Перейти к содержанию

Spora шифрование

psv11
 Share Подписчики 1

Рекомендуемые сообщения

psv11

psv11 0

Опубликовано
Опубликовано

Зашифрованы текстовые файлы и файлы изображений.

Вирус открыли из почты Антивирус kaspersky endpoint security 10 работал и пропустил.

Пожалуйста помогите расшифровать важную информацию.

CollectionLog-2017.04.12-17.19.zip

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

1)

Java(TM) 6 Update 32 [20140915]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216032FF}
SpyHunter 4 [2017/04/12 16:26:30]-->C:\Users\Администратор\AppData\Roaming\Enigma Software Group\sh_installer.exe -r sh

деинсталируйте.

 

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Memory Diagnostics Tool.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Security Configuration Management.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server Manager.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Share and Storage Management.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\System Configuration.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Windows Server Backup.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Terminal Services\Terminal Services Configuration.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Maintenance\Problem Reports and Solutions.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Terminal Services\TS RemoteApp Manager.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Print Management.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Terminal Services\TS Licensing Manager.lnk', '');
 QuarantineFile('C:\Users\2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\3\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\6\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\6\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\4\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\5\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\8\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\8\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\10\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\10\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\11\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\9\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\9\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\8\Desktop\1с.lnk', '');
 QuarantineFile('C:\Users\8.SER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\8.SER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\10.SER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\10.SER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\9.SER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\9.SER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\11.SER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\11.SER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
 

 

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

@psv11, пожалуйста, нажмите Win + R, введите cmd и нажмите ОК
 В открывшееся окно введите
 where narrator
 и нажмите ENTER.
 Сделайте скриншот окна и выложите в своём сообщении.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 252

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
Hosts:
Tcpip\..\Interfaces\{BC4A7CC4-912F-4CD6-825C-8F0F993A48B4}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => No File
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
psv11

psv11 0

Опубликовано
  • Автор
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
Hosts:
Tcpip\..\Interfaces\{BC4A7CC4-912F-4CD6-825C-8F0F993A48B4}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => No File
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

 

Как запустить FRST через среду восстановления на Windows server 2008?

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

 

 


Как запустить FRST через среду восстановления на Windows server 2008?
там же внизу ссылка на руководство и в нём вторым постом ответ на ваш вопрос https://safezone.cc/threads/kak-vypolnit-skript-v-farbar-recovery-scan-tool.17760/#post-197884

А в чём проблема выполнить скрипт из обычного режима, как до этого вы делали логи?

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

С расшифровкой, увы, помочь не сможем.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • alegator2222
      Шифровальщик SPORA
      От alegator2222
      Добрый день коллеги, подверглись атаки вируса spora, шифрует файлы в hta, есть способ расшифровать? 
      пример_hta_файла.rar
    • mixali4
      Шифровальщик Spora
      От mixali4
      Доброго времени суток. С почтового ящика qeer@mail.ru пришло письмо со следующим содержимым:
      Случайно запустил на компьютере файл, который пришел в архиве.
      Вирус зашифровал много файлов, но я успел вовремя отрубить, файлы преобразовались в расширения типа *.doc.hta, *.xls.hta. При открытии файла требует деньги, почта spora.help@gmail.com.
      Как расшифровать данные файлы, что вообще можно сделать?
      Документы очень важные. Ребята помогите пожалуйста.
      Спасибо!!!
    • Boriskis1996
      Шифровальшик Spora
      От Boriskis1996
      Пришло письмо на почту , скачал файл открыл его. Получилось поймайл вирус Spora.   README_eGUiKSAmJi.hta  вижу этот файл во всех папках. Помогите с расшифровкой всех файлов, может какая программа поможет
      Addition.txt
      FRST.txt
    • ptpg
      Прошу помощи в расшифровке SPORA
      От ptpg
      Спора зашифровал много файлов, в основном .doc и .pdf. Нужна помощь в расшифровке.  
      В архиве зашифрованный и не зашифрованный файл(также ссылка на сайт вируса).
      Спасибо.
      Архив WinRAR.rar
    • sputnikdom
      Вирус Spora зашифровал все файлы
      От sputnikdom
      У меня перестали открываться файлы. появляется уведомление, чтобы заплатить за расшифровку файлов
×
×
  • Создать...