Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 294 295 296 297 298 299 300 301 302 303 304 ... 1784 След.
зашифровано с расширением .damage
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.03.2017 04:27:55
да, дешифратор рабочий, ключ в итоге по паре чистый - зашифрованный был вычислен, и все файлы были корректно расшифрованы.

Цитата

Encrypted file: E:\deshifr\encode_files\damage\10\encode_files\бесхозяйные вещи исковое заявление.doc.damage
Destination file: E:\deshifr\encode_files\damage\10\encode_files\бесхозяйные вещи исковое заявление.doc
Status: Successfully decrypted!

Finished!

F.Wosar один самых продуктивных специалистов по работе с шифраторами.
nemucod, xorist, radamant, globe и многое другое.
[ Как создать образ автозапуска? ]
Перейти
не загружается система, главная
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.03.2017 13:15:17
тогда пробуйте сделать лог ESETSysInspector
https://forum.esetnod32.ru/forum9/topic10701/
[ Как создать образ автозапуска? ]
Перейти
не загружается система, главная
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.03.2017 11:07:24
добавьте образ автозапуска системы
(ссылка на инструкцию в моей подписи)
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .damage
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.03.2017 13:30:16
Цитата
У меня ключ подобрал примерно через 4 часа.
хороший значит комп :),
проверю.
[ Как создать образ автозапуска? ]
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.03.2017 07:40:07
Александр Алехин,
стоит наверное подождать некоторое время. возможно объявятся, или адрес доступа к своему сервису поменяют.
[ Как создать образ автозапуска? ]
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.03.2017 07:07:32
Дмитрий,
судя по образу, файликов Spora уже нет в автозапуске.
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .damage
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.03.2017 04:41:23
Руслан, если есть такая возможность,  добавьте пару чистый-зашифрованный файлы для проверки дешифратора.
[ Как создать образ автозапуска? ]
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2017 17:42:54
еще один интересный разбор Spora здесь:
https://www.linkedin.com/pulse/spora-ransomware-understanding-hta-infection-vector-kevin-douglas
[ Как создать образ автозапуска? ]
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.03.2017 15:09:35
судя по статье из блога малваребайт, содержимое key файла добавлено в закодированном Base64 виде в html, т.е. создатели шифратора посчитали, что нет необходимости в отдельном key файле.



key file в скрытом поле
Цитата
The content of the .KEY file is Base64 encoded and stored as a hidden field inside the ransom note:

In newer versions (#2) the .KEY file was not dropped at all, and the full synchronization with the remote server was based on its equivalent submitted automatically as the hidden field. It shows the second step in evolution of this ransomware – to make the interface even simpler and more accessible.

In newer versions, there is no necessity to upload anything – when the user clicks the link on the ransom note, the base64 content containing all the data is submitted automatically.

https://blog.malwarebytes.com/threat-analysis/2017/03/spora-ransomware/

вот и Karsten Hahn, GData Malware Analyst об этом пишет:

Цитата
The .key file doesn't exist anymore for newer Spora variants. The data of the previous .key file is now inside the ransom note.
(Файл .key больше не существует для новых вариантов Spora. Данные предыдущего файла ключа теперь находятся внутри заметки о выкупе.)
[ Как создать образ автозапуска? ]
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2017 15:39:28
Цитата
nWc написал:
скриншот сообщения от первого письма
http://joxi.ru/xAeYGNkuN3jPAy

есть ли возможность получить дешифратор?
пока что только за выкуп у мошенников.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 294 295 296 297 298 299 300 301 302 303 304 ... 1784 След.