Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Spora ransomware удалить вирус с компьютеров

rmr
 Поделиться

Рекомендуемые сообщения

rmr

rmr

Опубликовано
Опубликовано

Здравствуйте!

 

 

Минимум два компьютера в локальной сети заразились Spora ransomware.

Сценарий классический: сотрудник по почте получает архив zip, открывает и через некоторое время все файлы на компьютере зашифровались.

 

Установлен KES 10, базы, правда, давно не обновлялись... Он молчал.

Полное сканирование тоже ничего не дало.

 

Virus Removal Tool запускался (релиз последний, скачан 16.03.17)

ничего не обнаружил.

 

Отчет прикреплен к сообщению

 

 

 

 

Также заразились открытые диски на других компьютерах.

 

 

 

Помогите, пожалуйста, удалить вирус и попытаться восстановить данные.

rmr

rmr

Опубликовано
  • Автор
Опубликовано

этот лог собирался на компьютере с которого пошло заражение

rmr

rmr

Опубликовано
  • Автор
Опубликовано (изменено)

простите :rolleyes:

 

не прикрепился лог


Вирус как-то распространяется по сети?

Или он действует только с зараженного компьютера и шифрует файлы удаленно?

Насколько велик риск распространения вируса по сети или с помощью флешек, например?

 

Пока достоверно известно, что во всех расшаренных папках все файлы зашифрованы...

CollectionLog-2017.03.16-14.37.zip

Изменено пользователем rmr
Sandor

Sandor

Опубликовано
Опубликовано

во всех расшаренных папках

Именно так, т.е. туда, куда смог дотянуться.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

rmr

rmr

Опубликовано
  • Автор
Опубликовано

сейчас сделаю

 

 

риск заражения через флешки есть?

 

или он один раз все зашифровал и все?


Отчеты во вложении

 

По поводу флешек и риска заражения другими способами можете прокомментировать?

Addition.txt

FRST.txt

Shortcut.txt

Sandor

Sandor

Опубликовано
Опубликовано

Ran by Karina (ATTENTION: The user is not administrator)

Переделайте, пожалуйста, запустив утилиту правой кнопкой от имени администратора.

 

риск заражения через флешки есть?

Нет.

 

один раз все зашифровал и все?

Да.
rmr

rmr

Опубликовано
  • Автор
Опубликовано

во вложении


Где-то в сети нашел информацию что, при открытии файлов программа вроде как заново шифрует. Это сказки?

У себя подтверждений этому не нашел.

Addition.txt

FRST.txt

Shortcut.txt

Sandor

Sandor

Опубликовано
Опубликовано

Как правило, после выполнения своего черного дела, шифратор само-уничтожается.

Чтобы в этом убедиться, мы и просим сделать диагностику.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\Karina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU176-DERFH-XGTRZ-ZXHTO-TXGKA-ZTRXK-AXTXF-EAYYY.html [2017-03-16] ()
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2017-03-16 11:15 - 2017-03-16 11:15 - 00016676 _____ C:\Users\Karina\RU176-DERFH-XGTRZ-ZXHTO-TXGKA-ZTRXK-AXTXF-EAYYY.html
2017-03-16 11:15 - 2017-03-16 11:15 - 00016676 _____ C:\Users\Karina\Desktop\RU176-DERFH-XGTRZ-ZXHTO-TXGKA-ZTRXK-AXTXF-EAYYY.html
2017-03-16 11:15 - 2017-03-16 11:15 - 00016676 _____ C:\Users\Karina\AppData\Roaming\RU176-DERFH-XGTRZ-ZXHTO-TXGKA-ZTRXK-AXTXF-EAYYY.html
2017-03-16 11:11 - 2017-03-16 11:15 - 18975048 _____ C:\Users\Karina\AppData\Roaming\1758388830
2017-03-16 11:11 - 2017-03-16 11:11 - 0064000 _____ () C:\Users\Karina\AppData\Local\Temp\rad686C2.exe
2015-07-23 17:56 - 2015-07-23 17:56 - 0952832 ____H () C:\Users\User\AppData\Local\Temp\coa41C0.tmp.exe
2015-07-23 17:56 - 2015-07-23 17:56 - 1042944 ____H () C:\Users\User\AppData\Local\Temp\coa41C1.tmp.exe
2015-07-23 17:46 - 2015-07-23 17:46 - 0952832 ____H () C:\Users\User\AppData\Local\Temp\coa4B32.tmp.exe
2015-07-23 17:46 - 2015-07-23 17:46 - 1042944 ____H () C:\Users\User\AppData\Local\Temp\coa4B33.tmp.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

rmr

rmr

Опубликовано
  • Автор
Опубликовано

сделал

 

Как думаете, восстановить с помощью ShadowExplorer можно будет?


и на других компьютерах требуются ли какие-то действия?

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Увы, нет. К тому же, судя по логу, Вы уже это пробовали.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
rmr

rmr

Опубликовано
  • Автор
Опубликовано

:oh: а восстановить с помощью кода который прислали эти уважаемые граждане?

Sandor

Sandor

Опубликовано
Опубликовано

Это код для оплаты злодеям. Но тем самым Вы поощрите их продолжать заниматься вымогательством.

rmr

rmr

Опубликовано
  • Автор
Опубликовано

поверьте, ни поощрять, ни платить не планирую!

 

файлы вроде восстанавливаются

 

скажите, как долго вирус шифрует компьютер и сеть?

почему он только некоторые машины в сети зашифровал? доступ расшареный был

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alegator2222
      Шифровальщик SPORA
      Автор alegator2222
      Добрый день коллеги, подверглись атаки вируса spora, шифрует файлы в hta, есть способ расшифровать? 
      пример_hta_файла.rar
    • stasnakhlov
      зашифровали файлы .hta
      Автор stasnakhlov
      Добрый день. 
       
      Проблема следующая: через почтовый клиент был открыт файл с вирусом, сам комп не заразился, а вот рабочий сервер пострадал, половина файлов за шифровались под расширение .hta . 
      CollectionLog-2017.10.25-14.04.zip
    • Viki
      Шифровальщик Hta
      Автор Viki
      Пришло письмо на электронную почту, с содержимым вроде "документы проверенны, с нашей стороны все в порядке, посмотрите с вашей" и прикрепленный файл hta, открыла, все документы на рабочем столе стали с расширением hta. исчезли все данные с 1с кварта и т.д. Как можно все восстановить подскажите пожалуйста
    • mixali4
      Шифровальщик Spora
      Автор mixali4
      Доброго времени суток. С почтового ящика qeer@mail.ru пришло письмо со следующим содержимым:
      Случайно запустил на компьютере файл, который пришел в архиве.
      Вирус зашифровал много файлов, но я успел вовремя отрубить, файлы преобразовались в расширения типа *.doc.hta, *.xls.hta. При открытии файла требует деньги, почта spora.help@gmail.com.
      Как расшифровать данные файлы, что вообще можно сделать?
      Документы очень важные. Ребята помогите пожалуйста.
      Спасибо!!!
    • Владимир72рус
      поймали шифровальщик spora, как дешифровать файлы?
      Автор Владимир72рус
      Вчера на работе у нас произошел инцидент, одна наша сотрудница приняла письмо по почте, от неизвестного источника, соответственно распаковала и открыла файл, сама того не понимая, что это был скрипт.
      После чего вирус начал делать свои дела на компе и в сети, то есть начал шифровать файлы, параллельно производил поиск в сети всех расширенных папок и начал шифровать все файлы.
      выкладываю файл со скриптом, а так же фото рабочего стола
       

      Строгое предупреждение от модератора Mark D. Pearlstone не выкладывайте вредоносные и потенциально вредоносные файлы и ссылки на форум.





×
×
  • Создать...