Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано в Spora

RSS
 
Александр Балахнин
Александр Балахнин
Пользователь
Сообщений: 1
Регистрация: 10.01.2017
Размещено 10.01.2017 15:00:30
Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался  - возможно ли расшифровать файлы без оплаты ?

расшифровки файлов, зашифрованных данным вариантом шифратора Spora на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.


--------
файл шифратора удален.
Изменено: Александр Балахнин - 01.04.2018 06:10:19 (Добавлены пошифрованные файлы)

Ответы

Пред. 1 ... 11 12 13 14 15 ... 21 След.
 
Валентина Захарова
Валентина Захарова
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 19.01.2016
Размещено 09.02.2017 13:30:36
3 пк: secretar, recept01, econom2. текстовый файлик - что написано в ярлычке, который ссылается на папку с зашифрованными файлами.

Я так понимаю на ярлыке висит копия вируса? и если его запускаешь он опять начинает работать? если ярлыки поудалять чтобы не отсвечивали, все копии вируса удалятся? Или нет?
Изменено: Валентина Захарова - 09.02.2017 13:38:19
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.02.2017 15:08:40
да, в ярлыке прописан запуск шифратора из  %temp%,
хотя в некоторых других ярлыках каталогов может быть прописан запуск шифратор с рабочего стола. (сам файл скрытый, и может быть не виден на рабочем столе).

образы сейчас проверю.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.02.2017 15:14:36
по компу
SECRETAR_2017-02-09_12-57-39.7z (456.74 КБ):

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\7AF6CCFE1C5776CC.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\СЕКРЕТАРЬ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deltmp
delnfr
;-------------------------------------------------------------

delref 7AF6CCFE1C5776CC.EXE
restart

перезагрузка, пишем о старых и новых проблемах.
------------
обновите антивирусные базы, если у вас антивир с дейстующей лицензией, и выполните полное сканирование системы.
затем уже можно планировать дальнейшую работу на нем.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.02.2017 15:17:34
по компу:
RECEPT01_2017-02-09_14-08-28.7z (487.29 КБ)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3DONDEMAND%26UC

delref %Sys32%\DRIVERS\QUTMIPC.SYS
del %Sys32%\DRIVERS\QUTMIPC.SYS

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.14_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.14_0\СТАРТОВАЯ — ЯНДЕКС
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
обновите антивирусные базы, если у вас антивир с дейстующей лицензией, и выполните полное сканирование системы.
затем уже можно планировать дальнейшую работу на нем.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.02.2017 15:25:09
по компу:
ECONOM2_2017-02-09_13-17-48.7z (614.17 КБ)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\BOOKVIEW\BOOKVIEW.EXE
addsgn 9252776A186AC1CC0BF45C4EA34FD635358AF46E204848FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 13 nod83_vir

delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\ADOBE\MANAGER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\DAMFAX\TOUGH-TOM.DLL
del %SystemDrive%\PROGRAMDATA\DAMFAX\TOUGH-TOM.DLL

delref {8E5E2654-AD2D-48BF-AC2D-D17F00898D06}\[CLSID]
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\SPIGOT\GC

deldirex %SystemDrive%\PROGRAM FILES\MEDIAWATCHV1\MEDIAWATCHV1HOME2550\CH

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\MEDIAWATCHV1\MEDIAWATCHV1HOME2550

delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\UNITY\WEBPLAYER

deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\ASPACKAGE

deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASPACKAGE

delref HTTP://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBVFHKT0_PMCSKEQNIZQVSODDJO7SA_3MYKBOOJTUQMBO68TERZAFRUGTD7WYJDQGM0KBDW_A66EHJFNBCEEOEHLB8BLLCIV6BLDC19WILYOP-SHNNFTVPIQKV1KPGTYQFM5TCYSVAMVM7FD7VKBDQEBKMQC6OHKUSS29I7HOP9N25YHIEQ94
delref HTTP://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBVFHKT0_PMCSKEQNIZQVSODDJO7SA_3MYKBOOJTUQMBO68TERZAFRUGTD7WYJDQGM0KBDW_A66EHJFNBCEEOEHLB8BLLCIV6YCYVHS6H4OV4VKHTXEKCYY-TQICEEYVQPQ57T1RVSS4LN4FSN0EL1QZLQJSDCRYMW_9WKWUJTT0RF

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
обновите антивирусные базы, если у вас антивир с дейстующей лицензией, и выполните полное сканирование системы.
затем уже можно планировать дальнейшую работу на нем.

т.е. следы шифратора  здесь были только на первом компе.
[ Как создать образ автозапуска? ]
 
Валентина Захарова
Валентина Захарова
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 19.01.2016
Размещено 09.02.2017 17:36:02
Подобные ярлычки (как в текстовом файле - примере)  и скрытые папки есть на пк секретарь и на эконом, на рецепт отсутствуют,  получается после применения данных скриптов надо их все поудалять (и папки с зашифр файлами и ярлыки)? Расшифровщика все равно нет и думаю не будет.  Так же в процессе обнаружилось, что заражен еще один пк, сделаю образ сброшу. Запустим проверку и на остальных пк. Больше всего страшно за сетевую папку, в бэкапы не попадет этот вирус? Нет ли у него отложенного старта какого~нибудь он дальше распространятся не будет,  если нет таких ярлычков на других пк? И как проверять другие пк дальше опять cureit_ом, я не совсем понимаю он именнно его обнаруживал или друг е какие~то вирусы?  
 
Валентина Захарова
Валентина Захарова
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 19.01.2016
Размещено 10.02.2017 08:07:27
Вот еще один зараженный пк.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6239
Баллов: 4991
Регистрация: 25.05.2010
Размещено 10.02.2017 18:38:12
Pas Pasa

Sergey Sergey

Хочу вам напомнить, о правилах сайта и о статье УК  273. ( пункт распространение вирусов )
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.02.2017 05:47:56
Цитата
Валентина Захарова написал:
Подобные ярлычки (как в текстовом файле - примере)  и скрытые папки есть на пк секретарь и на эконом, на рецепт отсутствуют,  получается после применения данных скриптов надо их все поудалять (и папки с зашифр файлами и ярлыки)? Расшифровщика все равно нет и думаю не будет.  Так же в процессе обнаружилось, что заражен еще один пк, сделаю образ сброшу. Запустим проверку и на остальных пк. Больше всего страшно за сетевую папку, в бэкапы не попадет этот вирус? Нет ли у него отложенного старта какого~нибудь он дальше распространятся не будет,  если нет таких ярлычков на других пк? И как проверять другие пк дальше опять cureit_ом, я не совсем понимаю он именнно его обнаруживал или друг е какие~то вирусы?
обновите антивирусные базы установленного антивируса, и сделайте полную проверку всех подключенных дисков.
там где нет установленного ESET, используйте он_лайн сканер.
http://download.eset.com/special/eos/ESETOnlineScanner_RUS.exe
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.02.2017 05:59:23
Цитата
Валентина Захарова написал:
Вот еще один зараженный пк.
судя по по об разу здесь нет следов шифратора.
если нужна тщательная проверка, откройте тему в разделе обнаружение заражений
https://forum.esetnod32.ru/forum6/
но тему создаем, если есть реальная проблема.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 11 12 13 14 15 ... 21 След.
Читают тему