зашифровано в Spora

RSS
Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался  - возможно ли расшифровать файлы без оплаты ?

расшифровки файлов, зашифрованных данным вариантом шифратора Spora на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.


--------
файл шифратора удален.
Изменено: Александр Балахнин - 01.04.2018 06:10:19 (Добавлены пошифрованные файлы)

Ответы

Цитата
Алексей Бахир написал:
т.е. вирус очень свежий? (судя по сообщениям в Интернете начал активно действовать после нового года)
И каковы шансы что решение проблемы будет вообще найдено?  
(года два назад другая контора была попала под аналогичный шивровальщик, только он еще и расщирение файлов менял)
Есть примеры удачного решения данной проблемы для других вирусов?
да, распространяется, где то с 10января 2017 года
https://chklst.ru/discussion/1583/vymogateli-iz-darkneta-novyy-shifrovalschik-spora
удачных примеров по расшифровке Spora нет.
специалисты оценивают шансы расшифровать без приватных ключей как минимальные, близкие к 0.


эти файлы так же сохраните, возможно будут нужны при расшифровке.

RU6AD-7CRZH-XTXXO-TZTOO-ARTXR-HKHTO-HAYYY.*
Цитата
Александр Балахнин написал:
Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
.
мало того, он "убивает"  картинки PDF-ки и JPG-шли.
однако не трогает RAW-ки и BMP-шки - поэтому погибла только половина фотоархива.
Цитата
Алексей Бахир написал:
однако не трогает RAW-ки и BMP-шки

Злоумышлении заинтересованы в том, чтобы шифрование прошло как можно быстрее и шифровались важные файлы.
Spora является еще и червем, и может распространяться через съемные диски, если они были подключены на момент запуска шифратора.

Цитата
Spora spreads via USB drives like Gamarue and Dinihou aka Jenxcus whilst also encrypting files. The sophistication of this threat could easily make it the new Locky. We discuss its infection and encryption procedure and show how it uses statistical values about encrypted files to calculate the ransom amount.

https://blog.gdatasoftware.com/2017/01/29442-spora-worm-and-ransomware
Цитата
santy написал:
Spora является еще и червем, и может распространяться через съемные диски, если они были подключены на момент запуска шифратора.
гораздо хуже что он еще и по сети умеет ползать (при расшаренных папках)
к инфицированному были подключены два компа по сети, на обоих было расшарено по одной папке для обмена данными, на один успел пролезть, на второй почему-то не успел.
Цитата
Эдуард Казаневский написал:
Вот что я нашел у себя.
Эдуард,
не надо постить вирусные тела на форуме,
https://www.virustotal.com/ru/file/491afa46f1f4ed5e9831e92bf31a65505a89a9d12fc010bc­5e1369f0e4ae12e9/analysis/

для этого есть форма отправки вирусов в техподдержку.
https://www.esetnod32.ru/support/knowledge_base/new_virus/
+
добавьте образ автозапуска системы, где были обнаружены данные файлы.
Цитата
santy написал:
Цитата
 Эдуард Казаневский  написал:
Вот что я нашел у себя.
Эдуард,
не надо постить вирусные тела на форуме,
 https://www.virustotal.com/ru/file/491afa46f1f4ed5e9831e92bf31a65505a89a9d12fc010bc­ ­5e1369f0e4ae12e9/analysis/  

для этого есть форма отправки вирусов в техподдержку.
https://www.esetnod32.ru/support/knowledge_base/new_virus/
+
добавьте образ автозапуска системы, где были обнаружены данные файлы.
Прошу прощения за ошибку.
Вот полный образ автозапуска систмы
Спасибо!
Эдуард,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

zoo %SystemDrive%\USERS\ADMIN\DESKTOP\ABB396BF-8B2A-99D0-7BC3-B781F2125FB5.EXE
addsgn A7679BF0AA02F4382BD4C60D4BE81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C7E3EFFE82BD6D73C940D775BACCA969A53 9 Win32/Injector

zoo %SystemDrive%\ABB396BF-8B2A-99D0-7BC3-B781F2125FB5.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\ABB396BF-8B2A-99D0-7BC3-B781F2125FB5.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO\1.0.8_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.25_0\ПОИСК MAIL.RU

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\UNITY\WEBPLAYER

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; Ticno Tabs
exec C:\Program Files\Ticno\Tabs\Uninstall.exe

deldirex %SystemDrive%\PROGRAM FILES\TICNO\TABS


deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

сохраните зашифрованные документы из важных папок на отдельный носитель, и ждите когда будет расшифровка.
+
сохраните эти файлы: ваш ключ*.key, ваш ключ*.lst, ваш ключ*.html, по которым ваш комп идентифицирует Spora.
Поймали этот вирус, успели выключить компьютер и отключить его от сети. После включения ни каких сообщений об оплате не появлялось. во временных папках пользователя есть исполняемый файл. Что сделать что бы проверить не остался вирус ли на компе и может быть остались ключи для расшифровки  
Изменено: Сергей Сафонов - 20.01.2017 14:26:13
Сергей Сафонов,
добавьте образ автозапуска системы в uVS
http://forum.esetnod32.ru/forum9/topic2687/
+
обратите внимание на то, что файл шифратора имеет функционал червя, т.е. скрывает папки в корне диска, и добавляет ярлыки папок,
в ярлыки добавлен запуск файла шифратора, так что можно таким образом и повторно запустить тело шифратора.
--------
файл образа посмотрю немного позже.
Читают тему (гостей: 3)