зашифровано в Spora

RSS

Сообщений: 1

Регистрация: 10.01.2017

Размещено 10.01.2017 15:00:30

Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался - возможно ли расшифровать файлы без оплаты ?

расшифровки файлов, зашифрованных данным вариантом шифратора Spora на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

--------
файл шифратора удален.

Прикрепленные файлы

crypted_files.zip (128.1 КБ)

Изменено: Александр Балахнин - 01.04.2018 06:10:19 (Добавлены пошифрованные файлы)

Ответы

Пред. 1 ... 12 13 14 15 16 ... 21 След.

Сообщений: 14

Баллов: 7

Регистрация: 19.01.2016

Размещено 13.02.2017 11:19:29

Спасибо за помощь.

Сообщений: 2

Баллов: 1

Регистрация: 15.02.2017

Размещено 15.02.2017 11:18:34

Здравствуйте. Cтали жертвой шифровальщика spora, прикрепляю
Зашифрованный файл и образ автозапуска системы. Можно ли расшифровать?
Каким образом можно полностью удалить его с ПК?

Прикрепленные файлы

COMP15_2017-02-15_11-40-07.7z (548.89 КБ)
Зашифрованный текстовый документ.zip (89.32 КБ)
WIN2008NEW_2017-02-15_12-11-44.7z (454.64 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.02.2017 11:37:33

Марат,
судя по образу файлов шифратора уже нет в системе, по крайней мере нет в списке автозапуска.

(это по comp15)

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\ORBITUM\APPLICATION\ORBITUMUPDATER\ORBITUMUPDATER.EXE delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.11_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PNJKKCOJFMPFPDOALEGLKKGHGMBGKOBC\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\ORBITUM\APPLICATION\ORBITUMUPDATER\ORBITUMUPDATER.EXE

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.11_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PNJKKCOJFMPFPDOALEGLKKGHGMBGKOBC\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

для тщательной очистки системы обновите базы антивируса и выполните полное сканирование системного диска.

----------------------
по расшифровке документов не поможем.

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.02.2017 11:43:10

по win2008:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\KUZMINA.A.A\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU500-BDXRA-ROTEK-RTZTF-ZRKXT-AAZEG-GTFRX-KYYYY.HTML del %SystemDrive%\USERS\KUZMINA.A.A\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU500-BDXRA-ROTEK-RTZTF-ZRKXT-AAZEG-GTFRX-KYYYY.HTML delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC deltmp delnfr restart

Код


;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\KUZMINA.A.A\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU500-BDXRA-ROTEK-RTZTF-ZRKXT-AAZEG-GTFRX-KYYYY.HTML
del %SystemDrive%\USERS\KUZMINA.A.A\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU500-BDXRA-ROTEK-RTZTF-ZRKXT-AAZEG-GTFRX-KYYYY.HTML
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------

для тщательной очистки системы обновите базы антивируса и выполните полное сканирование системного диска.

если сохранилось сообщение с вредоносным вложением,
вышлите в почту [email protected] в архиве, с паролем infected

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 15.02.2017

Размещено 15.02.2017 11:50:56

в comp15 автозагрузка не заражена, правильно?
скрипт выполнять в win2008?
отправил образ автозапуска системы зараженного пользователя.

Прикрепленные файлы

WIN2008NEW_2017-02-15_12-45-37.7z (470.53 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.02.2017 12:05:58

Марат,
а какой смысл переспрашивать.
ясно ведь написано в двух сообщениях.
(повторный образ
WIN2008NEW_2017-02-15_12-45-37.7z (470.53 КБ)
не нужен)

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 15.02.2017

Размещено 15.02.2017 16:27:15

также подцепил эту заразу.
в процессе ее работы удалось прервать - key файла нет. только html

могу еще архив с вирусом выслать если надо.

Прикрепленные файлы

SPB009_2017-02-15_14-03-31.7z (248.3 КБ)

Изменено: andrei st - 15.02.2017 17:35:23

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.02.2017 18:11:39

да, вышлите в почту [email protected] в архиве с паролем infected

по очистке системы:
поскольку у вас установлен другой антивирус, сделайте полную проверку системы он_лайн сканером
http://download.eset.com/special/eos/ESETOnlineScanner_RUS.exe

по расшифровке файлов не поможем.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 17.02.2017

Размещено 17.02.2017 03:43:39

Здравствуйте! Нужна ваша помощь. Поймал Spora. Жуть какая ...
Сделайте пожалуйста скрипт для меня.
Заранее вам благодарен.

Прикрепленные файлы

KSU-PC_2017-02-17_03-25-48.7z (691.72 КБ)
упаковочный лист.rar (26.73 КБ)

Изменено: Иван Петров - 17.02.2017 03:48:25

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.02.2017 04:55:37

Иван Петров,
судя по образу файлов шифратора уже нет.
по расшифровке файлов обращайтесь в [email protected] при наличие лицензии на антивирус ESET.
(на сегодня расшифровки по споре нет)

[ Как создать образ автозапуска? ]

Пред. 1 ... 12 13 14 15 16 ... 21 След.