Перейти к содержанию

Закодированы файлы WORD / EXCEL

Андрей Померанцев

Автор Андрей Померанцев
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Андрей Померанцев

Андрей Померанцев

Опубликовано
Опубликовано (изменено)

Добрый день,


на некоторых ПК обнаружено:  не открываются файлы word и Excel. ошибка - Формат файла отличается от формата, указанного в расширении имени файла, PDF, Jpeg открываются в тех же разделах.


 


Не может определить кодировку. Есть ли возможность все расшифровать? Закодировано огромное количество файлов.


 


Пример файлов прилагаю.


 


Расчет потребность в утилизации ламп. с новой ценой.xls

Договор на оказание усалуг МНП ЦДК Д 326-15 протокол.doc

CollectionLog-2017.03.16-12.50.zip

1.rar

Изменено пользователем Андрей Померанцев
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

Судя по логам, шифратор запустили не на сервере, а на другом компьютере, имеющем выход на него

Андрей Померанцев

Андрей Померанцев

Опубликовано
  • Автор
Опубликовано

Прикрепляю логи с двух других компьютеров, которые могли это сделать.

Спасибо большое за потраченное время.

11.rar

22.rar

thyrex

thyrex

Опубликовано
Опубликовано

На компьютере с логами в файле 22.rar есть следы шифратора, но похоже другого. Ибо расширение у них и имена файлов (они тоже закодированы) отличаются от того, что прислали Вы

Андрей Померанцев

Андрей Померанцев

Опубликовано
  • Автор
Опубликовано

Ваши заключения имеют место быть, логи 22 с компа, где был no more ransom, но с ним мы уладили вопрос.

 

Прикрепляю логи со всех машин, где был шифровальщик и затронул файлы.

Даже и не знаю, что еще можно просканировать...

 

Благодарю за Ваш труд.

3.rar

4.rar

5.rar

кадр.rar

омтс.rar

юр.rar

thyrex

thyrex

Опубликовано
Опубликовано

Как ни парадоксально, но ни в одних логах нет ни упоминания сообщений вымогателя, ни файлов ключа.

 

Последним шифратором, который не меняет расширений файлов, является Spora. Против нее все антивирусные компании бессильны.

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-03-15 12:23 - 2017-03-15 12:23 - 0065536 _____ () C:\Users\o.beshitrova\AppData\Local\Temp\rad30ABE.exe
2017-03-15 12:22 - 2017-03-15 12:22 - 0065536 _____ () C:\Users\o.beshitrova\AppData\Local\Temp\rad37B3B.exe
2017-03-15 12:21 - 2017-03-15 12:21 - 0065536 _____ () C:\Users\o.beshitrova\AppData\Local\Temp\rad9A2AE.exe
2017-03-15 12:18 - 2017-03-15 12:18 - 0065536 _____ () C:\Users\o.beshitrova\AppData\Local\Temp\radF049E.exe
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction - Chrome <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.attirerpage.com/?type=hp&ts=1466063764&z=7595158b05d7a6f8fc07654gdz0q6q9e3q0c4m8q1z&from=wpm0616&uid=WDCXWD10EZEX-60ZF5A0_WD-WMC1S171657716577
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.attirerpage.com/?type=hp&ts=1466063764&z=7595158b05d7a6f8fc07654gdz0q6q9e3q0c4m8q1z&from=wpm0616&uid=WDCXWD10EZEX-60ZF5A0_WD-WMC1S171657716577
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.attirerpage.com/?type=hp&ts=1466063764&z=7595158b05d7a6f8fc07654gdz0q6q9e3q0c4m8q1z&from=wpm0616&uid=WDCXWD10EZEX-60ZF5A0_WD-WMC1S171657716577
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.attirerpage.com/?type=hp&ts=1466063764&z=7595158b05d7a6f8fc07654gdz0q6q9e3q0c4m8q1z&from=wpm0616&uid=WDCXWD10EZEX-60ZF5A0_WD-WMC1S171657716577
HKU\S-1-5-21-528048344-4062246072-3573958168-1333\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.attirerpage.com/?type=hp&ts=1466063764&z=7595158b05d7a6f8fc07654gdz0q6q9e3q0c4m8q1z&from=wpm0616&uid=WDCXWD10EZEX-60ZF5A0_WD-WMC1S171657716577
BHO: bROwseandShope -> {057A3A01-1E69-4FB4-A1F7-8BED46553F3D} -> C:\Program Files (x86)\bROwseandShope\U6qSOCOIP8sm6v.x64.dll => No File
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File
BHO: lowrrattEE -> {13A30186-DD33-4E30-B124-02297735CA04} -> C:\Program Files (x86)\lowrrattEE\s0B5jM1X0aD7bC.x64.dll => No File
BHO: offerraapap -> {436D17C9-18DC-427C-AF89-95C0A6113692} -> C:\Program Files (x86)\offerraapap\4BcYfFnWa7PTMJ.x64.dll => No File
BHO: dAillyprizee -> {6CD10B23-C74A-4BFE-8918-B29D21D36368} -> C:\Program Files (x86)\dAillyprizee\XDDCCBo7EN4bOS.x64.dll => No File
BHO-x32: bROwseandShope -> {057A3A01-1E69-4FB4-A1F7-8BED46553F3D} -> C:\Program Files (x86)\bROwseandShope\U6qSOCOIP8sm6v.dll => No File
BHO-x32: lowrrattEE -> {13A30186-DD33-4E30-B124-02297735CA04} -> C:\Program Files (x86)\lowrrattEE\s0B5jM1X0aD7bC.dll => No File
BHO-x32: offerraapap -> {436D17C9-18DC-427C-AF89-95C0A6113692} -> C:\Program Files (x86)\offerraapap\4BcYfFnWa7PTMJ.dll => No File
Task: {C8EEFFC7-B709-4202-BA76-20D5F8CF1057} - System32\Tasks\GreenLiving => c:\programdata\{96b8829d-c993-52af-96b8-8829dc990a77}\cd6b.exe  <==== ATTENTION
Task: C:\Windows\Tasks\GreenLiving.job => c:\programdata\{96b8829d-c993-52af-96b8-8829dc990a77}\cd6b.exe <==== ATTENTION
Task: {75CED5A2-C50E-499F-92F3-7617D97E8258} - System32\Tasks\DocineUpdateTaskMachineCore => C:\Program Files (x86)\Docine\Update\DocineUpdate.exe  <==== ATTENTION
Task: {07FEAD68-4009-4EE3-8B83-E2601F0C1113} - System32\Tasks\DocineUpdateTaskMachineUA => C:\Program Files (x86)\Docine\Update\DocineUpdate.exe  <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • КостыговД
      SPORA дешифрование файлов уничтожение вируса
      Автор КостыговД
      день добрый, тоже spora, подхватили через вложение в в outlook, логи с двух машин прикладываю, заражение началось, скорее всего со второй, есть файл зловреда, Расширения файлов и сами файлы не переименованы, но содержимое зашифровано, при открытии ругается на сбитую кодировку, пострадали файлы .xls, .pdf, есть возможность расшифровать?
      1.CollectionLog-2017.04.13-14.50.zip
      2.CollectionLog-2017.04.13-15.20.zip
    • КостыговД
      SPORA дешифрование файлов уничтожение вируса #2
      Автор КостыговД
      лог приложил, правда перезагрузился автоматом
      Fixlog.txt
    • WhoIsIt
      Поймал шифровальщик. Расширение у зашифрованных файлов не изменено, в рабочих папках появился файл "a1c5a2cf65e4424b19.exe", в автозагрузке "x.vbs"
      Автор WhoIsIt
      Добрый день.
       
      Как уже описал в названии темы, поймал шифровальщик, в рабочих папках также появился файл "RUA20-23REO-TGETZ-TZTAX-FTHAY.html", его еще не открывал, по всей видимости там понятного содержания текст.
       
      Ноутбук проверил KVRT и Cureit.
       
      Прошу помощи.
      CollectionLog-2017.04.14-18.47.zip
    • Denis23
      Spora зашифровал все файлы
      Автор Denis23
      Добрый день!
      Вирус зашифровал все текстовые файлы, jpeg и pdf.
      Антивирус kaspersky endpoint security 10 его пропустил.
      Помогите пожалуйста расшифровать.
       
      CollectionLog-2017.04.14-09.01.zip
    • larm
      Trojan-Ransom.Win32.Spora.cpz
      Автор larm
      Добрый день.
      Печаль с одним из пользователей. Установлен KES10mr3, но на запущенный файл из веб-морды мейл.ру не среагировал. Только через час со свежими антивирусными базами обнаружил Trojan-Ransom.Win32.Spora.cpz (C:\documents and settings\46669\local settings\temp\rad9feda.exe ) Если будет необходимость, то скорее всего остался в резервном хранилище.
       
      Расширения файлов и сами файлы не переименованы, но содержимое зашифровано, при открытии ругается на сбитую кодировку. Имеется html страничка RU96B-5AOEK-RKTKK-ZXTXZ-AETRG-FTRAH-AKTRR-OGYYY.html
      Соответствующего скрытого *.key админом филиала обнаружено не было.
       
      Имеется оригинальный до шифрования доковский файлик и соответствующий ему после работы шифровальщика.
      Есть ли в данном случае вообще возможности для расшифровки через CompanyAccount Касперского? В прошлый раз помогло, но тогда шифрование случилось без активного подключения к интернету.
       
      1.    Просканировано  Dr.Web CureIt (плюсом еще Total 9 files (14 objects) are infected)
      2.    Логи AutoLogger.exe
      3.    Логи Farbar Recovery Scan Tool
      logs.zip
×
×
  • Создать...