зашифровано в Spora

RSS
Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался  - возможно ли расшифровать файлы без оплаты ?

расшифровки файлов, зашифрованных данным вариантом шифратора Spora на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.


--------
файл шифратора удален.
Изменено: Александр Балахнин - 01.04.2018 06:10:19 (Добавлены пошифрованные файлы)

Ответы

Пред. 1 ... 3 4 5 6 7 ... 21 След.
Сергей Сафонов,
судя по образу файлов шифратора нет в автозапуске.
возможно и зашифровать документы не успел сделать.
вышлите файл из временной папки в архиве с паролем infected в почты safety@chklst.ru
Добрый день, попался данный шифровальщик. Не успел все зашифровать,но пошел гулять по расшареным  папкам. В парке 30+ машин, открыли данный шифровальщик на двух из них. Имеет смысл проверять все остальные машины?
отправил на почту safety@chklst.ru
Дмитрий Н,
добавьте образ автозапуска с машины, с которой червь начал свое "триумфальное" путешествие по вашей локальной сети.
Цитата
Сергей Сафонов написал:
отправил на почту  safety@chklst.ru
Сергей, когда шифрование было?
17,01,2017 началось примерно в 11-15
Цитата
santy написал:
Дмитрий Н,
добавьте образ автозапуска с машины, с которой червь начал свое "триумфальное" путешествие по вашей локальной сети.
Цитата
Сергей Сафонов написал:
17,01,2017 началось примерно в 11-15
понятно,
да это файлик от Spora
https://www.virustotal.com/ru/file/9c0d7e7ed25844202a2edc1416a0dd9cc84fe3797a483f6b­0a3742b252d9ba56/analysis/
Цитата
Дмитрий Н написал:
Цитата
 santy  написал:
Дмитрий Н,
добавьте образ автозапуска с машины, с которой червь начал свое "триумфальное" путешествие по вашей локальной сети.
да, здесь в Темпе есть файлик, детектируемый как Spora


Полное имя                  C:\USERS\GORDEEVS\APPDATA\LOCAL\TEMPSP.EXE
Имя файла                   TEMPSP.EXE
Тек. статус                 ?ВИРУС? [Запускался неявно или вручную]
                           
www.virustotal.com          2017-01-20
Symantec                    ML.Attribute.VeryHighConfidence [Heur.AdvML.B]
ESET-NOD32                  a variant of Win32/Injector.DKCH
Avast                       Win32:Malware-gen
Kaspersky                   Trojan-Ransom.Win32.Spora.h
DrWeb                       BackDoor.Siggen.60255
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
File_Id                     5877B8421D000
Linker                      6.0
Размер                      118784 байт
Создан                      20.01.2017 в 08:18:34
Изменен                     20.01.2017 в 08:18:34
                           
TimeStamp                   12.01.2017 в 17:09:22
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        5AC3D2E71BD53E7AD70577C01F1CB4B9DFA2ABD8
MD5                         EE0D34559792DAA102296A49B7BE1E36
                           
Ссылки на объект            
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                           
--------------
обновите базы на всех антивирусных клиентах, и запустите полную проверку дисков,
если этот файл детектируется, то и производные от него так же должны детектироваться.
может мне ещё чего на компе поискать что поможет?  
Пред. 1 ... 3 4 5 6 7 ... 21 След.
Читают тему (гостей: 3)