зашифровано в Spora

RSS
Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался  - возможно ли расшифровать файлы без оплаты ?

расшифровки файлов, зашифрованных данным вариантом шифратора Spora на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.


--------
файл шифратора удален.
Изменено: Александр Балахнин - 01.04.2018 06:10:19 (Добавлены пошифрованные файлы)

Ответы

Пред. 1 ... 10 11 12 13 14 ... 21 След.
Дмитрий Бычков,
если файлы в карантине, значит они детектируются.
зашифрованные файлы+ *.key сохраните на будущее. на случай если  когда нибудь будет расшифровка.
Цитата
Питер Дункан написал:
В файлах найдены вредоносные программы
poki3.exe - Trojan-Ransom.Win32.Spora.bn
если нужна помощь в очистке системы, добавьте образ автозапуска.
Попались на данного зловреда, пошифровал файлы... Я так понимаю шанс расшифровки близок к 0 даже в ближайшем и не очень будущем? Помогите очистить комп от его последствий, пожалуйста.
Кирилл Титов,
по очистке системы выполните,


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\ОЛЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU08D-29OKH-HFTXO-HZTXE-TRRAH-RTREZ-GGTRO-ZGYYY.HTML
delall %SystemDrive%\USERS\ОЛЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU08D-29OKH-HFTXO-HZTXE-TRRAH-RTREZ-GGTRO-ZGYYY.HTML
delref 2A6B3D08189E9EDE.EXE
delall %SystemDrive%\USERS\521F~1\APPDATA\LOCAL\TEMP\2A6B3D08189E9EDE.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ОЛЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
+
поскольку у вас установлен другой антивирус, рекомендуем выполнить проверку он_лайн сканером ESET
после Spora как правило остается несколько тел шифратора.
+
http://download.eset.com/special/eos/ESETOnlineScanner_RUS.exe
+
вопрос: DrWeb у вас в рабочем состоянии или в автозапуске только неудаленные остатки от антивируса?
+
еще вопрос:
пользователь работал под ограниченной учеткой?
если да, то имеет смысл проверить теневые копии, возможно они не были удалены.
Работали под учеткой пользователя, теневые копии посмотрю, а антивирь его просто пропустил он в рабочем состоянии и с обновленными базами. Спасибо за помощь.
У Дрвеб, версии 11 вроде должны быть настройки по автоматической архивации данных, т.е. защищенное хранилище документов.
Получили с письмом файл-шифровальщик spore. Все файлы зашифрованы на 3пк + часть сетевых, сетевые смогли восстановить, а на пк нет. На пк вычищали dr web cure it и kaspersky removal tool, что находили удаляли. Однако на  одном пк продолжается шифрование вновь созданных файлов, а на 2х других в браузере вылезает страница (создается постоянно сама в папке пользователя) о блокировании spore с предложением заплатить. Пытаемся вычистить его, плохо получается, отсоединили данные пк от сети. Отправим файлы (Сам файл шифровальщик и зашифрованные файлы) на адрес техподдержки, что еще можно сделать? Не опасно ли после восстановления пользоваться сетевой папкой(на сервере) с других пк? Еще если мы сделаем переустановку ос на пк с полным стиранием и переразметкой дисков данный вирус удалится?
Прилагаю логи с 2х пк.  
Валентина,
сделайте образы автозапуска системы с зашифрованных ПК. можно из безопасного режима системы.
но только аккуратно на них надо работать, не через проводник, в через файловый менеджер, например через far,
чтобы вы видели скрытые каталоги, и не нажимали на lnk файлы, которые имитируют, что они и есть папки, а на самом деле, это ярлыки, которые так же могут запускать тело шифратора, если оно не было удалено.
Цитата
santy написал:

сделайте образы автозапуска системы с зашифрованных ПК....через файловый менеджер, например через far
А как это делается?
Валентина,
ссылка на инструкцию "как создать образ автозапуска" есть в каждом моем сообщении
Пред. 1 ... 10 11 12 13 14 ... 21 След.
Читают тему (гостей: 2)