Файлы doc, xls, pdf не открываются [Trojan-Ransom.Win32.Spora.agl ]

[Алекс Витальевич]

Доброго времени суток! Проблема глобального масштаба. То ли вирус залетел на комп, то ли закинули.. До вчерашнего обеда все было нормально, сегодня обнаружили, что файлы xls открываются с ошибкой "Действительный формат открываемого файла отличается от указываемого его расширением имени файла". Файлы doc с ошибкой "Приложению Word не удалось запустить конвертер mswrd632.wpc". Общая папка находится в сети на сервере, при просмотре информации о файлах было выявлена одна и та же дата изменения на всех файлах в одной и той же папке, в последующих папках дата изменения отличается на 1-2 минуты. Очень прошу помочь разобраться, данных много и все важные...

[Info_bot]

Уважаемый(ая) Алекс Витальевич, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Алекс Витальевич]

лог сбора данных

[Vvvyg]

Видимо, зашифровали, вероятно с другого компьютера, сервер чист, похоже.
Теневые копии делаются? В свойствах файлов и папок, если открывать их по сети, есть "Предыдущие версии"?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Алекс Витальевич]

Видимо, зашифровали, вероятно с другого компьютера, сервер чист, похоже.
Теневые копии делаются? В свойствах файлов и папок, если открывать их по сети, есть "Предыдущие версии"?

нет ни теневых копий, не предыдущих версий.. на сервере стоит зеркальный RAID,с него можно что-либо восстановить? подозреваю,конечно, что схватил Spora (пришел файл html-приложения в zip-архиве).. FRST не запускается, win server2003, выдает ошибку с отсутствием библотеки kernel.dll...

[Vvvyg]

Зеркало помогает лишь в случае проблем с одним из дисков.
Если Spora - расшифровки нет, и, скорее всего, не будет. С какого компьютера шифровальщик запускали, разобрались?

[Алекс Витальевич]

да,на компе файлы целы, шифровальщик по ходу искал открытые сетевые папки и пролез...

[Vvvyg]

Можно по логам с него зачистить следы шифровальщика, не более.

[Алекс Витальевич]

Проверил на своем компе как он работает...при запуске создает документ Word "bill 15.02.17" и ищет открытые сетевые папки, проникает туда, на локальном компе шифрует файлы и создает html-документы со страницей spora.biz и соответствующим наполнением, а так же в корне дисков скрывает папки и создает ярлыки на них. Прикладываю лог FRST.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Documents and Settings\Александр Волков\Application Data\u.exe', '');
 QuarantineFile('C:\Documents and Settings\Александр Волков\Application Data\4039678196', '');
 DeleteFile('C:\Documents and Settings\Александр Волков\Application Data\u.exe', '32');
 DeleteFile('C:\Documents and Settings\Александр Волков\Application Data\4039678196', '32');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Данные вернуть это никак не поможет.

[Алекс Витальевич]

файл отправлен,спасибо за помощь..так значит,spora не поддается расшифровке,как и vault?

[Vvvyg]

Некоторые старые варианты vault могли быть расшифрованы, со spora - надежды особой нет.

[Алекс Витальевич]

ребят,обнаружил новую версию,приходит пакет в документе Word (типа кликните на картинку),внутри скрипт WSF,протестил на виртуалке-тот же самый вирус Spora...файл карантина нужен?

[Vvvyg]

Давайте.

[Алекс Витальевич]

посмотрите пожалуйста откуда его забрать

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\5cd264e234efbea9.exe', '');
 QuarantineFile('C:\5cd264e234efbea9.exe', '');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\5cd264e234efbea9.exe', '');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\radC4472.exe', '32');
 DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\5cd264e234efbea9.exe', '32');
 DeleteFile('C:\5cd264e234efbea9.exe', '32');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив карантина quarantine.zip отправьте по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

[Алекс Витальевич]

файл отправил

[Vvvyg]

Ознакомьте своих пользователей.
И всё на этом.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\admin\local settings\temp\5cd264e234efbea9.exe - Trojan-Ransom.Win32.Spora.agl
  2. c:\documents and settings\admin\рабочий стол\5cd264e234efbea9.exe - Trojan-Ransom.Win32.Spora.agl
  3. c:\documents and settings\александр волков\application data\u.exe - Trojan-Ransom.Win32.Spora.hk
  4. c:\5cd264e234efbea9.exe - Trojan-Ransom.Win32.Spora.agl