Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано в Spora

RSS
 
Александр Балахнин
Александр Балахнин
Пользователь
Сообщений: 1
Регистрация: 10.01.2017
Размещено 10.01.2017 15:00:30
Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался  - возможно ли расшифровать файлы без оплаты ?

расшифровки файлов, зашифрованных данным вариантом шифратора Spora на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.


--------
файл шифратора удален.
Изменено: Александр Балахнин - 01.04.2018 06:10:19 (Добавлены пошифрованные файлы)

Ответы

Пред. 1 ... 10 11 12 13 14 ... 21 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.02.2017 12:23:34
Дмитрий Бычков,
если файлы в карантине, значит они детектируются.
зашифрованные файлы+ *.key сохраните на будущее. на случай если  когда нибудь будет расшифровка.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.02.2017 19:11:42
Цитата
Питер Дункан написал:
В файлах найдены вредоносные программы
poki3.exe - Trojan-Ransom.Win32.Spora.bn
если нужна помощь в очистке системы, добавьте образ автозапуска.
[ Как создать образ автозапуска? ]
 
Кирилл Титов
Кирилл Титов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 09.02.2017
Размещено 09.02.2017 09:01:19
Попались на данного зловреда, пошифровал файлы... Я так понимаю шанс расшифровки близок к 0 даже в ближайшем и не очень будущем? Помогите очистить комп от его последствий, пожалуйста.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.02.2017 09:23:54
Кирилл Титов,
по очистке системы выполните,


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\ОЛЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU08D-29OKH-HFTXO-HZTXE-TRRAH-RTREZ-GGTRO-ZGYYY.HTML
delall %SystemDrive%\USERS\ОЛЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU08D-29OKH-HFTXO-HZTXE-TRRAH-RTREZ-GGTRO-ZGYYY.HTML
delref 2A6B3D08189E9EDE.EXE
delall %SystemDrive%\USERS\521F~1\APPDATA\LOCAL\TEMP\2A6B3D08189E9EDE.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ОЛЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
+
поскольку у вас установлен другой антивирус, рекомендуем выполнить проверку он_лайн сканером ESET
после Spora как правило остается несколько тел шифратора.
+
http://download.eset.com/special/eos/ESETOnlineScanner_RUS.exe
+
вопрос: DrWeb у вас в рабочем состоянии или в автозапуске только неудаленные остатки от антивируса?
+
еще вопрос:
пользователь работал под ограниченной учеткой?
если да, то имеет смысл проверить теневые копии, возможно они не были удалены.
[ Как создать образ автозапуска? ]
 
Кирилл Титов
Кирилл Титов
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 09.02.2017
Размещено 09.02.2017 09:45:23
Работали под учеткой пользователя, теневые копии посмотрю, а антивирь его просто пропустил он в рабочем состоянии и с обновленными базами. Спасибо за помощь.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.02.2017 09:50:37
У Дрвеб, версии 11 вроде должны быть настройки по автоматической архивации данных, т.е. защищенное хранилище документов.
[ Как создать образ автозапуска? ]
 
Валентина Захарова
Валентина Захарова
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 19.01.2016
Размещено 09.02.2017 10:19:22
Получили с письмом файл-шифровальщик spore. Все файлы зашифрованы на 3пк + часть сетевых, сетевые смогли восстановить, а на пк нет. На пк вычищали dr web cure it и kaspersky removal tool, что находили удаляли. Однако на  одном пк продолжается шифрование вновь созданных файлов, а на 2х других в браузере вылезает страница (создается постоянно сама в папке пользователя) о блокировании spore с предложением заплатить. Пытаемся вычистить его, плохо получается, отсоединили данные пк от сети. Отправим файлы (Сам файл шифровальщик и зашифрованные файлы) на адрес техподдержки, что еще можно сделать? Не опасно ли после восстановления пользоваться сетевой папкой(на сервере) с других пк? Еще если мы сделаем переустановку ос на пк с полным стиранием и переразметкой дисков данный вирус удалится?
Прилагаю логи с 2х пк.  
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.02.2017 10:41:04
Валентина,
сделайте образы автозапуска системы с зашифрованных ПК. можно из безопасного режима системы.
но только аккуратно на них надо работать, не через проводник, в через файловый менеджер, например через far,
чтобы вы видели скрытые каталоги, и не нажимали на lnk файлы, которые имитируют, что они и есть папки, а на самом деле, это ярлыки, которые так же могут запускать тело шифратора, если оно не было удалено.
[ Как создать образ автозапуска? ]
 
Валентина Захарова
Валентина Захарова
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 19.01.2016
Размещено 09.02.2017 11:09:53
Цитата
santy написал:

сделайте образы автозапуска системы с зашифрованных ПК....через файловый менеджер, например через far
А как это делается?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.02.2017 11:17:14
Валентина,
ссылка на инструкцию "как создать образ автозапуска" есть в каждом моем сообщении
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 10 11 12 13 14 ... 21 След.
Читают тему