зашифровано в Spora

RSS
Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался  - возможно ли расшифровать файлы без оплаты ?

расшифровки файлов, зашифрованных данным вариантом шифратора Spora на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.


--------
файл шифратора удален.
Изменено: Александр Балахнин - 01.04.2018 06:10:19 (Добавлены пошифрованные файлы)

Ответы

Цитата
santy написал:
анализ файла автозагрузки актуален и для вас. чтобы в системе не осталось активных тел шифратора.
все сообщения будут перенесены в общую тему по данному шифратору.
https://forum.esetnod32.ru/forum35/topic13782/
Пришел ответ, что на данный момент спора - новый вирус, и дешифратора нет. Значит, будем ждать.
Также отправил ответом на почту все запрошенные вчерашним письмом документы:
- 10 примеров документов
- Тело вируса в архиве с паролем infected
- Образ автозагрузки сделанный ПО в вашей подписи
- key файл, созданный вирусом
Буду периодически проверять почту и данную тему, может со временем найдется решение
Цитата
Олег Бакеркин написал:
- Образ автозагрузки сделанный ПО в вашей подписи
образ автозапуска добавьте в ваше сообщение здесь, на форум.
Готово.
собственно,
после завершения шифрования в автозапуске остается только html-записка о выкупе (не представляет угрозы).

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE

delref %SystemDrive%\USERS\USER05\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\USER05\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&UTM_SOURCE=IEB&UTM_MEDIUM=CPC&UTM_CAMPAIGN=BROWSERS

delref HTTP://SEARCH.QIP.RU/IE

delref HTTP://QIP.RU/?UTM_SOURCE=QIP2012&UTM_MEDIUM=CPC&UTM_CAMPAIGN=QIP2012_START

delref HTTP://SEARCH.QIP.RU

delref HTTP://WWW.QIP.RU/

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровка в данном случае, (как и с VAULT) видимо, возможна в том случае, если будет получен  доступ к приватным ключам мошенников.
Здравствуйте!
Словили странный шифровальщик. Ни чего не требует, расширение не менялось, ни каких текстовых файлов с содержанием нет.
Файлы офиса и медиа  не открываются. Чем сможете помочь?
Пример зашифрованного файла:1
Denis Afanaseyev,
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

если сохранился источник шифратора: ссылка, или вложение из электронного сообщения - вышлите в почту safety@chklst.ru
в архиве rar, с паролем infected
Вот, пожалуйста!
судя по образу, каких то следов шифрования, работы шифратора (уже) нет.

globe3 не подошел?

если сохранился источник шифратора: ссылка, или вложение из электронного сообщения - вышлите в почту safety@chklst.ru
в архиве rar, с паролем infected
Цитата
Создались ярлыки вместо папок папки скрылись, содержимое папок не открывается. Расширения стандартные. в ярлыках пути такие
C:\Windows\system32\cmd.exe /c explorer.exe "\\PARIZH_SERVER\Документы\itmaster" & type "\\PARIZH_SERVER\Документы\0b42f998-8c83-9c3e-bbc6-fda4f022ba24.exe" > "%tmp%\0b42f998-8c83-9c3e-bbc6-fda4f022ba24.exe" & start "\\PARIZH_SERVER\Документы\itmaster" "%tmp%
Сам файл прикреплен
угу, теперь понятно что это.
это Spora.
https://chklst.ru/discussion/1583/vymogateli-iz-darkneta-novyy-shifrovalschik-spora

собственно, скрытие папок в корне диска - один из симптомов Spora. Второй признак, это создание ярлыков, с запуском файлика Spora.
третий признак - это шифрование файла без изменения расширения.
трудно сказать почему не вышло html сообщение от Spora, возможно процесс шифрования не был завершен.

проверьте так же карантин установленного антивируса. что там есть,
а так же
примерно вот такие файлы:
RU58B-*****-RTXTX-****-TXHYY.HTML
RU58B-*****-RTXTX-****-TXHYY.KEY
RU58B-*****-RTXTX-****-TXHYY.LST
----------
ваш вложенный файл пока скрыл из ленты сообщений.
https://www.virustotal.com/ru/file/c6f0a6c4b0e07d61f914c96a343a03c7461c8d9235eb8aa8­841c71e953eb6938/analysis/

ESET-NOD32 Win32/Filecoder.Spora.A 20170118

вообще, файл отправлен на VT два дня назад, должен был попасть в сигнатуры.
First submission 2017-01-16 05:35:58 UTC (2 дней, 1 час назад)
+
добавьте лог журнала обнаружения угроз:
http://forum.esetnod32.ru/forum9/topic1408/

--------
расшифровка по SPora в настоящее время в антивирусных компаниях невозможна.
(Не очень) добрый день.
поймали сегодня этот же шивровальщик.
ухнулись все документы.
антивирусник промолчал.
и при проверке вирусного ЕХЕ-шника тоже молчит
утилита от ВЕБера только определяет его как Trojan.Inject2.41264
Имею пока в наличии и само исходное письмо, и результаты его действия
файлы .HTA .EXE .HTML .LST .KEY
могу достать зашифрованный и не зашифрованный документ.

есть ли какие действующие лекарства от данной гадости? и главное есть ли - способ вернуть документы?  
Читают тему (гостей: 3)