spora ransomware зашифровал документы

[Plaguer]

Здравствуйте.

Принесли системный блок (Windows 7 Максимальная SP1 x64) с зашифрованными файлами (шифровальщик "spora ransomware"). Скорее всего по электронной почте прилетело сообщение с вложением .hta которое пользователь не долго думая открыл.

Пользователь состоял в группе локальных администраторов, UAC был отключён, на ПК установлен Kaspersky Small Office Security 15.0.2.396. Следов трояна (подозрительный файл .hta, его exe-шник) не нашёл. Теневые копии файлов удалены.

Надеюсь на Вашу помощь в расшифровке.

CollectionLog-2017.04.14-12.17.zip

Изменено 14 апреля, 2017 пользователем Plaguer

[kmscom]

 внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[Plaguer]

Добавил файл протоколов во вложение к 1-му сообщению.

[Sandor]

Здравствуйте!

 

Система загружена в режиме защиты от сбоев (SafeMode)

Почему? В обычном режиме Автологер не запускается? Если запускается, переделайте из обычного режима.

[Plaguer]

Добавил отчёт Автологера из обычного режима во вложение к этому сообщению.

CollectionLog-2017.04.14-15.58.zip

[Sandor]

Два антивируса - лишнее. Оставьте один, второй удалите: Чистка системы после некорректного удаления антивируса.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Plaguer]

Сделано.

Addition_17-04-2017 10.02.25.txt

FRST_17-04-2017 10.02.25.txt

Shortcut_17-04-2017 10.02.25.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://rts.dsrlte.com?affID=na","hxxp://www.google.com/"
2017-04-11 17:13 - 2017-04-11 17:35 - 51550040 _____ () C:\Users\Юлия\AppData\Roaming\1758591618
2017-04-11 17:34 - 2017-04-11 17:34 - 0016682 _____ () C:\Users\Юлия\AppData\Roaming\RUF8D-06OXO-FHTRX-HEHTR-XEFTK-HFZTX-GFXFE-TXOZA-OYYYY.html
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Plaguer]

Сделано.

Fixlog.txt

[Sandor]

С расшифровкой помочь не сможем.