зашифровано в Spora

RSS

Сообщений: 1

Регистрация: 10.01.2017

Размещено 10.01.2017 15:00:30

Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался - возможно ли расшифровать файлы без оплаты ?

расшифровки файлов, зашифрованных данным вариантом шифратора Spora на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

--------
файл шифратора удален.

Прикрепленные файлы

crypted_files.zip (128.1 КБ)

Изменено: Александр Балахнин - 01.04.2018 06:10:19 (Добавлены пошифрованные файлы)

Ответы

Пред. 1 ... 16 17 18 19 20 21 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.03.2017 13:31:04

файлы вирусов отправляем в [email protected] через специальную форму, на форуме не надо публиковать.
https://forum.esetnod32.ru/forum6/topic994/

файлик детектируется в ESET
https://www.virustotal.com/en/file/09fabf74cfc942501d1ccebace1d3ef575a2265f3047381c3bbfb4c45892861a/analysis/

[ Как создать образ автозапуска? ]

Сообщений: 121

Баллов: 96

Регистрация: 15.12.2011

Размещено 10.03.2017 14:23:26

Цитата
santy написал: файлы вирусов отправляем в [email protected] через специальную форму, на форуме не надо публиковать. https://forum.esetnod32.ru/forum6/topic994/ файлик детектируется в ESET https://www.virustotal.com/en/file/09fabf74cfc942501d1ccebace1d3ef575a2265f3047381c 3bbfb4c45892861a/analysis/

я нашел первоисточник, пришло письмо человек открыл его, далее там два файла один с html страницей с предложением денег им дать за шасшифровку, второй типо сверки эксель дока... Где можно найти key

Прикрепленные файлы

KOROSTELEVA_2017-03-10_14-17-15.rar (342.17 КБ)

Сообщений: 121

Баллов: 96

Регистрация: 15.12.2011

Размещено 10.03.2017 14:24:08

Цитата
santy написал: файлы вирусов отправляем в [email protected] через специальную форму, на форуме не надо публиковать. https://forum.esetnod32.ru/forum6/topic994/ файлик детектируется в ESET https://www.virustotal.com/en/file/09fabf74cfc942501d1ccebace1d3ef575a2265f3047381c 3bbfb4c45892861a/analysis/

я приложу сюда архивы, не знаю это может быть ключом или нет, если нет скажите плз

Сообщений: 121

Баллов: 96

Регистрация: 15.12.2011

Размещено 10.03.2017 14:29:19

скриншот сообщения от первого письма
http://joxi.ru/xAeYGNkuN3jPAy

есть ли возможность получить дешифратор?

Изменено: nWc - 10.03.2017 14:29:41

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.03.2017 15:32:28

Цитата

nWc написал:

Цитата
santy написал: файлы вирусов отправляем в [email protected] через специальную форму, на форуме не надо публиковать. https://forum.esetnod32.ru/forum6/topic994/ файлик детектируется в ESET https://www.virustotal.com/en/file/09fabf74cfc942501d1ccebace1d3ef575a2265f3047381c 3bbfb4c45892861a/analysis/

образ автозапуска чист. чистить здесь нечего. в последних вариантах файлика нет с расширением key. узнавайте в личном кабинете, где его можно взять.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.03.2017 15:37:58

Цитата

nWc написал:

Цитата
santy написал: файлы вирусов отправляем в [email protected] через специальную форму, на форуме не надо публиковать. https://forum.esetnod32.ru/forum6/topic994/ файлик детектируется в ESET https://www.virustotal.com/en/file/09fabf74cfc942501d1ccebace1d3ef575a2265f3047381c 3bbfb4c45892861a/analysis/

я приложу сюда архивы, не знаю это может быть ключом или нет, если нет скажите плз

нет, файла ключа здесь нет.
гибридный анализ файла шифратора.
https://www.hybrid-analysis.com/sample/09fabf74cfc942501d1ccebace1d3ef575a2265f3047381c3bbfb4c45892861a?environmentId=100

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.03.2017 15:39:28

Цитата
nWc написал: скриншот сообщения от первого письма http://joxi.ru/xAeYGNkuN3jPAy есть ли возможность получить дешифратор?

пока что только за выкуп у мошенников.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 11.03.2017 15:09:35

судя по статье из блога малваребайт, содержимое key файла добавлено в закодированном Base64 виде в html, т.е. создатели шифратора посчитали, что нет необходимости в отдельном key файле.

key file в скрытом поле

Цитата
The content of the .KEY file is Base64 encoded and stored as a hidden field inside the ransom note: In newer versions (#2) the .KEY file was not dropped at all, and the full synchronization with the remote server was based on its equivalent submitted automatically as the hidden field. It shows the second step in evolution of this ransomware – to make the interface even simpler and more accessible. In newer versions, there is no necessity to upload anything – when the user clicks the link on the ransom note, the base64 content containing all the data is submitted automatically.

Цитата

The content of the .KEY file is Base64 encoded and stored as a hidden field inside the ransom note:

In newer versions (#2) the .KEY file was not dropped at all, and the full synchronization with the remote server was based on its equivalent submitted automatically as the hidden field. It shows the second step in evolution of this ransomware – to make the interface even simpler and more accessible.

In newer versions, there is no necessity to upload anything – when the user clicks the link on the ransom note, the base64 content containing all the data is submitted automatically.

https://blog.malwarebytes.com/threat-analysis/2017/03/spora-ransomware/

вот и Karsten Hahn, GData Malware Analyst об этом пишет:

Цитата
The .key file doesn't exist anymore for newer Spora variants. The data of the previous .key file is now inside the ransom note. (Файл .key больше не существует для новых вариантов Spora. Данные предыдущего файла ключа теперь находятся внутри заметки о выкупе.)

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 11.03.2017 17:42:54

еще один интересный разбор Spora здесь:
https://www.linkedin.com/pulse/spora-ransomware-understanding-hta-infection-vector-kevin-douglas

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 13.03.2017

Размещено 13.03.2017 07:00:29

Здравствуйте!
тоже попали на этот шифратор

во вложении файл с образом автозагрузки

ПОМОГИТЕ ПОЧИСТИТСЯ!

Прикрепленные файлы

USER-ПК_2017-03-13_09-52-18.7z (797.18 КБ)

Пред. 1 ... 16 17 18 19 20 21 След.