Перейти к содержанию

Spora ransomware удалить вирус с компьютеров

rmr
 Поделиться

Рекомендуемые сообщения

rmr

rmr

Опубликовано
Опубликовано

Здравствуйте!

 

 

Минимум два компьютера в локальной сети заразились Spora ransomware.

Сценарий классический: сотрудник по почте получает архив zip, открывает и через некоторое время все файлы на компьютере зашифровались.

 

Установлен KES 10, базы, правда, давно не обновлялись... Он молчал.

Полное сканирование тоже ничего не дало.

 

Virus Removal Tool запускался (релиз последний, скачан 16.03.17)

ничего не обнаружил.

 

Отчет прикреплен к сообщению

 

 

 

 

Также заразились открытые диски на других компьютерах.

 

 

 

Помогите, пожалуйста, удалить вирус и попытаться восстановить данные.

rmr

rmr

Опубликовано
  • Автор
Опубликовано

этот лог собирался на компьютере с которого пошло заражение

rmr

rmr

Опубликовано
  • Автор
Опубликовано (изменено)

простите :rolleyes:

 

не прикрепился лог


Вирус как-то распространяется по сети?

Или он действует только с зараженного компьютера и шифрует файлы удаленно?

Насколько велик риск распространения вируса по сети или с помощью флешек, например?

 

Пока достоверно известно, что во всех расшаренных папках все файлы зашифрованы...

CollectionLog-2017.03.16-14.37.zip

Изменено пользователем rmr
Sandor

Sandor

Опубликовано
Опубликовано

во всех расшаренных папках

Именно так, т.е. туда, куда смог дотянуться.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

rmr

rmr

Опубликовано
  • Автор
Опубликовано

сейчас сделаю

 

 

риск заражения через флешки есть?

 

или он один раз все зашифровал и все?


Отчеты во вложении

 

По поводу флешек и риска заражения другими способами можете прокомментировать?

Addition.txt

FRST.txt

Shortcut.txt

Sandor

Sandor

Опубликовано
Опубликовано

Ran by Karina (ATTENTION: The user is not administrator)

Переделайте, пожалуйста, запустив утилиту правой кнопкой от имени администратора.

 

риск заражения через флешки есть?

Нет.

 

один раз все зашифровал и все?

Да.
rmr

rmr

Опубликовано
  • Автор
Опубликовано

во вложении


Где-то в сети нашел информацию что, при открытии файлов программа вроде как заново шифрует. Это сказки?

У себя подтверждений этому не нашел.

Addition.txt

FRST.txt

Shortcut.txt

Sandor

Sandor

Опубликовано
Опубликовано

Как правило, после выполнения своего черного дела, шифратор само-уничтожается.

Чтобы в этом убедиться, мы и просим сделать диагностику.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\Karina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU176-DERFH-XGTRZ-ZXHTO-TXGKA-ZTRXK-AXTXF-EAYYY.html [2017-03-16] ()
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2017-03-16 11:15 - 2017-03-16 11:15 - 00016676 _____ C:\Users\Karina\RU176-DERFH-XGTRZ-ZXHTO-TXGKA-ZTRXK-AXTXF-EAYYY.html
2017-03-16 11:15 - 2017-03-16 11:15 - 00016676 _____ C:\Users\Karina\Desktop\RU176-DERFH-XGTRZ-ZXHTO-TXGKA-ZTRXK-AXTXF-EAYYY.html
2017-03-16 11:15 - 2017-03-16 11:15 - 00016676 _____ C:\Users\Karina\AppData\Roaming\RU176-DERFH-XGTRZ-ZXHTO-TXGKA-ZTRXK-AXTXF-EAYYY.html
2017-03-16 11:11 - 2017-03-16 11:15 - 18975048 _____ C:\Users\Karina\AppData\Roaming\1758388830
2017-03-16 11:11 - 2017-03-16 11:11 - 0064000 _____ () C:\Users\Karina\AppData\Local\Temp\rad686C2.exe
2015-07-23 17:56 - 2015-07-23 17:56 - 0952832 ____H () C:\Users\User\AppData\Local\Temp\coa41C0.tmp.exe
2015-07-23 17:56 - 2015-07-23 17:56 - 1042944 ____H () C:\Users\User\AppData\Local\Temp\coa41C1.tmp.exe
2015-07-23 17:46 - 2015-07-23 17:46 - 0952832 ____H () C:\Users\User\AppData\Local\Temp\coa4B32.tmp.exe
2015-07-23 17:46 - 2015-07-23 17:46 - 1042944 ____H () C:\Users\User\AppData\Local\Temp\coa4B33.tmp.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

rmr

rmr

Опубликовано
  • Автор
Опубликовано

сделал

 

Как думаете, восстановить с помощью ShadowExplorer можно будет?


и на других компьютерах требуются ли какие-то действия?

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Увы, нет. К тому же, судя по логу, Вы уже это пробовали.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
rmr

rmr

Опубликовано
  • Автор
Опубликовано

:oh: а восстановить с помощью кода который прислали эти уважаемые граждане?

Sandor

Sandor

Опубликовано
Опубликовано

Это код для оплаты злодеям. Но тем самым Вы поощрите их продолжать заниматься вымогательством.

rmr

rmr

Опубликовано
  • Автор
Опубликовано

поверьте, ни поощрять, ни платить не планирую!

 

файлы вроде восстанавливаются

 

скажите, как долго вирус шифрует компьютер и сеть?

почему он только некоторые машины в сети зашифровал? доступ расшареный был

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр Кардашевский
      Шифровальщик RSA-1024
      Автор Александр Кардашевский
      Всем привет! 
      Недавно столкнулся с проблемой, с серьезной проблемой. Все началось с того, что пришло сообщение на почту:
       
      Скриншоты:
       
      Итак, вопрос: Что делать? Кто нибудь с этим сталкивался? 
      Очень важно решить проблему, т.к. компьютер содержит очень важные документы по работе
       
      (ссылка на вирус в облаке)
       

      Строгое предупреждение от модератора "Mark D. Pearlstone" Не публикуйте вредоносные и потенциально вредоносные файлы, а также ссылки на них.
    • Алексей нск
      попал на spora
      Автор Алексей нск
      скачал Farbar и произвел сканирование, что делать дальше?
      11111т.txt
    • ViRuS_285
      Вирус spora ransomware
      Автор ViRuS_285
      Всем привет! Я работаю сис админом в фирме интеграторе. 12.04.17г к нам в контору залетел вирус. Вирус шифровальщик spora ransomware. Зашифровал данные на 3-х компьютерах. Антивирусник который корпоративный не увидел этот вирус. Проверил я Dr. Web и он увидел следы от этого вируса. Коллеги с Санкт-Петербурга сказали, что ещё Касперский видит этот вирус. Сейчас стоит задача по дешифровки данных.
      CollectionLog-2017.04.17-17.38.zip

    • dmikl
      Подхватил шифровальщик doc xls
      Автор dmikl
      Открыли файл в письме,  зашифровал все файлы doc и xls, размер сохранился, дата у всех одна и та же.
      в свойствах папок на рабочем столе следующая информация: 
       
      C:\Windows\system32\cmd.exe /c start explorer.exe "Users" & type "4db88aebcb19841572.exe" > "%temp%\4db88aebcb19841572.exe" && "%temp%\4db
       
      логи Farbar Recovery Scan Too во вложении
      CollectionLog-2017.04.21-14.38.zip
      Addition.txt
      FRST.txt
      Shortcut.txt
    • МаринаШегай
      Уничтожение вируса SPORA
      Автор МаринаШегай
      Логи с зараженной машины, зашифрованы файлы. Возможно ли расшифровать?
      223-ФЗ Закупки.rar
      CollectionLog-2017.04.13-11.23.zip
×
×
  • Создать...