зашифровано в Spora

RSS
Попались на данный шифровальщик (шифрует файлы microsoft office: doc, docx, xls, xlsx)
Может кто с ним сталкивался  - возможно ли расшифровать файлы без оплаты ?

расшифровки файлов, зашифрованных данным вариантом шифратора Spora на текущий момент нет.
Восстановление документов возможно в данный момент только из архивных или теневых копий.


добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.


--------
файл шифратора удален.
Изменено: Александр Балахнин - 01.04.2018 06:10:19 (Добавлены пошифрованные файлы)

Ответы

файлы вирусов отправляем в support@esetnod32.ru через специальную форму, на форуме не надо публиковать.
https://forum.esetnod32.ru/forum6/topic994/

файлик детектируется в ESET
https://www.virustotal.com/en/file/09fabf74cfc942501d1ccebace1d3ef575a2265f3047381c­3bbfb4c45892861a/analysis/
Цитата
santy написал:
файлы вирусов отправляем в support@esetnod32.ru через специальную форму, на форуме не надо публиковать.
https://forum.esetnod32.ru/forum6/topic994/

файлик детектируется в ESET
 https://www.virustotal.com/en/file/09fabf74cfc942501d1ccebace1d3ef575a2265f3047381c­ ­3bbfb4c45892861a/analysis/  
я нашел первоисточник, пришло письмо человек открыл его, далее там два файла один с html  страницей с предложением денег им дать за шасшифровку, второй  типо сверки эксель дока... Где можно найти key  
Цитата
santy написал:
файлы вирусов отправляем в support@esetnod32.ru через специальную форму, на форуме не надо публиковать.
https://forum.esetnod32.ru/forum6/topic994/

файлик детектируется в ESET
 https://www.virustotal.com/en/file/09fabf74cfc942501d1ccebace1d3ef575a2265f3047381c­ ­3bbfb4c45892861a/analysis/  
я приложу сюда архивы, не знаю это может быть ключом или нет, если нет скажите плз  
скриншот сообщения от первого письма
http://joxi.ru/xAeYGNkuN3jPAy

есть ли возможность получить дешифратор?
Изменено: nWc - 10.03.2017 14:29:41
Цитата
nWc написал:
Цитата
 santy  написал:
файлы вирусов отправляем в  support@esetnod32.ru  через специальную форму, на форуме не надо публиковать.
 https://forum.esetnod32.ru/forum6/topic994/  

файлик детектируется в ESET
   https://www.virustotal.com/en/file/09fabf74cfc942501d1ccebace1d3ef575a2265f3047381c­ ­   ­3bbfb4c45892861a/analysis/  
я нашел первоисточник, пришло письмо человек открыл его, далее там два файла один с html  страницей с предложением денег им дать за шасшифровку, второй  типо сверки эксель дока... Где можно найти key

образ автозапуска чист. чистить здесь нечего. в последних вариантах файлика нет  с расширением key. узнавайте в личном кабинете, где его можно взять.
Цитата
nWc написал:
Цитата
 santy  написал:
файлы вирусов отправляем в  support@esetnod32.ru  через специальную форму, на форуме не надо публиковать.
 https://forum.esetnod32.ru/forum6/topic994/  

файлик детектируется в ESET
   https://www.virustotal.com/en/file/09fabf74cfc942501d1ccebace1d3ef575a2265f3047381c­ ­   ­3bbfb4c45892861a/analysis/  
я приложу сюда архивы, не знаю это может быть ключом или нет, если нет скажите плз
нет, файла ключа здесь нет.
гибридный анализ файла шифратора.
https://www.hybrid-analysis.com/sample/09fabf74cfc942501d1ccebace1d3ef575a2265f3047381c3­bbfb4c45892861a?environmentId=100
Цитата
nWc написал:
скриншот сообщения от первого письма
http://joxi.ru/xAeYGNkuN3jPAy

есть ли возможность получить дешифратор?
пока что только за выкуп у мошенников.
судя по статье из блога малваребайт, содержимое key файла добавлено в закодированном Base64 виде в html, т.е. создатели шифратора посчитали, что нет необходимости в отдельном key файле.



key file в скрытом поле
Цитата
The content of the .KEY file is Base64 encoded and stored as a hidden field inside the ransom note:

In newer versions (#2) the .KEY file was not dropped at all, and the full synchronization with the remote server was based on its equivalent submitted automatically as the hidden field. It shows the second step in evolution of this ransomware – to make the interface even simpler and more accessible.

In newer versions, there is no necessity to upload anything – when the user clicks the link on the ransom note, the base64 content containing all the data is submitted automatically.

https://blog.malwarebytes.com/threat-analysis/2017/03/spora-ransomware/

вот и Karsten Hahn, GData Malware Analyst об этом пишет:

Цитата
The .key file doesn't exist anymore for newer Spora variants. The data of the previous .key file is now inside the ransom note.
(Файл .key больше не существует для новых вариантов Spora. Данные предыдущего файла ключа теперь находятся внутри заметки о выкупе.)
еще один интересный разбор Spora здесь:
https://www.linkedin.com/pulse/spora-ransomware-understanding-hta-infection-vector-kevin-douglas
Здравствуйте!
тоже попали на этот шифратор

во вложении файл с образом автозагрузки

ПОМОГИТЕ ПОЧИСТИТСЯ!
Читают тему (гостей: 1)