Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано в Spora

1 2 3 4 5 ... 21 След.
RSS
 
Александр Балахнин
Александр Балахнин
Пользователь
Сообщений: 1
Регистрация: 10.01.2017
Размещено 10.01.2017 15:00:30
Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался  - возможно ли расшифровать файлы без оплаты ?

расшифровки файлов, зашифрованных данным вариантом шифратора Spora на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.


--------
файл шифратора удален.
Изменено: Александр Балахнин - 01.04.2018 06:10:19 (Добавлены пошифрованные файлы)
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 10.01.2017 15:09:53
Александр,
какое расширение у зашифрованных файлов?
если есть несколько зашифрованных файлов, добавьте их в архив и поместите в ваше сообщение.
вредоносные файлы не надо публиковать на форуме.
---------
судя по VT файлик hta еще никем не детектируется
https://www.virustotal.com/ru/file/3fb2e50764dea9266ca8c20681a0e0bf60feaa34a52699cf­2cf0c07d96a22553/analysis/1484050971/
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 10.01.2017 16:13:46
как минимум, скрыл каталоги в корне диска, и добавил lnk-файлы с аналогичными именами. + да, приглашение есть в личный кабинет по указанному адресу
+
к ярлыкам папок привязан запуск из %temp% исполняемого файла.

да, похоже расширение офисных файлов не меняется.
+
удаляет теневые копии:

Цитата
WMIC.exe process call create "cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures" (PID: 2760)

cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures (PID: 2976)

vssadmin.exe delete shadows /all /quiet (PID: 2984)
bcdedit.exe /set {default} recoveryenabled no (PID: 3264)
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures (PID: 3276)
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 10.01.2017 17:09:38
если вы реально пострадали от этого шифратора, следите так же за этой темой
https://www.bleepingcomputer.com/forums/t/636975/spora-ransomware-support-and-help-topic/
[ Как создать образ автозапуска? ]
 
Олег Бакеркин
Олег Бакеркин
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 11.01.2017
Размещено 11.01.2017 17:56:30
Доброе время суток.
Пошифровало большинство документов с расширениям .doc .docx .xls .xlsx у пользователя и на сервере. Также в предполагаемое время заражения появился .key файл. Форматы документов не изменились, другие форматы (pdf, изображения) также не тронуты.
Поддается ли данный вирус дешифровке, и если да - возможно ли дешифровать все документы?

На почту [email protected] архив с .key файлом и примером зашифрованного файла.  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 11.01.2017 18:01:18
Олег,
добавьте образ автозапуска из зашифрованной системы.
скорее всего шифрование произошло на компе пользователя, а каталоги сервера были у него смонтированы как сетевые диски,
поэтому и они зашифровались.

+
добавьте в ваше сообщение несколько зашифрованных файлов в архиве.
предполагаю, что у вас поработал новый шифратор spora.
[ Как создать образ автозапуска? ]
 
Олег Бакеркин
Олег Бакеркин
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 11.01.2017
Размещено 11.01.2017 18:24:03
Спасибо за быстрый ответ.
Да, вы правы, все так и произошло. прошу прощения - забыл уточнить. Кроме того, тело вируса было найдено нодом, но примерно через два часа после начала его работы.
Вирус был на компьютере пользователя, под удар попали данные на жестком и расшаренный сетевой диск. Посмотрел по отчетам - в почте отобразился как
Win32/Filecoder.Spora.A , а на компьютере - как Win32/Filecoder.NJI

Архив с документами отправил на почту, с номером заявки в названии. Если с учетом предоставленной выше информации автозагрузка еще актуальна - завтра будет образ, сейчас нет технической возможности.
Изменено: Олег Бакеркин - 11.01.2017 18:35:01
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 11.01.2017 18:31:00
детальный обзор по шифратору на bleepingcomputer
https://www.bleepingcomputer.com/news/security/spora-ransomware-works-offline-has-the-most-sophisticated-payment-site-as-of-yet/
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 11.01.2017 18:33:34
анализ файла автозагрузки актуален и для вас. чтобы в системе не осталось активных тел шифратора.
все сообщения будут перенесены в общую тему по данному шифратору.
https://forum.esetnod32.ru/forum35/topic13782/
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.01.2017 06:15:23
Цитата
Александр Балахнин написал:
Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался  - возможно ли расшифровать файлы без оплаты ?


--------
файл шифратора удален.
детальная статья по данному шифратору от Emsisoft (с русским переводом)
http://blog.emsisoft.com/ru/2017/01/10/%d0%b2%d1%8b%d0%bc%d0%be%d0%b3%d0%b0%d1%82­%d0%b5%d0%bb%d0%b8-%d0%b8%d0%b7-%d0%b4%d0%b0%d1%80%d0%ba%d0%bd%d0%b5%d1%82%d0%b0-%d0%bd%d0%be%d0%b2%d1%8b%d0%b9-%d1%88%d0%b8%d1%84%d1%80%d0%be%d0%b2%d0%b0/

кстати, похоже анализ выполнен на основе образца из вашего сообщения.
спасибо, за предоставленный исходный файл шифратора.

Цитата
К настоящему моменту известен файл под названием «Скан-копия _ 10 января 2017г. Составлено и подписано главным бухгалтером. Экспорт из 1С.a01e743_рdf.hta». Файл имеет двойное расширение с целью обмануть пользователя, заставив его поверить, что это всего лишь очередной счёт в формате PDF, в то время как настоящее расширение файла – HTA.
[ Как создать образ автозапуска? ]
 
1 2 3 4 5 ... 21 След.
Читают тему