зашифровано в Spora

RSS
Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался  - возможно ли расшифровать файлы без оплаты ?

расшифровки файлов, зашифрованных данным вариантом шифратора Spora на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.


--------
файл шифратора удален.
Изменено: Александр Балахнин - 01.04.2018 06:10:19 (Добавлены пошифрованные файлы)

Ответы

Алексей Бахир,
добавьте образ автозапуска системы, на которой было шифрование
http://forum.esetnod32.ru/forum9/topic2687/

исходное сообщение перешлите в почту safety@chklst.ru в архиве с паролем infected
+
добавьте исполняемый exe шифратора, так же в архиве, с паролем infected
Цитата
santy написал:
Алексей Бахир,
добавьте образ автозапуска системы, на которой было шифрование

Сами ЕХЕшники по всем диска я поубивал (кроме одного. оставленного для изучения)

вот еще интересный вопрос.
а если вирус запустить два раза? будет ли он перешифровывать повторно уже зашиврованные документы?
Здравствуйте. Тоже стали жертвой шифровальщика spora, прикрепляю зашифрованный файл и образ автозапуска системы. Можно ли расшифровать?
Цитата
Алексей Бахир написал:
Сами ЕХЕшники по всем диска я поубивал (кроме одного. оставленного для изучения)

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
sreg

delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\QQPCRTP.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\TAOFRAME.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\QMUDISK.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\QQSYSMON.SYS
delref %Sys32%\DRIVERS\TFSFLT.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\TS888.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\TSKSP.SYS
delref %Sys32%\TSSK.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\TSSYSKIT.SYS
delref %Sys32%\DRIVERS\TAOACCELERATOR.SYS
delref %Sys32%\DRIVERS\TAOKERNEL.SYS
delref %Sys32%\DRIVERS\TSFLTMGR.SYS
delref %Sys32%\DRIVERS\UCGUARD.SYS
areg


перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска.
Цитата
Марк Овкин написал:
Здравствуйте. Тоже стали жертвой шифровальщика spora, прикрепляю зашифрованный файл и образ автозапуска системы. Можно ли расшифровать?

файл от Spora, который называется RU42D-8EXXR-HTFGT-ZTXZH-ZTXRG-ATGEY.key сохраните,
поскольку именно он вас идентифицирует в базе мошенников, и скорее всего в нем зашифрован ваш приватный ключ, который необходим будет для расшифровки файлов. (если до этого дойдет когда -нибудь)


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FUPDATE\FUPDATE.EXE
addsgn 1A26739A5583CC8CF42B5194B849530570011000CCF21E2E0E3202BA3C51304C571DA95B68BDA3B5D47FDDC6CDD017A7BFDBE8BE99167C7DA03B8027ECCEA192 8 Win32/Adware.RuKoma

zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\SEARCHGO\SEARCHGO.EXE
addsgn 1AE2B39A5583338CF42B464E1BC8128EF501BE9AB2FF2B67C0C3B1ACDBDB89536617461D4E2098A1B7F6849FCD564D3995069772555160A76F1B9F2AF3196773 8 Win32/Adware.SearchGo

zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCALLOW\SEARCHGO\SEARCHGO.DLL
addsgn A7679B1928664D070E3C821F64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D1DBA28906C5F0F1649C9BD9F6307595F4659214E91378402327C 64 Win32/Adware.SearchGo

addsgn A7679BF0AA02F4382BD4C60D4BE81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C7E3EFFE82BD6D73C940D775BACCA969A53 8 Win32/Injector

zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\DESKTOP\112F79F4-B344-3BA7-DD35-0C92AF820555.EXE
zoo %SystemDrive%\112F79F4-B344-3BA7-DD35-0C92AF820555.EXE
zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\TEMP\112F79F4-B344-3BA7-DD35-0C92AF820555.EXE
zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU42D-8EXXR-HTFGT-ZTXZH-ZTXRG-ATGEY.HTML
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU42D-8EXXR-HTFGT-ZTXZH-ZTXRG-ATGEY.HTML
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SPXQBLPFKICEYNI.POLITICAL-JUMP.TOP/CHROME.CRX
delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\RIGHTCHOSE\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\RIGHTCHOSE\REGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\ROAMING\PBOT\PYTHON\PYTHONW.EXE
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\ROAMING\PBOT\PYTHON\PYTHONW.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOJNMEMGACLIIFIHCAGIJAADGPEIOOOA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FILTEROPTIONS\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FILTEROPTIONS\REGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\TESTMENU\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\TESTMENU\REGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\IMMEDIATEHELP\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\IMMEDIATEHELP\REGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\DATEOPTION\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\DATEOPTION\REGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
delref HTTP://GRANENA.RU/?UTM_SOURCE=UOUA03N&UTM_CONTENT=E739009BCCD5F1E6D71A91BFF5994529&UTM_TERM=BAB48F2455BCBB04809B551F46B0A901&UTM_D=20161121
delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FILESYSTEMOPTIONS\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FILESYSTEMOPTIONS\REGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\LASTNEWS\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\LASTNEWS\REGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\VALIDATELIFE\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\VALIDATELIFE\REGCHECK.VBS

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

расшифровки по Spora нет,
на сколько я понимаю все эти "Коды" для чистки - это всего лишь альтернатива обычному  ССleaner-у?
т.е. небольшая чистка реестра от старого мусора, ни как не связанная с проблемой воздействия вируса?
и ни каких "рецептов" по восстановлению документов не предвидится....  
Цитата
Алексей Бахир написал:
на сколько я понимаю все эти "Коды" для чистки - это всего лишь альтернатива обычному  ССleaner-у?
т.е. небольшая чистка реестра от старого мусора, ни как не связанная с проблемой воздействия вируса?
и ни каких "рецептов" по восстановлению документов не предвидится....

Алексей Бахир,
здесь много мусора, с которым ccleaner просто не справится.
----------
рецепты по восстановлению: сохранить зашифрованные документы из важных папок на отдельный носитель,
а также файл KEY, который был создан шифратором,
(примерно, такой
RU42D-8EXXR-HTFGT-ZTXZH-ZTXRG-ATGEY.key
только у вас будет другой код)

и ждать, когда будет решение по расшифровке.
--------
по вашим файлам:
exe:
https://www.virustotal.com/ru/file/491afa46f1f4ed5e9831e92bf31a65505a89a9d12fc010bc­5e1369f0e4ae12e9/analysis/1484733825/
hta:
https://www.virustotal.com/ru/file/15b093c9185496d62161ba6d69cb6e7f992d385e7985a017­80a896b64c3b9e64/analysis/1484733946/
Цитата
santy написал:
Цитата
здесь много мусора, с которым ccleaner просто не справится.
но в любом случае это "лечение" не имеет касательства к устранению последствий вируса?
(это так называемое "симптоматическое" лечение. т.е. устранение действующего вируса если он есть, и устранение его остатков и следов)

так выходит что  единственным выходом по восстановлению данных  - это идти на указанный злоумышленниками адрес и на свой страх и риск пытаться потерять еще и деньги в дополнение к потерянным данным?  
Цитата
santy написал:
и ждать, когда будет решение по расшифровке.
т.е. вирус очень свежий? (судя по сообщениям в Интернете начал активно действовать после нового года)
И каковы шансы что решение проблемы будет вообще найдено?  
(года два назад другая контора была попала под аналогичный шивровальщик, только он еще и расщирение файлов менял)
Есть примеры удачного решения данной проблемы для других вирусов?  
Изменено: Алексей Бахир - 18.01.2017 13:10:33
Алексей Бахир,
это не единственный выход или вывод, который вы должны сделать.
1. проводить разъяснение среди сотрудников, чтобы не открывали все подряд.
2. настроить локальные политики по ограничению запуска исполняемых программ, в том числе из архивов.
3. настроить регулярное создание архивных копий документов на отдельный носитель, так чтобы данный диск был не доступен в том случае, если запускаются шифраторы.

очистка системы здесь необходима в любом случае, если вы, или ваши сотрудники планируют на нем работать дальше.
Читают тему (гостей: 9)