других дисках остались файлы

Просто удалите их.

 

Спасибо и на этом!!! Тему можно закрывать )))