шифровальщик Spora

[shag008]

Добрый день

Секретарь подцепила шифровальщик Spora из письма

 

Логи FarBar во вложении

Что делать дальше?

19052017.rar

Изменено 19 мая, 2017 пользователем shag008

[Elly]

Здравствуйте. Выполните правила.

[Михаил Яковлев]

Здравствуйте, тоже словили этот вирус по почте, как я понял он что-то делает с текстовой кодировкой, т.к. в акельпаде частично открывается в юникоде, прилагаю сам вирус, испорченный файл и файл HELP_tdsWWu5j.html, который появился во всех папках где вирус похозяйничал.

[regist]

@Михаил Яковлев, прочитайте пост перед вашим.

[Михаил Яковлев]

@Михаил Яковлев, прочитайте пост перед вашим.

Компьютер был своевременно почищен, я вам отправил то, что осталось, так что логи собирать бессмысленно. Так же компьютер был проверен парой антивирусов до чистки еще, и вся гадость удалена. Помощь нужна в раскодировке поврежденных файлов, для того я отправил вам сам вредоносный скрипт и собственно поврежденный файл.

@Михаил Яковлев, прочитайте пост перед вашим.

Дублирую архив со скриптом

 

Строгое предупреждение от модератора Mark D. Pearlsone

В разделе запрещено писать в чужих темах, а на форуме запрещено выкладывать вредоносные файлы.

[shag008]

Добрый день

Прикладываю файл с собранными логами

CollectionLog-2017.05.22-11.08.zip

[regist]

1)

Антивирус Касперского 6.0 для Windows Workstations [20110330]-->MsiExec.exe /I{8F023021-A7EB-45D3-9269-D65264C81729}

Устарел и больше не поддерживается, надо обновить его на более актуальнуюв версию.

 

2) Не используйте RePack by D!akov, так как они содержат вредосное ПО и часто обращения в раздел лечения вызваны их использованием.

 

3) "Пофиксите" в HijackThis:

O24 - Desktop Component 0: (no name) - http://www.italia-ru.it/files/rojdestvo_0.jpg
O24 - Desktop Component 1: (no name) - https://uld15.mycdn.me/image?t=3&bid=834897222901&id=834897222901&plc=WEB&tkn=*rPDJnc8sPmVtNK1HAAlSwyHmHOk
O24 - Desktop Component 2: (no name) - https://i.mycdn.me/image?t=52&bid=337150586391&id=337150586391&plc=WEB&tkn=*k-cJZxsoQ1D-h4pMbtxYS1zkePs
O24 - Desktop Component 3: (no name) - https://i.mycdn.me/image?t=3&bid=850168988310&id=850168988310&plc=WEB&tkn=*WPwChB5tyPqpneqAeRf1yRUS7_g
O24 - Desktop Component 4: (no name) - https://lh3.googleusercontent.com/V81Rg7BAF6MqfxJdGZvf8U-JyW0Ta1vW5V-1cvTQI92R5sPOWp64KUzO3O_SJDz_oVrRcg=s85

 

4) С расшифровкой помочь не сможем.

 

5) Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.