Вирус шифровальщик без изменения расширения файла

**Brukva** · 03.08.2017, 20:40

Добрый день

Сегодня одна сотрудница умудрилась открыть какое-то левое письмо с вирусом в формате *.hta в архиве.
В итоге файлы документов теперь не открываются, у всех примерно одно и то же время изменения, но расширение не изменилось.
Её комп выключил, смотрю антивирусом жесткий диск с другого компьютера. Касперский на нём находит в папке "темп" некий *.exe (определяет как UDS

angerousObject.Multi.Generic), видимо исходник вируса, и по остальным папкам с документами файлы *.hta таким же названием с добавкой README (определяет как HEUR:Trojan-Downloader.Script.Generic), видимо инструкция от вымогателя.

Судя по всему шифровальщик. Но ни hta почитать, ни exe файлы я не запускал. Сам заражённый комп тоже больше не включал, поэтому пока сделать правильный отчёт не представляется возможным.
Могу выложить все файлы, как пришедшего вируса, так и того, что в папке "темп"

Соотв-но вопросы: с какой стороны подступиться? как расшифровать файлы? стоит ли включать опять этот комп и в каком режиме?
Касперский из лечения предлагает только удаление этих exe и hta. Но от этого ни тепло, ни холодно, а хотелось бы восстановить файлы документов.

Заранее спасибо за оперативный ответ

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.08.2017, 20:45

Уважаемый(ая) Brukva, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 04.08.2017, 07:54

Это Spora и расшифровки не будет.

https://virusinfo.info/pravila.html

**Brukva** · 04.08.2017, 09:27

В смысле не будет? Даже за выкуп от злоумышленника?

**thyrex** · 04.08.2017, 09:46

Нашими силами расшифровки не будет.

**Brukva** · 04.08.2017, 12:29

Спасибо за инфо, почитал.
Тогда ещё вопросы. Если файлы всё-таки нужны, какой алгоритм действий лучше выбрать? Включить этот комп, подключить к инету и смотреть эти README...hta и выполнить инструкции по оплате злоумышленника? Или можно попробовать с другого компа открыть инструкцию?
Не нанесёт ли это ещё какого-то вреда в системе и сети? Не может ли это спровоцировать дополнительное заражение других компьютеров и т.п.? Где ещё "хвосты" имеет смысл поискать?

**thyrex** · 04.08.2017, 12:33

В эти hta-файлах есть инструкция для связи со злодеями и зашифрованный ключ для Вашей машины. Для распространения по сети этот вирус создает ярлыки с именем папки (если не путаю, то они скрытые), в которых прописан запуск исполняемго файла вируса.

**Brukva** · 04.08.2017, 12:45

Да, несколько ярлыков на сетевых папках нашёл. Самим папкам ставит атрибут "скрытые"

Вирус шифровальщик без изменения расширения файла (заявка № 214358)

Опции темы