Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано в Spora

RSS
 
Александр Балахнин
Александр Балахнин
Пользователь
Сообщений: 1
Регистрация: 10.01.2017
Размещено 10.01.2017 15:00:30
Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался  - возможно ли расшифровать файлы без оплаты ?

расшифровки файлов, зашифрованных данным вариантом шифратора Spora на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.


--------
файл шифратора удален.
Изменено: Александр Балахнин - 01.04.2018 06:10:19 (Добавлены пошифрованные файлы)

Ответы

Пред. 1 2 3 4 5 6 ... 21 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 18.01.2017 13:14:38
Цитата
Алексей Бахир написал:
т.е. вирус очень свежий? (судя по сообщениям в Интернете начал активно действовать после нового года)
И каковы шансы что решение проблемы будет вообще найдено?  
(года два назад другая контора была попала под аналогичный шивровальщик, только он еще и расщирение файлов менял)
Есть примеры удачного решения данной проблемы для других вирусов?
да, распространяется, где то с 10января 2017 года
https://chklst.ru/discussion/1583/vymogateli-iz-darkneta-novyy-shifrovalschik-spora
удачных примеров по расшифровке Spora нет.
специалисты оценивают шансы расшифровать без приватных ключей как минимальные, близкие к 0.


эти файлы так же сохраните, возможно будут нужны при расшифровке.

RU6AD-7CRZH-XTXXO-TZTOO-ARTXR-HKHTO-HAYYY.*
[ Как создать образ автозапуска? ]
 
Алексей Бахир
Алексей Бахир
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 18.01.2017
Размещено 18.01.2017 18:13:27
Цитата
Александр Балахнин написал:
Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
.
мало того, он "убивает"  картинки PDF-ки и JPG-шли.
однако не трогает RAW-ки и BMP-шки - поэтому погибла только половина фотоархива.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 18.01.2017 18:17:59
Цитата
Алексей Бахир написал:
однако не трогает RAW-ки и BMP-шки

Злоумышлении заинтересованы в том, чтобы шифрование прошло как можно быстрее и шифровались важные файлы.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 19.01.2017 00:07:39
Spora является еще и червем, и может распространяться через съемные диски, если они были подключены на момент запуска шифратора.

Цитата
Spora spreads via USB drives like Gamarue and Dinihou aka Jenxcus whilst also encrypting files. The sophistication of this threat could easily make it the new Locky. We discuss its infection and encryption procedure and show how it uses statistical values about encrypted files to calculate the ransom amount.

https://blog.gdatasoftware.com/2017/01/29442-spora-worm-and-ransomware
[ Как создать образ автозапуска? ]
 
Алексей Бахир
Алексей Бахир
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 18.01.2017
Размещено 19.01.2017 00:44:28
Цитата
santy написал:
Spora является еще и червем, и может распространяться через съемные диски, если они были подключены на момент запуска шифратора.
гораздо хуже что он еще и по сети умеет ползать (при расшаренных папках)
к инфицированному были подключены два компа по сети, на обоих было расшарено по одной папке для обмена данными, на один успел пролезть, на второй почему-то не успел.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 19.01.2017 04:35:09
Цитата
Эдуард Казаневский написал:
Вот что я нашел у себя.
Эдуард,
не надо постить вирусные тела на форуме,
https://www.virustotal.com/ru/file/491afa46f1f4ed5e9831e92bf31a65505a89a9d12fc010bc­5e1369f0e4ae12e9/analysis/

для этого есть форма отправки вирусов в техподдержку.
https://www.esetnod32.ru/support/knowledge_base/new_virus/
+
добавьте образ автозапуска системы, где были обнаружены данные файлы.
[ Как создать образ автозапуска? ]
 
Эдуард Казаневский
Эдуард Казаневский
Пользователь
Сообщений: 1
Регистрация: 19.01.2017
Размещено 19.01.2017 09:44:17
Цитата
santy написал:
Цитата
 Эдуард Казаневский  написал:
Вот что я нашел у себя.
Эдуард,
не надо постить вирусные тела на форуме,
 https://www.virustotal.com/ru/file/491afa46f1f4ed5e9831e92bf31a65505a89a9d12fc010bc­ ­5e1369f0e4ae12e9/analysis/  

для этого есть форма отправки вирусов в техподдержку.
https://www.esetnod32.ru/support/knowledge_base/new_virus/
+
добавьте образ автозапуска системы, где были обнаружены данные файлы.
Прошу прощения за ошибку.
Вот полный образ автозапуска систмы
Спасибо!
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 19.01.2017 10:00:52
Эдуард,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

zoo %SystemDrive%\USERS\ADMIN\DESKTOP\ABB396BF-8B2A-99D0-7BC3-B781F2125FB5.EXE
addsgn A7679BF0AA02F4382BD4C60D4BE81261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C7E3EFFE82BD6D73C940D775BACCA969A53 9 Win32/Injector

zoo %SystemDrive%\ABB396BF-8B2A-99D0-7BC3-B781F2125FB5.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\ABB396BF-8B2A-99D0-7BC3-B781F2125FB5.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO\1.0.8_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.25_0\ПОИСК MAIL.RU

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\UNITY\WEBPLAYER

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; Ticno Tabs
exec C:\Program Files\Ticno\Tabs\Uninstall.exe

deldirex %SystemDrive%\PROGRAM FILES\TICNO\TABS


deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

сохраните зашифрованные документы из важных папок на отдельный носитель, и ждите когда будет расшифровка.
+
сохраните эти файлы: ваш ключ*.key, ваш ключ*.lst, ваш ключ*.html, по которым ваш комп идентифицирует Spora.
[ Как создать образ автозапуска? ]
 
Сергей Сафонов
Сергей Сафонов
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 20.01.2017
Размещено 20.01.2017 13:20:05
Поймали этот вирус, успели выключить компьютер и отключить его от сети. После включения ни каких сообщений об оплате не появлялось. во временных папках пользователя есть исполняемый файл. Что сделать что бы проверить не остался вирус ли на компе и может быть остались ключи для расшифровки  
Изменено: Сергей Сафонов - 20.01.2017 14:26:13
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.01.2017 13:25:51
Сергей Сафонов,
добавьте образ автозапуска системы в uVS
http://forum.esetnod32.ru/forum9/topic2687/
+
обратите внимание на то, что файл шифратора имеет функционал червя, т.е. скрывает папки в корне диска, и добавляет ярлыки папок,
в ярлыки добавлен запуск файла шифратора, так что можно таким образом и повторно запустить тело шифратора.
--------
файл образа посмотрю немного позже.
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 4 5 6 ... 21 След.
Читают тему