Перейти к содержанию

Spora зашифровал все файлы

Denis23
 Поделиться

Рекомендуемые сообщения

Denis23

Denis23

Опубликовано
Опубликовано (изменено)

Добрый день!

Вирус зашифровал все текстовые файлы, jpeg и pdf.

Антивирус kaspersky endpoint security 10 его пропустил.

Помогите пожалуйста расшифровать.

 

CollectionLog-2017.04.14-09.01.zip

Изменено пользователем Denis23
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Антивирус kaspersky endpoint security 10 его пропустил

На момент заражения была ли сделана эта настройка?

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32');
 DeleteFileMask('c:\programdata\timetasks', '*', true);
 DeleteFileMask('c:\program files\zaxar', '*', true);
 DeleteDirectory('c:\programdata\timetasks');
 DeleteDirectory('c:\program files\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
BC_ImportALL;
 ExecuteRepair(3);
 ExecuteRepair(4);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Denis23

Denis23

Опубликовано
  • Автор
Опубликовано

На момент заражения была ли сделана эта настройка?

К сожалению нет.

 

Отправил ссылку на архив. Т.к. файл во вложение не прошел

 

[KLAN-6100654345]
Благодарим за обращение в Антивирусную Лабораторию

Присланные вами ссылки были проверены с помощью облачной технологии Kaspersky Security Network.

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://cloud.mail.ru/public/6uYe/vNnZZPmLs

Cсылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

AdwCleanerS0.txt

ClearLNK-14.04.2017_10-29.log

Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll => No File
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: AlterGeoBHO Class -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll => No File
BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll => No File
Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll No File
Toolbar: HKU\S-1-5-21-456768173-36434998-1119703626-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF user.js: detected! => C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\642jb4sp.default\user.js [2012-08-29]
FF Extension: (No Name) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\642jb4sp.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
2017-04-13 12:51 - 2017-04-13 12:51 - 00016670 _____ C:\RUC4A-E6XFH-GKTXA-RRTEA-TKHTX-HXHHT-XORHY.html
2017-04-12 17:22 - 2017-04-12 17:22 - 00016664 _____ C:\RU1F0-85FKZ-ZTFGK-TZTGK-TAKEK-TXZFH.html
2017-04-12 12:45 - 2017-04-12 12:45 - 00016670 _____ C:\Users\User\RUB17-8EGGK-OTKOG-TZTXA-ATFZK-KTXAG-RYYYY.html
2017-04-12 12:45 - 2017-04-12 12:45 - 00016670 _____ C:\Users\User\AppData\Roaming\RUB17-8EGGK-OTKOG-TZTXA-ATFZK-KTXAG-RYYYY.html
2017-04-12 12:45 - 2017-04-12 12:45 - 00016670 _____ C:\RUB17-8EGGK-OTKOG-TZTXA-ATFZK-KTXAG-RYYYY.html
2017-04-12 12:44 - 2017-04-12 12:58 - 02815640 _____ C:\Users\User\AppData\Roaming\3903576134
2017-04-14 11:14 - 2016-02-15 12:40 - 00000000 ____D C:\Users\Все пользователи\IObit
2017-04-14 11:14 - 2016-02-15 12:40 - 00000000 ____D C:\ProgramData\IObit
AlternateDataStreams: C:\Users\User\Local Settings:wa [146]
AlternateDataStreams: C:\Users\User\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\User\AppData\Local\Application Data:wa [146]
FirewallRules: [{D2D37073-0049-413C-8B38-41C4393A9409}] => (Allow) C:\Users\User\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{DDE25FBA-F223-4F7E-9974-53DF27F34449}] => (Allow) C:\Users\User\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{57BA64C5-5583-4855-A63E-A95F11320354}] => (Allow) C:\Users\User\AppData\Local\Amigo\Application\amigo.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Что-то Вы сделали не так. После выполнения скрипта этот файл должен выглядеть как

лог-файл (Fixlog.txt)

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • КостыговД
      SPORA дешифрование файлов уничтожение вируса
      Автор КостыговД
      день добрый, тоже spora, подхватили через вложение в в outlook, логи с двух машин прикладываю, заражение началось, скорее всего со второй, есть файл зловреда, Расширения файлов и сами файлы не переименованы, но содержимое зашифровано, при открытии ругается на сбитую кодировку, пострадали файлы .xls, .pdf, есть возможность расшифровать?
      1.CollectionLog-2017.04.13-14.50.zip
      2.CollectionLog-2017.04.13-15.20.zip
    • КостыговД
      SPORA дешифрование файлов уничтожение вируса #2
      Автор КостыговД
      лог приложил, правда перезагрузился автоматом
      Fixlog.txt
    • WhoIsIt
      Поймал шифровальщик. Расширение у зашифрованных файлов не изменено, в рабочих папках появился файл "a1c5a2cf65e4424b19.exe", в автозагрузке "x.vbs"
      Автор WhoIsIt
      Добрый день.
       
      Как уже описал в названии темы, поймал шифровальщик, в рабочих папках также появился файл "RUA20-23REO-TGETZ-TZTAX-FTHAY.html", его еще не открывал, по всей видимости там понятного содержания текст.
       
      Ноутбук проверил KVRT и Cureit.
       
      Прошу помощи.
      CollectionLog-2017.04.14-18.47.zip
    • larm
      Trojan-Ransom.Win32.Spora.cpz
      Автор larm
      Добрый день.
      Печаль с одним из пользователей. Установлен KES10mr3, но на запущенный файл из веб-морды мейл.ру не среагировал. Только через час со свежими антивирусными базами обнаружил Trojan-Ransom.Win32.Spora.cpz (C:\documents and settings\46669\local settings\temp\rad9feda.exe ) Если будет необходимость, то скорее всего остался в резервном хранилище.
       
      Расширения файлов и сами файлы не переименованы, но содержимое зашифровано, при открытии ругается на сбитую кодировку. Имеется html страничка RU96B-5AOEK-RKTKK-ZXTXZ-AETRG-FTRAH-AKTRR-OGYYY.html
      Соответствующего скрытого *.key админом филиала обнаружено не было.
       
      Имеется оригинальный до шифрования доковский файлик и соответствующий ему после работы шифровальщика.
      Есть ли в данном случае вообще возможности для расшифровки через CompanyAccount Касперского? В прошлый раз помогло, но тогда шифрование случилось без активного подключения к интернету.
       
      1.    Просканировано  Dr.Web CureIt (плюсом еще Total 9 files (14 objects) are infected)
      2.    Логи AutoLogger.exe
      3.    Логи Farbar Recovery Scan Tool
      logs.zip
    • geront
      Вирус шифровальщик без смены расширения
      Автор geront
      В один момент были зашифрованы все файлы с расширениями .doc .xls .pdf, тем не менее некоторые файлы все же открываются. Компьютер был проверен антивирусом DrWeb Cureit. Все зашифрованные файлы имеют дату изменения 17.02.2017.
      CollectionLog-2017.04.07-14.14.zip
×
×
  • Создать...