зашифровано в Spora

RSS

Сообщений: 1

Регистрация: 10.01.2017

Размещено 10.01.2017 15:00:30

Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался - возможно ли расшифровать файлы без оплаты ?

расшифровки файлов, зашифрованных данным вариантом шифратора Spora на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

--------
файл шифратора удален.

Прикрепленные файлы

crypted_files.zip (128.1 КБ)

Изменено: Александр Балахнин - 01.04.2018 06:10:19 (Добавлены пошифрованные файлы)

Ответы

Пред. 1 ... 4 5 6 7 8 ... 21 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.01.2017 15:34:53

Цитата
Сергей Сафонов написал: может мне ещё чего на компе поискать что поможет?

вот такого типа ключи поищите:
RU85C-73RRT-****-HTOET-*****.KEY

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 20.01.2017

Размещено 20.01.2017 15:51:43

Цитата
santy написал: обновите базы на всех антивирусных клиентах, и запустите полную проверку дисков, если этот файл детектируется, то и производные от него так же должны детектироваться.

да, нашел антивирус эти файлы, удалил. Так вот вопрос остается, по сети вирус смог куда-то далеко уйти?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.01.2017 16:09:51

Цитата

Дмитрий Н написал:

Цитата
santy написал: обновите базы на всех антивирусных клиентах, и запустите полную проверку дисков, если этот файл детектируется, то и производные от него так же должны детектироваться.

да, нашел антивирус эти файлы, удалил. Так вот вопрос остается, по сети вирус смог куда-то далеко уйти?

кто ж его знает, куда он успел дойти.
Не факт, что он шифрует расшаренные сетевые папки, возможно, работает только как червь, т.е. добавляет ярлыки папок.
проверяйте, открываются документы в расшаренных папках или нет.

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 20.01.2017

Размещено 20.01.2017 16:29:48

Цитата
santy написал: кто ж его знает, куда он успел дойти. Не факт, что он шифрует расшаренные сетевые папки, возможно, работает только как червь, т.е. добавляет ярлыки папок. проверяйте, открываются документы в расшаренных папках или нет.

Цитата

santy написал:
кто ж его знает, куда он успел дойти.
Не факт, что он шифрует расшаренные сетевые папки, возможно, работает только как червь, т.е. добавляет ярлыки папок.
проверяйте, открываются документы в расшаренных папках или нет.

в расшаренных не открываются, также иероглифы идут. Ярлыков не было никаких

Сообщений: 1

Регистрация: 20.01.2017

Размещено 20.01.2017 16:42:39

Открыли письмо и получили зашифрованные файлики. До конца программа не доработала. Перезагрузили компьютер. Поэтому да же автора сего чуда не знаем

Прикрепленные файлы

Desktop.rar (228.49 КБ)

Сообщений: 5

Баллов: 2

Регистрация: 20.01.2017

Размещено 20.01.2017 17:34:21

файлов с *.KEY нету

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.01.2017 17:38:50

Алексей Бондарь,
добавьте образ автозапуска системы, где вы получили зашифрованные файлики.
+
найдите исходное письмо, из которого был запущен шифратор.
(предположительно, это должно быть архивное вложение, которое содержит файл якобы документа, но с расширением hta)
перешлите данное письмо в архиве с паролем infected в почту [email protected]

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.01.2017 17:47:06

печально, значит spora и расшаренные папки шифрует, не только подключенные диски.

добавлю, что без подобных файлов:

Цитата
RU302-15XRK-GXTFO-GZTET-KTXFF-ORTXA-AYYYY.HTML RU302-15XRK-GXTFO-GZTET-KTXFF-ORTXA-AYYYY.KEY RU302-15XRK-GXTFO-GZTET-KTXFF-ORTXA-AYYYY.LST

восстановить документы в обозримом будущем будет проблематично.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 21.01.2017

Размещено 21.01.2017 12:30:04

День добрый, пользователь поймал шифратор spora, есть 3 файла - можно как-то восстановить файлы?

Прикрепленные файлы

User.7z (628.32 КБ)
RU278-2BROA-XTXRO-RTZTZ-THAXT-XRRKY.zip (620.5 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.01.2017 15:49:06

Saymon Lebedev,
добавьте образ автозапуска.

по поводу расшифровки файлов:
если вы читали сказку оЦаревне лягушке в детстве, то думаю, понимаете, что в данном случае задача сопоставимая с поиском иглы, в которой спрятан ключ к жизни и смерти персонажа сказки К.Б.

согласно схеме шифрования, используемой в Spora:

каждый файл зашифрован с помощью отдельного (для каждого файла) AES ключа.
сам AES ключ, зашифрован публичным ключом RSA из ключевой пары, созданной на компе юзера, и в таком виде хранится в зашифрованном файле.
расшифровать это блок данных и вытащить AES ключ, чтобы затем его использовать для расшифровки файла можно только с помощью
приватного ключа RSA, созданного на машине юзера.

но приватный ключ RSA зашифрован отдельным ключом AES и добавлен в в файл RU278-2BROA-XTXRO-RTZTZ-THAXT-XRRKY.key
сам отдельный ключ AES тоже добавлен в *.key файл, но он поверх зашифрован публичным ключом RSA, созданным на стороне злоумышленников.
---------------------
т.е. расшифровать *.key файл могут только на стороне злоумышленников, поскольку у них остался приватный ключ RSA

или вирлабы, если они найдут эти ключи на просторах в тор-сети.
---------
в любом случае, этот key файл будет необходим для расшифровки ваших документов. Если вы планируете когда нибудь их расшифровать.
-------------
Если найдется такой Иван-царевич, который отыщет приватный ключ RSA, "иголку" в стогах серверов киберпространства, тогда ваши файлы могут быть спасены.

[ Как создать образ автозапуска? ]

Пред. 1 ... 4 5 6 7 8 ... 21 След.