зашифровано в Spora

RSS

Сообщений: 1

Регистрация: 10.01.2017

Размещено 10.01.2017 15:00:30

Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался - возможно ли расшифровать файлы без оплаты ?

расшифровки файлов, зашифрованных данным вариантом шифратора Spora на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

--------
файл шифратора удален.

Прикрепленные файлы

crypted_files.zip (128.1 КБ)

Изменено: Александр Балахнин - 01.04.2018 06:10:19 (Добавлены пошифрованные файлы)

Ответы

Пред. 1 2 3 4 5 ... 21 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.01.2017 11:45:34

Алексей Бахир,
добавьте образ автозапуска системы, на которой было шифрование
http://forum.esetnod32.ru/forum9/topic2687/

исходное сообщение перешлите в почту [email protected] в архиве с паролем infected
+
добавьте исполняемый exe шифратора, так же в архиве, с паролем infected

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 18.01.2017

Размещено 18.01.2017 12:16:25

Цитата
santy написал: Алексей Бахир, добавьте образ автозапуска системы, на которой было шифрование

Сами ЕХЕшники по всем диска я поубивал (кроме одного. оставленного для изучения)

вот еще интересный вопрос.
а если вирус запустить два раза? будет ли он перешифровывать повторно уже зашиврованные документы?

Прикрепленные файлы

METODIST2_2017-01-18_11-57-02.7z (492.4 КБ)

Сообщений: 1

Регистрация: 18.01.2017

Размещено 18.01.2017 12:22:41

Здравствуйте. Тоже стали жертвой шифровальщика spora, прикрепляю зашифрованный файл и образ автозапуска системы. Можно ли расшифровать?

Прикрепленные файлы

WS04_2017-01-18_12-03-09.7z (730.74 КБ)
crypted_file.rar (14.2 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.01.2017 12:35:41

Цитата
Алексей Бахир написал: Сами ЕХЕшники по всем диска я поубивал (кроме одного. оставленного для изучения)

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 sreg delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\QQPCRTP.EXE delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\TAOFRAME.EXE delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\QMUDISK.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\QQSYSMON.SYS delref %Sys32%\DRIVERS\TFSFLT.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\TS888.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\TSKSP.SYS delref %Sys32%\TSSK.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\TSSYSKIT.SYS delref %Sys32%\DRIVERS\TAOACCELERATOR.SYS delref %Sys32%\DRIVERS\TAOKERNEL.SYS delref %Sys32%\DRIVERS\TSFLTMGR.SYS delref %Sys32%\DRIVERS\UCGUARD.SYS areg

Код


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
sreg

delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\QQPCRTP.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\TAOFRAME.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\QMUDISK.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\QQSYSMON.SYS
delref %Sys32%\DRIVERS\TFSFLT.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\TS888.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\TSKSP.SYS
delref %Sys32%\TSSK.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16779.224\TSSYSKIT.SYS
delref %Sys32%\DRIVERS\TAOACCELERATOR.SYS
delref %Sys32%\DRIVERS\TAOKERNEL.SYS
delref %Sys32%\DRIVERS\TSFLTMGR.SYS
delref %Sys32%\DRIVERS\UCGUARD.SYS
areg

перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.01.2017 12:45:02

Цитата
Марк Овкин написал: Здравствуйте. Тоже стали жертвой шифровальщика spora, прикрепляю зашифрованный файл и образ автозапуска системы. Можно ли расшифровать?

файл от Spora, который называется RU42D-8EXXR-HTFGT-ZTXZH-ZTXRG-ATGEY.key сохраните,
поскольку именно он вас идентифицирует в базе мошенников, и скорее всего в нем зашифрован ваш приватный ключ, который необходим будет для расшифровки файлов. (если до этого дойдет когда -нибудь)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FUPDATE\FUPDATE.EXE addsgn 1A26739A5583CC8CF42B5194B849530570011000CCF21E2E0E3202BA3C51304C571DA95B68BDA3B5D47FDDC6CDD017A7BFDBE8BE99167C7DA03B8027ECCEA192 8 Win32/Adware.RuKoma zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\SEARCHGO\SEARCHGO.EXE addsgn 1AE2B39A5583338CF42B464E1BC8128EF501BE9AB2FF2B67C0C3B1ACDBDB89536617461D4E2098A1B7F6849FCD564D3995069772555160A76F1B9F2AF3196773 8 Win32/Adware.SearchGo zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCALLOW\SEARCHGO\SEARCHGO.DLL addsgn A7679B1928664D070E3C821F64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D1DBA28906C5F0F1649C9BD9F6307595F4659214E91378402327C 64 Win32/Adware.SearchGo addsgn A7679BF0AA02F4382BD4C60D4BE81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C7E3EFFE82BD6D73C940D775BACCA969A53 8 Win32/Injector zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\DESKTOP\112F79F4-B344-3BA7-DD35-0C92AF820555.EXE zoo %SystemDrive%\112F79F4-B344-3BA7-DD35-0C92AF820555.EXE zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\TEMP\112F79F4-B344-3BA7-DD35-0C92AF820555.EXE zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU42D-8EXXR-HTFGT-ZTXZH-ZTXRG-ATGEY.HTML del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU42D-8EXXR-HTFGT-ZTXZH-ZTXRG-ATGEY.HTML ;------------------------autoscript--------------------------- chklst delvir delref HTTP://SPXQBLPFKICEYNI.POLITICAL-JUMP.TOP/CHROME.CRX delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\RIGHTCHOSE\REGCHECK.VBS del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\RIGHTCHOSE\REGCHECK.VBS delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\ROAMING\PBOT\PYTHON\PYTHONW.EXE del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\ROAMING\PBOT\PYTHON\PYTHONW.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOJNMEMGACLIIFIHCAGIJAADGPEIOOOA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FILTEROPTIONS\REGCHECK.VBS del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FILTEROPTIONS\REGCHECK.VBS delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\TESTMENU\REGCHECK.VBS del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\TESTMENU\REGCHECK.VBS delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\IMMEDIATEHELP\REGCHECK.VBS del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\IMMEDIATEHELP\REGCHECK.VBS delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\DATEOPTION\REGCHECK.VBS del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\DATEOPTION\REGCHECK.VBS delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU delref HTTP://GRANENA.RU/?UTM_SOURCE=UOUA03N&UTM_CONTENT=E739009BCCD5F1E6D71A91BFF5994529&UTM_TERM=BAB48F2455BCBB04809B551F46B0A901&UTM_D=20161121 delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FILESYSTEMOPTIONS\REGCHECK.VBS del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FILESYSTEMOPTIONS\REGCHECK.VBS delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\LASTNEWS\REGCHECK.VBS del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\LASTNEWS\REGCHECK.VBS delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\VALIDATELIFE\REGCHECK.VBS del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\VALIDATELIFE\REGCHECK.VBS deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FUPDATE\FUPDATE.EXE
addsgn 1A26739A5583CC8CF42B5194B849530570011000CCF21E2E0E3202BA3C51304C571DA95B68BDA3B5D47FDDC6CDD017A7BFDBE8BE99167C7DA03B8027ECCEA192 8 Win32/Adware.RuKoma

zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\SEARCHGO\SEARCHGO.EXE
addsgn 1AE2B39A5583338CF42B464E1BC8128EF501BE9AB2FF2B67C0C3B1ACDBDB89536617461D4E2098A1B7F6849FCD564D3995069772555160A76F1B9F2AF3196773 8 Win32/Adware.SearchGo

zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCALLOW\SEARCHGO\SEARCHGO.DLL
addsgn A7679B1928664D070E3C821F64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D1DBA28906C5F0F1649C9BD9F6307595F4659214E91378402327C 64 Win32/Adware.SearchGo

addsgn A7679BF0AA02F4382BD4C60D4BE81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C7E3EFFE82BD6D73C940D775BACCA969A53 8 Win32/Injector

zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\DESKTOP\112F79F4-B344-3BA7-DD35-0C92AF820555.EXE
zoo %SystemDrive%\112F79F4-B344-3BA7-DD35-0C92AF820555.EXE
zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\TEMP\112F79F4-B344-3BA7-DD35-0C92AF820555.EXE
zoo %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU42D-8EXXR-HTFGT-ZTXZH-ZTXRG-ATGEY.HTML
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU42D-8EXXR-HTFGT-ZTXZH-ZTXRG-ATGEY.HTML
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SPXQBLPFKICEYNI.POLITICAL-JUMP.TOP/CHROME.CRX
delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\RIGHTCHOSE\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\RIGHTCHOSE\REGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\ROAMING\PBOT\PYTHON\PYTHONW.EXE
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\ROAMING\PBOT\PYTHON\PYTHONW.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOJNMEMGACLIIFIHCAGIJAADGPEIOOOA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FILTEROPTIONS\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FILTEROPTIONS\REGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\TESTMENU\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\TESTMENU\REGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\IMMEDIATEHELP\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\IMMEDIATEHELP\REGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\DATEOPTION\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\DATEOPTION\REGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
delref HTTP://GRANENA.RU/?UTM_SOURCE=UOUA03N&UTM_CONTENT=E739009BCCD5F1E6D71A91BFF5994529&UTM_TERM=BAB48F2455BCBB04809B551F46B0A901&UTM_D=20161121
delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FILESYSTEMOPTIONS\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\FILESYSTEMOPTIONS\REGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\LASTNEWS\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\LASTNEWS\REGCHECK.VBS

delref %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\VALIDATELIFE\REGCHECK.VBS
del %SystemDrive%\USERS\ПОМГЛАВБУХ\APPDATA\LOCAL\VALIDATELIFE\REGCHECK.VBS

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

расшифровки по Spora нет,

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 18.01.2017

Размещено 18.01.2017 12:52:02

на сколько я понимаю все эти "Коды" для чистки - это всего лишь альтернатива обычному ССleaner-у?
т.е. небольшая чистка реестра от старого мусора, ни как не связанная с проблемой воздействия вируса?
и ни каких "рецептов" по восстановлению документов не предвидится....

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.01.2017 12:58:10

Цитата
Алексей Бахир написал: на сколько я понимаю все эти "Коды" для чистки - это всего лишь альтернатива обычному ССleaner-у? т.е. небольшая чистка реестра от старого мусора, ни как не связанная с проблемой воздействия вируса? и ни каких "рецептов" по восстановлению документов не предвидится....

Цитата

Алексей Бахир написал:
на сколько я понимаю все эти "Коды" для чистки - это всего лишь альтернатива обычному ССleaner-у?
т.е. небольшая чистка реестра от старого мусора, ни как не связанная с проблемой воздействия вируса?
и ни каких "рецептов" по восстановлению документов не предвидится....

Алексей Бахир,
здесь много мусора, с которым ccleaner просто не справится.
----------
рецепты по восстановлению: сохранить зашифрованные документы из важных папок на отдельный носитель,
а также файл KEY, который был создан шифратором,
(примерно, такой
RU42D-8EXXR-HTFGT-ZTXZH-ZTXRG-ATGEY.key
только у вас будет другой код)

и ждать, когда будет решение по расшифровке.
--------
по вашим файлам:
exe:
https://www.virustotal.com/ru/file/491afa46f1f4ed5e9831e92bf31a65505a89a9d12fc010bc5e1369f0e4ae12e9/analysis/1484733825/
hta:
https://www.virustotal.com/ru/file/15b093c9185496d62161ba6d69cb6e7f992d385e7985a01780a896b64c3b9e64/analysis/1484733946/

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 18.01.2017

Размещено 18.01.2017 13:05:14

Цитата

santy написал:

Цитата
здесь много мусора, с которым ccleaner просто не справится.

но в любом случае это "лечение" не имеет касательства к устранению последствий вируса?
(это так называемое "симптоматическое" лечение. т.е. устранение действующего вируса если он есть, и устранение его остатков и следов)

так выходит что единственным выходом по восстановлению данных - это идти на указанный злоумышленниками адрес и на свой страх и риск пытаться потерять еще и деньги в дополнение к потерянным данным?

Сообщений: 7

Баллов: 3

Регистрация: 18.01.2017

Размещено 18.01.2017 13:10:13

Цитата
santy написал: и ждать, когда будет решение по расшифровке.

т.е. вирус очень свежий? (судя по сообщениям в Интернете начал активно действовать после нового года)
И каковы шансы что решение проблемы будет вообще найдено?
(года два назад другая контора была попала под аналогичный шивровальщик, только он еще и расщирение файлов менял)
Есть примеры удачного решения данной проблемы для других вирусов?

Изменено: Алексей Бахир - 18.01.2017 13:10:33

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.01.2017 13:10:32

Алексей Бахир,
это не единственный выход или вывод, который вы должны сделать.
1. проводить разъяснение среди сотрудников, чтобы не открывали все подряд.
2. настроить локальные политики по ограничению запуска исполняемых программ, в том числе из архивов.
3. настроить регулярное создание архивных копий документов на отдельный носитель, так чтобы данный диск был не доступен в том случае, если запускаются шифраторы.

очистка системы здесь необходима в любом случае, если вы, или ваши сотрудники планируют на нем работать дальше.

[ Как создать образ автозапуска? ]

Пред. 1 2 3 4 5 ... 21 След.