Страницы: 1 2 3 4 5 ... 20 След.
RSS
зашифровано в Spora
 
Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался  - возможно ли расшифровать файлы без оплаты ?


--------
файл шифратора удален.
Изменено: Александр Балахнин - 25.01.2017 07:23:38 (Добавлены пошифрованные файлы)
 
Александр,
какое расширение у зашифрованных файлов?
если есть несколько зашифрованных файлов, добавьте их в архив и поместите в ваше сообщение.
вредоносные файлы не надо публиковать на форуме.
---------
судя по VT файлик hta еще никем не детектируется
https://www.virustotal.com/ru/file/3fb2e50764dea9266ca8c20681a0e0bf60feaa34a52699cf­2cf0c07d96a22553/analysis/1484050971/
 
как минимум, скрыл каталоги в корне диска, и добавил lnk-файлы с аналогичными именами. + да, приглашение есть в личный кабинет по указанному адресу
+
к ярлыкам папок привязан запуск из %temp% исполняемого файла.

да, похоже расширение офисных файлов не меняется.
+
удаляет теневые копии:

Цитата
WMIC.exe process call create "cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures" (PID: 2760)

cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures (PID: 2976)

vssadmin.exe delete shadows /all /quiet (PID: 2984)
bcdedit.exe /set {default} recoveryenabled no (PID: 3264)
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures (PID: 3276)
 
если вы реально пострадали от этого шифратора, следите так же за этой темой
https://www.bleepingcomputer.com/forums/t/636975/spora-ransomware-support-and-help-topic/
 
Доброе время суток.
Пошифровало большинство документов с расширениям .doc .docx .xls .xlsx у пользователя и на сервере. Также в предполагаемое время заражения появился .key файл. Форматы документов не изменились, другие форматы (pdf, изображения) также не тронуты.
Поддается ли данный вирус дешифровке, и если да - возможно ли дешифровать все документы?

На почту support@esetnod32.ru архив с .key файлом и примером зашифрованного файла.  
 
Олег,
добавьте образ автозапуска из зашифрованной системы.
скорее всего шифрование произошло на компе пользователя, а каталоги сервера были у него смонтированы как сетевые диски,
поэтому и они зашифровались.

+
добавьте в ваше сообщение несколько зашифрованных файлов в архиве.
предполагаю, что у вас поработал новый шифратор spora.
 
Спасибо за быстрый ответ.
Да, вы правы, все так и произошло. прошу прощения - забыл уточнить. Кроме того, тело вируса было найдено нодом, но примерно через два часа после начала его работы.
Вирус был на компьютере пользователя, под удар попали данные на жестком и расшаренный сетевой диск. Посмотрел по отчетам - в почте отобразился как
Win32/Filecoder.Spora.A , а на компьютере - как Win32/Filecoder.NJI

Архив с документами отправил на почту, с номером заявки в названии. Если с учетом предоставленной выше информации автозагрузка еще актуальна - завтра будет образ, сейчас нет технической возможности.
Изменено: Олег Бакеркин - 11.01.2017 18:35:01
 
детальный обзор по шифратору на bleepingcomputer
https://www.bleepingcomputer.com/news/security/spora-ransomware-works-offline-has-the-most-sophisticated-payment-site-as-of-yet/
 
анализ файла автозагрузки актуален и для вас. чтобы в системе не осталось активных тел шифратора.
все сообщения будут перенесены в общую тему по данному шифратору.
https://forum.esetnod32.ru/forum35/topic13782/
 
Цитата
Александр Балахнин написал:
Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался  - возможно ли расшифровать файлы без оплаты ?


--------
файл шифратора удален.
детальная статья по данному шифратору от Emsisoft (с русским переводом)
http://blog.emsisoft.com/ru/2017/01/10/%d0%b2%d1%8b%d0%bc%d0%be%d0%b3%d0%b0%d1%82­%d0%b5%d0%bb%d0%b8-%d0%b8%d0%b7-%d0%b4%d0%b0%d1%80%d0%ba%d0%bd%d0%b5%d1%82%d0%b0-%d0%bd%d0%be%d0%b2%d1%8b%d0%b9-%d1%88%d0%b8%d1%84%d1%80%d0%be%d0%b2%d0%b0/

кстати, похоже анализ выполнен на основе образца из вашего сообщения.
спасибо, за предоставленный исходный файл шифратора.

Цитата
К настоящему моменту известен файл под названием «Скан-копия _ 10 января 2017г. Составлено и подписано главным бухгалтером. Экспорт из 1С.a01e743_рdf.hta». Файл имеет двойное расширение с целью обмануть пользователя, заставив его поверить, что это всего лишь очередной счёт в формате PDF, в то время как настоящее расширение файла – HTA.
Страницы: 1 2 3 4 5 ... 20 След.
Читают тему (гостей: 1)