Spora ransomware удалить вирус с компьютеров

[rmr]

Здравствуйте!

 

 

Минимум два компьютера в локальной сети заразились Spora ransomware.

Сценарий классический: сотрудник по почте получает архив zip, открывает и через некоторое время все файлы на компьютере зашифровались.

 

Установлен KES 10, базы, правда, давно не обновлялись... Он молчал.

Полное сканирование тоже ничего не дало.

 

Virus Removal Tool запускался (релиз последний, скачан 16.03.17)

ничего не обнаружил.

 

Отчет прикреплен к сообщению

 

 

 

 

Также заразились открытые диски на других компьютерах.

 

 

 

Помогите, пожалуйста, удалить вирус и попытаться восстановить данные.

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

 

Лог собирайте на компьютере, с которого пошло заражение.

[rmr]

этот лог собирался на компьютере с которого пошло заражение

[Sandor]

этот лог

Не вижу

[rmr]

простите

 

не прикрепился лог

Вирус как-то распространяется по сети?

Или он действует только с зараженного компьютера и шифрует файлы удаленно?

Насколько велик риск распространения вируса по сети или с помощью флешек, например?

 

Пока достоверно известно, что во всех расшаренных папках все файлы зашифрованы...

CollectionLog-2017.03.16-14.37.zip

Изменено 16 марта, 2017 пользователем rmr

[Sandor]

во всех расшаренных папках

Именно так, т.е. туда, куда смог дотянуться.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[rmr]

сейчас сделаю

 

 

риск заражения через флешки есть?

 

или он один раз все зашифровал и все?

Отчеты во вложении

 

По поводу флешек и риска заражения другими способами можете прокомментировать?

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Ran by Karina (ATTENTION: The user is not administrator)

Переделайте, пожалуйста, запустив утилиту правой кнопкой от имени администратора.

 

риск заражения через флешки есть?

Нет.

 

один раз все зашифровал и все?

Да.

[rmr]

во вложении

Где-то в сети нашел информацию что, при открытии файлов программа вроде как заново шифрует. Это сказки?

У себя подтверждений этому не нашел.

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Как правило, после выполнения своего черного дела, шифратор само-уничтожается.

Чтобы в этом убедиться, мы и просим сделать диагностику.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\Karina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU176-DERFH-XGTRZ-ZXHTO-TXGKA-ZTRXK-AXTXF-EAYYY.html [2017-03-16] ()
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2017-03-16 11:15 - 2017-03-16 11:15 - 00016676 _____ C:\Users\Karina\RU176-DERFH-XGTRZ-ZXHTO-TXGKA-ZTRXK-AXTXF-EAYYY.html
2017-03-16 11:15 - 2017-03-16 11:15 - 00016676 _____ C:\Users\Karina\Desktop\RU176-DERFH-XGTRZ-ZXHTO-TXGKA-ZTRXK-AXTXF-EAYYY.html
2017-03-16 11:15 - 2017-03-16 11:15 - 00016676 _____ C:\Users\Karina\AppData\Roaming\RU176-DERFH-XGTRZ-ZXHTO-TXGKA-ZTRXK-AXTXF-EAYYY.html
2017-03-16 11:11 - 2017-03-16 11:15 - 18975048 _____ C:\Users\Karina\AppData\Roaming\1758388830
2017-03-16 11:11 - 2017-03-16 11:11 - 0064000 _____ () C:\Users\Karina\AppData\Local\Temp\rad686C2.exe
2015-07-23 17:56 - 2015-07-23 17:56 - 0952832 ____H () C:\Users\User\AppData\Local\Temp\coa41C0.tmp.exe
2015-07-23 17:56 - 2015-07-23 17:56 - 1042944 ____H () C:\Users\User\AppData\Local\Temp\coa41C1.tmp.exe
2015-07-23 17:46 - 2015-07-23 17:46 - 0952832 ____H () C:\Users\User\AppData\Local\Temp\coa4B32.tmp.exe
2015-07-23 17:46 - 2015-07-23 17:46 - 1042944 ____H () C:\Users\User\AppData\Local\Temp\coa4B33.tmp.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[rmr]

сделал

 

Как думаете, восстановить с помощью ShadowExplorer можно будет?

и на других компьютерах требуются ли какие-то действия?

Fixlog.txt

[Sandor]

Увы, нет. К тому же, судя по логу, Вы уже это пробовали.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[rmr]

а восстановить с помощью кода который прислали эти уважаемые граждане?

[Sandor]

Это код для оплаты злодеям. Но тем самым Вы поощрите их продолжать заниматься вымогательством.

[rmr]

поверьте, ни поощрять, ни платить не планирую!

 

файлы вроде восстанавливаются

 

скажите, как долго вирус шифрует компьютер и сеть?

почему он только некоторые машины в сети зашифровал? доступ расшареный был