Spora ransomware- proszę o pomoc w pozbyciu się


(Kirky) #1

Witam

Niestety przez własną nieostrożność ściągnąłem plik i wykonałem, w wyniku czego ransomware zaszyfrował pliki na komputerze, przy włączaniu odpala przeglądarkę i wyświetla komunikat o tym, żeby zapłacić za odszyfrowanie.

Proszę o pomoc w usunięciu ransomware i wszelkich śladów po nim, tak aby móc bezpiecznie uzywać komputera.
Załączam wymagane logi:
FRST http://www.wklej.org/hash/20aa739d3d5/
Addition http://www.wklej.org/id/3076563/
Shortcut http://www.wklej.org/id/3076565/

Z tego co czytam nie ma sposobu żeby odzyskać zaszyfrowane pliki i pogodziłem się z tym, jednak jeśli ktoś z was ma jakiś pomysł, to podzielcie się.


(Domker) #2

https://www.pcrisk.pl/narzedzia-usuwania/8469-spora-ransomware
Jest tam opis i link do programu usuwającego “Spora” z komputera.
Trzeba to zrobić w trybie “Safe Mode”.
Do tego ransomware nie ma akurat decryptorów, ale jest szansa na odzyskanie plików poprzez Shadow Explorera. (o ile nie był to wariant Spora, który usuwa kopie woluminów).

Część danych pewnie można będzie odzyskać też softem do odzyskiwania usuniętych plików. (ja bym użył TestDisk + Photo Rec, ale trzeba umiejętnie się nim posługiwać)

Na usuwanie pozostałości po Spora bym jeszcze poczekał na kogoś, kto zajmie się dołączonymi logami.


(Atis) #3

Nie instaluj programu SpyHunter zalecanego w linku powyżej.

Przede wszystkim spróbuj zidentyfikować rodzaj wirusa:
https://id-ransomware.malwarehunterteam.com/index.php?lang=pl_PL

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:
http://wklej.org/id/3076771/txt/
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.


(Seba228215) #4

A jakiś rescue disk (Kaspersky, BitDefender) i z pod bootowania ? Usuniesz szkodnika, ale nie wiem jak dane.


(axis85) #5

Cześć, miałem tego wirusa u siebie i wiem jak działa.
Po pierwsze, musisz odkryć pliki i foldery ukryte. Po drugie, z każdego wolumenu usunąć skróty oraz odkryć docelowe foldery do których się odnoszą.
Plik z wirusem możesz usunąć ręcznie, leży bezpośrednio na dysku, losowa długa nazwa *.exe.
Dodatkowo może być na dysku systemowym w katalogu temp (nie w Windows/Temp)

Po zrobieniu tego przeskanuj komputer trialową wersją Malwarebytes.
Jak działasz w sieci, to każdy katalog, do którego miałeś uprawnienia modyfikacji został zainfekowany w taki sam sposób - ukryte katalogi i stworzone skróty z linkiem do wirusa.


(Kirky) #6

SpyHuntera oczywiście nie ściągałem, nie było też szans na przywracanie systemu, zresztą z tego co czytałem, to również nie jest skuteczne.

Dzięki Atis za zajęcie się logami.
Wirus został zidentyfikowany na podstawie pliku jako Spora.

Naprawianie wykonane
Fixlog: http://wklej.org/hash/8906b4b470d/
Nowy raport z FRST po naprawie: http://wklej.org/hash/cac327f15ce/


(Atis) #7

Nie możliwości odszyfrowania plików: KLIK - KLIK
Za pomocą Shadow Explorer również nic nie odzyskasz, bo masz wyłączone przywracanie systemu.

Użyj RansomNoteCleaner Skasuj folder C:\FRST
Włącz przywracanie systemu dla dysku systemowego C: KLIK


(viainkenana) #8

Dlaczego nie spróbować narzędzi?
Jest wielu ekspertów, które możesz znaleźć i poprosić o pomoc.
http://911ransomware.com/forum/threads/list-of-free-ransomware-decryptors.53/


http://www.trymytools.com/how-to-remove-spora-ransomware-and-recover-encrypted-files/

http://www.smokey-services.eu/forums/index.php?board=308.0


(Atis) #9

Nie ma żadnych narzędzi do odszyfrowania w przypadku Spora Ransomware.
Najpierw przeczytaj jakiego wirusa dotyczy problem, a dopiero później zaśmiecaj forum.


(Seba228215) #10

A najlepiej unikaj styczności z Ransomware. :slight_smile: