зашифровано в Spora

RSS

Сообщений: 1

Регистрация: 10.01.2017

Размещено 10.01.2017 15:00:30

Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался - возможно ли расшифровать файлы без оплаты ?

расшифровки файлов, зашифрованных данным вариантом шифратора Spora на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

--------
файл шифратора удален.

Прикрепленные файлы

crypted_files.zip (128.1 КБ)

Изменено: Александр Балахнин - 01.04.2018 06:10:19 (Добавлены пошифрованные файлы)

Ответы

Пред. 1 2 3 4 5 ... 21 След.

Сообщений: 4

Баллов: 2

Регистрация: 11.01.2017

Размещено 12.01.2017 08:19:16

Цитата
santy написал: анализ файла автозагрузки актуален и для вас. чтобы в системе не осталось активных тел шифратора. все сообщения будут перенесены в общую тему по данному шифратору. https://forum.esetnod32.ru/forum35/topic13782/

Пришел ответ, что на данный момент спора - новый вирус, и дешифратора нет. Значит, будем ждать.
Также отправил ответом на почту все запрошенные вчерашним письмом документы:
- 10 примеров документов
- Тело вируса в архиве с паролем infected
- Образ автозагрузки сделанный ПО в вашей подписи
- key файл, созданный вирусом
Буду периодически проверять почту и данную тему, может со временем найдется решение

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.01.2017 09:02:22

Цитата
Олег Бакеркин написал: - Образ автозагрузки сделанный ПО в вашей подписи

образ автозапуска добавьте в ваше сообщение здесь, на форум.

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 11.01.2017

Размещено 12.01.2017 09:24:34

Готово.

Прикрепленные файлы

LOCK-PC08_2017-01-12_09-25-37.7z (557.26 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.01.2017 09:35:12

собственно,
после завершения шифрования в автозапуске остается только html-записка о выкупе (не представляет угрозы).

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE delref %SystemDrive%\USERS\USER05\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\USER05\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&UTM_SOURCE=IEB&UTM_MEDIUM=CPC&UTM_CAMPAIGN=BROWSERS delref HTTP://SEARCH.QIP.RU/IE delref HTTP://QIP.RU/?UTM_SOURCE=QIP2012&UTM_MEDIUM=CPC&UTM_CAMPAIGN=QIP2012_START delref HTTP://SEARCH.QIP.RU delref HTTP://WWW.QIP.RU/ deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE

delref %SystemDrive%\USERS\USER05\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\USER05\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&UTM_SOURCE=IEB&UTM_MEDIUM=CPC&UTM_CAMPAIGN=BROWSERS

delref HTTP://SEARCH.QIP.RU/IE

delref HTTP://QIP.RU/?UTM_SOURCE=QIP2012&UTM_MEDIUM=CPC&UTM_CAMPAIGN=QIP2012_START

delref HTTP://SEARCH.QIP.RU

delref HTTP://WWW.QIP.RU/

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровка в данном случае, (как и с VAULT) видимо, возможна в том случае, если будет получен доступ к приватным ключам мошенников.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 10.11.2016

Размещено 18.01.2017 08:08:11

Здравствуйте!
Словили странный шифровальщик. Ни чего не требует, расширение не менялось, ни каких текстовых файлов с содержанием нет.
Файлы офиса и медиа не открываются. Чем сможете помочь?
Пример зашифрованного файла:

Скрытый текст

Прикрепленные файлы

Анкета Дисконтная карта.7z (17.79 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.01.2017 08:53:23

Denis Afanaseyev,
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

если сохранился источник шифратора: ссылка, или вложение из электронного сообщения - вышлите в почту [email protected]
в архиве rar, с паролем infected

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 10.11.2016

Размещено 18.01.2017 09:19:59

Вот, пожалуйста!

Прикрепленные файлы

PARIZH_SERVER_2017-01-18_10-12-17.7z (356.49 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.01.2017 09:36:24

судя по образу, каких то следов шифрования, работы шифратора (уже) нет.

globe3 не подошел?

если сохранился источник шифратора: ссылка, или вложение из электронного сообщения - вышлите в почту [email protected]
в архиве rar, с паролем infected

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.01.2017 10:26:48

Цитата
Создались ярлыки вместо папок папки скрылись, содержимое папок не открывается. Расширения стандартные. в ярлыках пути такие C:\Windows\system32\cmd.exe /c explorer.exe "\\PARIZH_SERVER\Документы\itmaster" & type "\\PARIZH_SERVER\Документы\0b42f998-8c83-9c3e-bbc6-fda4f022ba24.exe" > "%tmp%\0b42f998-8c83-9c3e-bbc6-fda4f022ba24.exe" & start "\\PARIZH_SERVER\Документы\itmaster" "%tmp% Сам файл прикреплен

Цитата

Создались ярлыки вместо папок папки скрылись, содержимое папок не открывается. Расширения стандартные. в ярлыках пути такие
C:\Windows\system32\cmd.exe /c explorer.exe "\\PARIZH_SERVER\Документы\itmaster" & type "\\PARIZH_SERVER\Документы\0b42f998-8c83-9c3e-bbc6-fda4f022ba24.exe" > "%tmp%\0b42f998-8c83-9c3e-bbc6-fda4f022ba24.exe" & start "\\PARIZH_SERVER\Документы\itmaster" "%tmp%
Сам файл прикреплен

угу, теперь понятно что это.
это Spora.
https://chklst.ru/discussion/1583/vymogateli-iz-darkneta-novyy-shifrovalschik-spora

собственно, скрытие папок в корне диска - один из симптомов Spora. Второй признак, это создание ярлыков, с запуском файлика Spora.
третий признак - это шифрование файла без изменения расширения.
трудно сказать почему не вышло html сообщение от Spora, возможно процесс шифрования не был завершен.

проверьте так же карантин установленного антивируса. что там есть,
а так же
примерно вот такие файлы:
RU58B-*****-RTXTX-****-TXHYY.HTML
RU58B-*****-RTXTX-****-TXHYY.KEY
RU58B-*****-RTXTX-****-TXHYY.LST
----------
ваш вложенный файл пока скрыл из ленты сообщений.
https://www.virustotal.com/ru/file/c6f0a6c4b0e07d61f914c96a343a03c7461c8d9235eb8aa8841c71e953eb6938/analysis/

ESET-NOD32 Win32/Filecoder.Spora.A 20170118

вообще, файл отправлен на VT два дня назад, должен был попасть в сигнатуры.
First submission 2017-01-16 05:35:58 UTC (2 дней, 1 час назад)
+
добавьте лог журнала обнаружения угроз:
http://forum.esetnod32.ru/forum9/topic1408/

--------
расшифровка по SPora в настоящее время в антивирусных компаниях невозможна.

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 18.01.2017

Размещено 18.01.2017 11:35:50

(Не очень) добрый день.
поймали сегодня этот же шивровальщик.
ухнулись все документы.
антивирусник промолчал.
и при проверке вирусного ЕХЕ-шника тоже молчит
утилита от ВЕБера только определяет его как Trojan.Inject2.41264
Имею пока в наличии и само исходное письмо, и результаты его действия
файлы .HTA .EXE .HTML .LST .KEY
могу достать зашифрованный и не зашифрованный документ.

есть ли какие действующие лекарства от данной гадости? и главное есть ли - способ вернуть документы?

Пред. 1 2 3 4 5 ... 21 След.