Как избавиться от вируса spora

Spora вымогатель расширяет свою распространительную кампанию

Вирус Spora приобрел известность в очень краткий период времени. Этот новый “великий игрок”, который произошел от CryLocker, не только вызывает головную боль виртуальному сообществу, но и загадки для исследователей вирусов. На сегодня, аналитики вредоносных программ называют его “самым сложным вымогателем всех времен”.

Первое обнаружение произошло 10 января, Spora вымогатель оказался трояном, шифрующим данные[ссылка 1], который начал общаться со своими жертвами только на русском языке. Тем не менее, после нескольких недель работы, он начал путешествовать по всему миру.

Он запускается с помощью close.js файла. JavaScript файлы, являются популярными инструментами среди хакеров. Удивительно, но вредоносная программа использует совершенно иной, и очень сложный алгоритм шифрования данных, который, кажется, неуязвим. По-видимому, вирус создает содержание .KEY файла, создавая RSA ключ, кодируя его новым, сгенерированным AES ключом.

Кроме того, он шифрует ключ AES с помощью публичного ключа, вставленного в исполняемый файл вируса, и, наконец, сохраняет их в .KEY. Шифрование данных этой угрозы, является немного проще: она шифруют данные, используя AES ключ, зашифрованный RSA шифром (к сожалению, мы не можем говорить об удалении Spora вымогателя).

.backup, .xlsx, .docx, .rtf, .dwg, .cdr, .cd, .mdb, .1cd, .odt, .pdf, .psd, .dbf, .doc, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .xls.

Файлы, которые имеют эти расширения, шифруются с помощью ключа шифрования (публичный ключ); В то же время, публичный ключ отправляется преступникам на отдаленный сервер и хранится там до тех пор, пока жертва не соглашается заплатить выкуп.

Инструкции о том, как отправить выкуп, предоставлены в записке с выкупом, которая, обычно хранится на рабочем столе. Обычно, эти инструкции указывают жертве на место, которое содержит еще больше инструкций – официальный сайт для оплаты Spora.

Удивительно, но авторы этого вымогателя демонстрируют отличные навыки программирования в своих платежных веб-сайтах. Кроме того, удивила их служба поддержки, более опытная чем эксперты по компьютерной безопасности. Количество сайтов для оплаты стремительно растет, и теперь вы можете найти 10 сайтов, которые используются для сбора незаконных выкупов, включая spora[.]bz, spora[.]one, spora[.]hk, и другие.

Вирус-вымогатель Spora

Сайт для оплаты[ссылка 2] отличается от обычных веб-сайтов, которые, как правило, указывают вирус-вымогатели, поскольку они обеспечивают различные варианты для жертвы – один может удалить Spora вирус за $20, восстановить файлы за $30 и даже заплатить $50 за иммунитет от атак вымогателя. Однако, если жертва, хочет получить полный пакет, она должна заплатить $79.

Имейте в виду, что вирус может попросить высшую или меньшую плату, в зависимости от жертвы. На самом деле, такой широкий диапазон опций возвышает модель “Фримиум” на новый уровень.

Вы, возможно, уже слышали, что традиционный вымогатель, включая Cerber вымогателя, предлагает попробовать инструмент дешифрования на одном или двух малых, зашифрованных файлах, чтобы доказать, что инструмент дешифрования существует, и находится на сервере мошенников, но этот вирус разбил полную цену на частицы, предлагая жертве приобрести отдельные услуги.

Создатели вируса принимают оплату только в биткойнах[ссылка 4]. 16 января, сайт оплаты был улучшен, и была додана страница “Помощь”. Этот сайт также имеет окно связи общего доступа, таблица сделок уже сделана, и другие маленькие детали, которые делают удобный интерфейс[ссылка 5]. Независимо от того, что вредоносная угроза не является дружеской, так как хочет получить деньги[ссылка 3] от жертвы.

Для того, чтобы получить ключ дешифрования, потерпевших просят заплатить выкуп и отправить .KEY файл через сайт оплаты. Если вы были поражены этим вирусом, побеспокойтесь о его немедленном удалении. Крайне желательно, использовать такие инструменты, как Reimage Reimage Cleaner Intego или SpyHunter 5 Combo Cleaner , для успешного Spora удаления.

Другие версии угрозы

Spora 2.0 вирус-вымогатель. Вскоре после того, как оригинальная версия виртуальной угрозы была выпущенной, кибер-злодеи представили обновленную версию. Авторы этого паразита, запустили более коварную кампанию, чтобы умножить свой уровень глобального заражения[ссылка 6].

Для решения этого неудобства, мошенники предлагают включить специальный Chrome Font Pack. Тем не менее, то что пользователи будут загружать, не будет никаким браузер дополнением, а реальным — Spora 2.0. Интересно, что папка, которая несет инфекцию вдвойне запакована (zip). Теперь мошенники требуют около 2000 USD в обмен на файлы[ссылка 7]. Несмотря на сложный сайт оплаты, нет никаких сообщений о возвращении всех файлов жертве.

Когда вторгся Spora вирус?

Spora вымогатель в настоящее время распространяется через вредоносные сообщения электронной почты, наполненные инфекционными HTA файлами. Эти прячущиеся файлы имеют двойное расширение, например, PDF.HTA и реальное расширение скрывается так, что жертва будет думать, что реальное расширение это .DOC.

Позвольте нам напомнить, что HTA файл это исполняемый формат HTML файла, и когда жертва открывает его, она загружает close.js JavaScript файл в систему, в папку %Temp%. Здесь инфекция активизируется, путем извлечения исполняемого файла и его запуска. Этот исполняемый файл является основным файлом, который отвечает за процедуру шифрования данных.

В то же время, HTA файл открывает DOCX файл, который показывает сообщение об ошибке, в которой говорится, что файл не можно открыть. В момент, когда жертва смотрит на эту подозрительную ошибку, вымогатель шифрует все файлы на системе.

Malspam в настоящее время является основной техникой, используемой для распространения Spora. В самом начале, когда угроза использовала только русский язык, обманные электронные письма использовали эту тему: Скан-копия _ 10 января 2017г. Составлено и подписано главным бухгалтером.

Мы рекомендуем вам быть очень осторожными при работе в интернете и доступом на неизвестные страницы. Если вы не хотите быть обманутыми на установку сомнительного программного обеспечения или вредоносных обновлений, то лучше ничего не устанавливайте из сайтов, которые вы никогда не посещали.

Инструкции устранения Spora

Вы можете удалить Spora вирус довольно просто, если используете надежное антивредоносное средство. Однако, это может также зависеть от разработчиков, которые работали над инструментом, что вы собираетесь использовать, если у вас его нету, мы предлагаем установить Reimage Reimage Cleaner Intego .

Если вы хотите использовать другую программу, вы можете легко выбрать ту, которую вы пожелаете, после детального обзора программного обеспечения в специальном разделе. Пожалуйста, помните, что вы имеете дело с вирусом вымогательного типа, так что он может попробовать заблокировать вашу антивредоносную или антишпионскую программу, при попытке удаления его из системы.

Если вы имеете дело с такой проблемой, мы рекомендуем вам попробовать запустить ваш компьютер в безопасном режиме с сетевыми драйверами. Если этот метод не сработает, продолжайте удаление Spora с помощью метода восстановления системы.

Пандемия коронавируса заставила многих москвичей изменить привычный образ жизни. Большинство сотрудников столичных офисов работают на удаленке или сидят на карантине, фитнес-клубы, театры и кинотеатры не работают, а полки в магазинах пустеют. Даже если вы скептически относились к эпидемии, в новых условиях жизни сохранить абсолютное спокойствие почти невозможно. Обозреватель РИАМО поговорила с психологами и психотерапевтами и узнала, как справиться с тревожными настроениями и сохранить спокойствие в период коронавируса.

Как проявляется паника

Прежде всего, психологи советуют оценить, что именно вас тревожит – перспектива заразиться вирусом, пустые полки в магазине или возможность остаться без работы.

Под паникой понимают состояние, которое является следствием сильной стрессовой реакции организма на часто неожиданные и пугающие ситуации. Проявляется она в нарастании страха и нерационального поведения, объясняет психолог Роман Мирошкин.

Не смотрите новости

Если вы нашли у себя маркеры тревоги, то стоит определить, какие стимулы их провоцируют, и устранить их.

Психолог и руководитель Центра урегулирования социальных конфликтов Олег Иванов считает, что для того, чтобы не поддаваться панике, нужно доверять только официальным источникам информации. Если вы все равно чувствуете тревогу, то психолог советует вообще перестать читать новости.

Как страх истощает организм

По мнению специалистов, страх намного страшнее любого вируса, так как он за короткое время может вывести из равновесия иммунную систему человека.

Как объясняет врач-психотерапевт Константин Ольховой, здесь работает дистресс-синдром Ганса-Селье, когда стрессов слишком много, и у человека нет возможности сделать передышку, в результате организм сильно истощается.

Правильные мысли

Именно страх заставляет одних людей скупать гречку и туалетную бумагу, а других – злиться на тех, кто все это делает.

Вместо тревожных новостей день стоит начинать с правильных мыслей, советует Гусева. По ее словам, можно составить для себя простые аффирмации (утверждения – прим. ред.) и сделать их ежедневным ритуалом.

Займитесь саморазвитием

Если вы работаете из дома или сидите на карантине, то не воспринимайте это как заключение. Подумайте о том, что у вас появилась дополнительная возможность отдохнуть, провести время с близкими, а после этого займитесь саморазвитием, советует Олег Иванов.

Например, заведите за правило каждый день узнавать что-то новое. Даже если вы не хотите проходить онлайн-обучение, посмотрите в сети фильм, который давно хотели посмотреть, прочитайте книгу, которую откладывали, или прогуляйтесь виртуально по мировым музеям.

Сохраните привычный режим

Еще один важный момент в борьбе со страхом – сохраните привычный стиль жизни. Это не только режим питания и сна, но и количество работы и физической активности.

Запрет на посещение общественных мест – еще не повод лишать себя прогулок. По словам психотерапевта Дмитрия Суроткина, прогулки – лучшее средство привести в порядок свои мысли.

Это не значит, что нужно идти днем в ТЦ или супермаркет, прогуляться можно рано утром или вечером, после заката. Альтернативой закрытых фитнес-клубов может стать воркаут. Также рано утром полезно прокатиться на велосипеде или самокате, особенно если в вашем районе есть парк.

В свою очередь психолог Анна Туманова советует пить больше воды и ограничить себя в алкоголе.

Стройте планы

Коронавирус – явление временное, это не повод отказываться от планирования своей жизни и плыть по течению.

Первое, с чего нужно начать – разумно планировать свои траты, советует доцент Финансового университета при правительстве РФ Виталий Пичугин.

Сейчас самое время установить приложение по своим тратам и оценить, стоит ли тратить деньги на продукты, которые вы и ваша семья не в состоянии съесть.

Второе – писать списки желаний и работать со своими убеждениями и страхами, советует Светлана Миленская. Например, мечтайте о путешествиях, стройте маршруты, а если есть возможность – уединитесь на даче на выходные. Найдите плюсы в сложившейся ситуации и подумайте, как вы можете их использовать, чтобы улучшить свою жизнь.

Кроме того, многих угнетает мысль о том, что из-за закрытия границ в связи с коронавирусом в ближайшее время придется отказаться от путешествий, а возможно – и планов на летний отпуск. В связи с этим психотерапевт Константин Ольховой предлагает взять на вооружение интересный пример.

Смейтесь и шутите

Даже если вам не до смеха – проводите время с семьей весело. Играйте с детьми, смотрите комедии, читайте добрые сказки.

А вместо бесконечных пересылок новостей о коронавирусе в мессенджерах отправьте другу карантинку. Проект был создан, чтобы разрядить негативные новости по коронавирусу.

Увидели ошибку в тексте? Выделите ее и нажмите "Ctrl+Enter"

Дорожный конфликт на юго-западе Москвы закончился стрельбой, два человека попали в больницу, еще двое были задержаны, .

ОАО "МОЭК" опубликовала график планового отключения горячего водоснабжения в многоквартирных домах Москвы в 2016 году. .

ОАО "МОЭК" опубликовала график планового отключения горячего водоснабжения в многоквартирных домах Москвы в 2014 году. .

Компьютер еле-еле работает? На мониторе всплыл синий экран? В окне браузера внезапно начали появляться похабные картинки? Это вирусы.

Содержание

Для начала стоит разобраться, что же такое вредоносные программы и зачем они нужны тем, кто их пишет.

Типы вредоносных программ↑

Существуют несколько разновидностей вредоносных программ. Чаще всего обычный пользователь встречается с вирусами и троянами. Эти две заразы принципиально различаются: вирус — самораспространяющаяся программа, целью которой является массовой заражение компьютеров, троян же сам не распространяется и выполняет все свои вредительские функции внутри конкретного компьютера.

Существует несколько типов вредоносных программ:

* Программы для промышленного шпионажа встречаются довольно редко, т.к. пишутся на заказ и довольно дороги.

Создание и распространение вредоносных программ (в том числе вирусов) преследуется в России согласно Уголовному Кодексу (ст. 273) (прим. ред.).

Механизмы распространения↑

Первый. Пользователь сам запускает вирус. К примеру, вам приходит письмо от неизвестного отправителя с предложением посмотреть замечательные фотографии. Пользователь открывает файл и запускает к себе вредоносную программу, потому что вместо просмотрщика фотографий запускается исполняемый файл, устанавливающий программу. Чтобы избежать попадания вредителей на свой компьютер через почту, не открывайте письма, пришедшие с неизвестного адреса, а если открыли, смотрите на расширение файла. Если вам предлагают посмотреть фотографию с расширением .jpg.exe, не открывайте его, т.к. у нормальной фотографии расширение файла будет просто .jpg, а .exe — это расширение исполняемого файла.

Второй. Вирус или троян проникает в систему с внешних устройств (флешек, съемных дисков, фотоаппаратов и пр.).

Все вредоносные программы что-то делают. И чем активнее они делают это что-то, тем больше их пребывание заметно. Но перед любой диагностикой надо убедиться, что проявившиеся симптомы не являются следствием внесённых изменений самим пользователем. Другими словами, основное условие, при котором вирус заметен: без видимых для причин стало происходить внезапно что-то настораживающее. Симптомы могут быть следующие:

Что делать?↑

Если компьютер грузится и есть возможность запустить программу, то нужно выполнить ряд несложных действий.

С другого компьютера, который вам кажется не заражённым надо зайти и скачать одноразовую программу-антивирус. Программы бесплатные. Скачать такую программу можно с сайта антивируса Kaspersky или с сайта антивируса Dr.Web (программка под названием CureIt). С точки зрения автора статьи, CureIt предпочтительнее и проще в работе. После скачивания программы на компьютер или на флешку, запустите ее, дождитесь окончания быстрого сканирования и поставьте на полное сканирование компьютера.

Если не грузится Windows:

После установки образа на флешку на неё же надо закачать свежую версию одноразового антивируса. Далее необходимо загрузится с флешки.

В появившемся списке надо выбрать либо название флешки, либо USB.

Если и после всех этих действий Windows не грузится, то с высокой долей вероятности, его всё равно придётся переустанавливать, так что, с помощью загрузки c USB, необходимо скопировать все важные файлы либо на эту же флешку, либо на другую. Вторую флешку, на которую планируется скопировать файлы, необходимо вставлять до загрузки Windows, тогда она правильно и корректно определиться и заработает.

Есть ещё другой способ описанных выше действий — вынуть жёсткий диск из компьютера и вставить его как дополнительный в другой компьютер, на котором Windows исправен. С работающего Windows вставленный жёсткий диск нужно просканировать на вирусы. Но, во-первых, лезть с отвёрткой внутрь компьютера чревато банальной механической поломкой, а во-вторых, для того, что бы сначала правильно разобрать, а потом собрать всё-таки необходимо твёрдое понимание выполняемых манипуляций, ну или полное отсутствие жалости к железкам и информации, содержащейся на них!

Если Windows загружается, но висит баннер об отправке SMS:

Два крупнейших игрока на антивирусном рынке (Dr.Web и Kaspersky), — создали сайты по борьбе с SMS вымогателями. Для удаления баннера с рабочего стола и разблокировки Windows нужно перейти на соответствующие сайты Dr.Web и Kaspersky. На этих сайтах можно ввести код, который просят отправить по SMS, и получить код разблокировки. Но после этого всё равно необходимо пройтись каким-нибудь одноразовым антивирусом.

Подводя итоги можно сказать, что большинство вирусов успешно лечатся без следа, а при хорошем и, к сожалению, платном антивирусе, вообще не попадают на компьютер.

Так же хотел бы напомнить, что для того, чтобы внезапно не потерять всё, желательно держать копии важных документов либо на отдельном носителе (съемном диске или флешке), либо в интернете, это позволит продолжить работу на другом компьютере.

Месяц назад столкнулся с очередным шедевром вирусоделов, который оказался не похож на все то, что я видел ранее. Я расскажу вам о продвинутом вирусе вымогателе-шифровальщике spora ransomware, о способах расшифровки файлов и лечении. Хакеры разработали принципиально новый подход к разводу пользователей на приличные деньги. Далее расскажу обо всем по порядку.

Описание вируса шифровальщика spora ransomware

Расскажу подробно о том, что это такое — spora ransomware. Назвать его просто вирусом шифровальщиком, подобно ранее известным vault, da_vinci_code, enigma, no_more_ramsom язык не поворачивается. По сути это целый программный комплекс, состоящий из:

1. Непосредственно вируса, который шифрует пользовательские файлы.
2. Сайта для взаимодействия с инструментами расшифровки.
3. Модуля приема оплаты в биткоинах.
4. Чата для техподдержки пострадавшим.

Все сделано на очень высоком техническом уровне, начиная от самого трояна-вымогателя, заканчивая самим сайтом. Работа по шифрованию файлов сделана очень аккуратно и незаметно. Если раньше шифровальщики заменяли расширения файла, что сразу указывало на то, что файл зашифровали, то теперь криптолокер действует хитрее — он шифрует файлы, не изменяя название файлов и их расширение. Это позволяет ему оставаться незаметным до тех пор, пока он не закончит свою работу. Особенно это актуально с сетевыми дисками, где сразу не догадаешься, что идет шифрование, если работают с файлами разные пользователи по сети.

Но я забегаю вперед. Расскажу обо всем по порядку, начиная от заражения компьютера, заканчивая вариантами расшифровки и восстановления файлов.

Как вирус вымогатель spora шифрует файлы

Начинается все, как обычно со всеми вирусами шифровальщиками — с письма на почту. Письмо это будет специально подобрано по содержанию, чтобы максимально напоминать рабочую переписку, если рассылка ведется по корпоративной базе почтовых ящиков. К примеру, там может быть просьба от какого-то контрагента сверить бухгалтерские документы, или посмотреть счет фактуру, либо что-то еще. Если рассылка идет по личным ящикам пользователей, то оно будет замаскировано под письмо от сбербанка, налоговой или какой-то еще популярной в народе службы.

Главная задача такого письма — заставить пользователя запустить вложение. В случае с spora, во вложении будет zip архив, внутри которого файл с расширением .hta. После запуска этого файла, во временной директории пользователя создается новый файл с расширением .js, в который записывается зашифрованный JScript и выполняется. Сам скрипт с вирусом зашифрован стандартными системными алгоритмами, чтобы его не обнаружили антивирусы.

После выполнения скрипта, во временной директории пользователя C:\Users\user\AppData\Local\Temp появятся два файла:

• 4a0f17b9936.exe
• doc_113fce.docx

Имена файлов скорее всего в каждом конкретном случае будут разными, но по типу будут такие же. Первое это исполняемый файл, который и является шифровальщиком. Сразу после создания, он запускается и начинает свою черную работу по шифрованию файлов.

Если у вас включен UAC, то вы увидите запрос на выполнение файла. Вирус пытается удалить все теневые копии, а для этого нужно подтверждение. Если не подтвердите запуск файла, то считайте, что вам повезло, и ваши теневые копии останутся. А если подтвердите выполнение, или если у вас вообще отключен UAC, то ваши теневые копии будут удалены командой:

Второй файл является пустышкой, который замаскирован под файл формата word, но при этом открывается с ошибкой.

Он сделан, скорее всего, для того, чтобы запутать пользователя. Человек может подумать, что просто файл повредился. Это может побудить его еще раз открыть вложение из письма, чтобы убедиться, что письмо не открывается. Особо сообразительные люди отправляют письмо коллегам с просьбой проверить, открывается ли у них этот файл. Сам лично наблюдал такое поведение. В итоге шансы у вируса-вымогателя выполнить свою работу увеличиваются.

После того, как вирус запустился и зашифровал все файлы, которые смог найти, он создает 2 файла на рабочем столе пользователя:

• RU15C-ACXRT-RTZTZ-TOGTO.HTML
• RU15C-ACXRT-RTZTZ-TOGTO.KEY

Первый файл — html страничка, которая автоматически запускается. Она содержит в себе краткую информацию о том, что произошло на компьютере:

Второй файл необходим для того, чтобы вы смогли получить дешифратор от злоумышленников. Его нужно сохранить, если вы рассчитываете расшифровать файлы.

Если вы увидели в своем браузере описанную выше страничку, значит все ваши файлы уже зашифрованы, хотя внешне кажется, что все в порядке. Но при попытке открыть файл, вы получите ошибку. Дальше нужно действовать аккуратно и внимательно, если хотите получить свои данные обратно. Шансы сделать это бесплатно хоть и небольшие, но есть.

Можно зайти в личный кабинет указанного выше сайта и посмотреть, как там все устроено.

После заражения у вас есть 5 дней, чтобы оплатить расшифровку. После этого, она станет дороже в 2 раза. Имейте это ввиду, если решитесь платить деньги. Я знаю, что многие платят, так как нет выхода, поэтому сразу предупреждаю. Цена через 5 дней реально будет в 2 раза выше.

На сайте предусмотрен чат с техподдержкой вируса. Первое время не было ограничения на количество сообщений, теперь оно есть — не более пяти. Так что внимательно следите за тем, что пишите, если у вас реально есть необходимость общаться.

Вы можете тут же внести оплату за расшифровку. На сайте есть подробные инструкции. После зачисления денег, информация в личном кабинете изменится.

Если деньги сразу не придут, нужно написать в техподдержку, они вручную проверят поступление и подтвердят его. Масштабы деятельности, честно говоря, поражают. Очень занимательный чат. Я прям зачитался, когда первый раз попал в личный кабинет.

Как лечить компьютер и удалить вымогатель spora ransomware

После того, как вы узнали, что все ваши файлы зашифрованы, нужно определиться, что вы будете делать дальше. Если у вас есть бэкапы и расшифровка файлов вам не требуется, то можно смело переходить к лечению компьютера и удалению вируса. Как и все остальные вирусы шифровальщики, удалить из системы его не трудно. Та модификация, что попалась мне, вообще ничего особенного с системой не делала, нигде себя не прописывала — ни в реестре, ни в автозапуске. Все, что сделал вирус, это создал несколько файлов. 3 файла в папке с профилем пользователя C:\Users\user\AppData\Roaming:

Эти же 3 файла будут продублированы в папке C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates. На рабочем столе пользователя будут лежать первые два файла из списка. Все эти файлы носят информационный характер и непосредственной опасности не представляют. Сам вирус будет находиться в папке C:\Users\user\AppData\Local\Temp. Вот список файлов оттуда, относящиеся к spora:

• 4a0f17b9936.exe — непосредственно вирус.
• close.js — javaScript-файл, который создает исполняемый файл с вирусом.
• doc_113fce.docx — поддельный документ.
• 1С.a01e743_рdf.hta — вложение из почты.

Этот список файлов представляет непосредственную опасность и его в первую очередь надо удалить. Ни в коем случае не копируйте эти файлы на флешку или куда-то еще. Если случайно запустите на другом компьютере, то потеряете и там все данные. Если вам нужно сохранить для последующего разбора файлы с вирусами, то добавьте их в зашифрованный архив.

Удаления этих файлов достаточно для того, чтобы избавиться от вируса шифровальщика. Но хочу обратить внимание, что модификации могут быть разные. Я видел в интернете информацию о том, что этот вирус иногда ведет себя как троян, создает копии системных папок в виде ярлыка, скрывает настоящие системные папки, а в свойствах запуска ярлыков добавляет себя. Таким образом, после расшифровки файлов, ваша карета снова может превратиться в тыкву.

После ручного удаления вируса, рекомендую воспользоваться бесплатными инструментами от популярных антивирусов. Подробнее об этом я уже рассказывал ранее на примере вируса no_more_ransom. Можете воспользоваться приведенными там рекомендациями. Они актуальны и для вируса spora.

Я рекомендую после расшифровки файлов, сразу же переустановить систему Windows. Только это может дать 100% гарантию, что на компьютер очищен полностью.

Если вам необходимо любой ценой восстановить зашифрованные файлы, а самостоятельно вы это сделать не можете, рекомендую сразу обращаться к профессионалам. Неправильные ваши действия могут привести к тому, что файлы вы вообще не сможете получить назад. Как минимум, вам нужно снять посекторный образ системы и сохранить его, прежде чем вы сами начнете что-то делать. Как сделать образ системы рассказывать не буду, это выходит за рамки данной статьи.

Подведем итог. После того, как ваш компьютер был зашифрован, правильная последовательность действий для возможной расшифровки файлов и лечения компьютера следующая:

1. Отключаем компьютер от сети.
2. Сохраняем файлы с расширением .KEY и .LST.
3. Делаем полный посекторный образ дисков с информацией, загрузившись с Live CD.
4. Удаляем вирус с компьютера.
5. Пробуем восстановить файлы самостоятельно.
6. Переустанавливаем Windows.

Где скачать дешифратор spora ransomware

Сразу хочу предупредить, что шансов найти рабочий дешифратор не много, но вдруг повезет? Попытка не пытка. Идем на сайт, на главной странице нажимаем на YES.

Выбираем парочку зашифрованных файлов и отправляем их на сервер для подбора дешифратора.

Мне не повезло. На момент написания статьи дешифратор для spora ransomware отсутствовал.

Есть ли еще возможность найти рабочий дешифратор для шифровальщика spora ransomware я не знаю. Думаю, что нет. А если кто-то будет предлагать его продать, да еще и по небольшой цене, то скорее всего это будет мошенник.

Как расшифровать и восстановить файлы после вируса spora ransomware

Что делать, когда вирус spora ransomware зашифровал ваши файлы? Вы можете расшифровать бесплатно 2 файла в личном кабинете. Как это сделать показано в видео в конце статьи. Если вам этого мало, то читайте дальше о том, как расшифровать остальные файлы. Точнее не расшифровать, а восстановить. Техническая реализация шифрования не позволяет выполнить расшифровку файлов без ключа или дешифратора, который есть только у автора шифровальщика. Может быть есть какой-то еще способ его получить, но у меня нет такой информации. Нам остается только попытаться восстановить файлы подручными способами. К таким относится:

• Инструмент теневых копий windows.
• Программы по восстановлению удаленных данных

Для начала проверим, включены ли у нас теневые копии. Этот инструмент по-умолчанию работает в windows 7 и выше, если вы его не отключили вручную. Для проверки открываем свойства компьютера и переходим в раздел защита системы.

Если вы во время заражения не подтвердили запрос UAC на удаление файлов в теневых копиях, то какие-то данные у вас там должны остаться. Подробнее об этом запросе я рассказал в начале повествования, когда рассказывал о работе вируса.

Для удобного восстановления файлов из теневых копий предлагаю воспользоваться бесплатной программой для этого — ShadowExplorer. Скачивайте архив, распаковывайте программу и запускайте.

Откроется последняя копия файлов и корень диска C. В левом верхнем углу можно выбрать резервную копию, если у вас их несколько. Проверьте разные копии на наличие нужных файлов. Сравните по датам, где более свежая версия. В моем примере ниже я нашел 2 файла на рабочем столе трехмесячной давности, когда они последний раз редактировались.

Мне удалось восстановить эти файлы. Для этого я их выбрал, нажал правой кнопкой мыши, выбрал Export и указал папку, куда их восстановить.

Вы можете восстанавливать сразу папки по такому же принципу. Если у вас работали теневые копии и вы их не удаляли, у вас достаточно много шансов восстановить все, или почти все файлы, зашифрованные вирусом. Возможно, какие-то из них будут более старой версии, чем хотелось бы, но тем не менее, это лучше, чем ничего.

Если по какой-то причине у вас нет теневых копий файлов, остается единственный шанс получить хоть что-то из зашифрованных файлов — восстановить их с помощью средств восстановления удаленных файлов. Для этого предлагаю воспользоваться бесплатной программой Photorec.

Запускайте программу и выбирайте диск, на котором будете восстанавливать файлы. Запуск графической версии программы выполняет файл qphotorec_win.exe. Необходимо выбрать папку, куда будут помещаться найденные файлы. Лучше, если эта папка будет располагаться не на том же диске, где мы осуществляем поиск. Подключите флешку или внешний жесткий диск для этого.

Процесс поиска будет длиться долго. В конце вы увидите статистику. Теперь можно идти в указанную ранее папку и смотреть, что там найдено. Файлов будет скорее всего много и большая часть из них будут либо повреждены, либо это будут какие-то системные и бесполезные файлы. Но тем не менее, в этом списке можно будет найти и часть полезных файлов. Тут уже никаких гарантий нет, что найдете, то и найдете. Лучше всего, обычно, восстанавливаются изображения.

Если результат вас не удовлетворит, то есть еще программы для восстановления удаленных файлов. Ниже список программ, которые я обычно использую, когда нужно восстановить максимальное количество файлов:

• R.saver
• Starus File Recovery
• JPEG Recovery Pro
• Active File Recovery Professional

Программы эти не бесплатные, поэтому я не буду приводить ссылок. При большом желании, вы сможете их сами найти в интернете.

Весь процесс восстановления файлов подробно показан в видео в самом конце статьи.

Касперский, eset nod32 и другие в борьбе с шифровальщиком Trojan-Ransom.Win32.Spora

Сейчас старые модификации вируса определяются антивирусами как Win32/Filecoder.Spora.A, Win32/Filecoder.NJI и д.р. Может меняться последняя буква на b, f и т.д. Filecoder иногда заменяется на trojan. К сожалению, все это применимо только к старым версиям вирусов. Постоянно выходят новые, которые антивирусы не способны быстро определить.

Пробежимся по форумам популярных на сегодняшний день антивирусов и посмотрим, что они могут предложить в борьбе с шифровальщиком spora.

К сожалению, как и раньше — НИЧЕГО. Смотрим сообщение с сайта forum.kasperskyclub.ru, куда отправляют с официального форума kaspersky делать заявки на лечение от вирусов.

Вот пострадавший от такого же вируса spora на форуме dr.web. Ответ техподдержки доктора веба тоже неутешительный:

Расшифровка невозможна в данный момент. В будущем расшифровка маловероятна, однако, если она появится — мы вам сообщим.

Чтобы избежать подобных проблем в дальнейшем, необходимо регулярно делать резервные копии важных файлов.

Все как всегда со всеми предыдущими шифровальщиками, за исключением Энигмы. Ее обещали расшифровывать. А текущий нет и пока не предвидится. Так что тут каждый сам за себя.

Методы защиты от вируса шифровальщика

Как защититься от работы шифровальщика и обойтись без материального и морального ущерба? Есть несколько простых и эффективных советов:

1. Бэкап! Резервная копия всех важных данных. И не просто бэкап, а бэкап, к которому нет постоянного доступа. Иначе вирус может заразить как ваши документы, так и резервные копии.
2. Лицензионный антивирус. Хотя они не дают 100% гарантии, но шансы избежать шифрования увеличивают. К новым версиям шифровальщика они чаще всего не готовы, но уже через 3-4 дня начинают реагировать. Это повышает ваши шансы избежать заражения, если вы не попали в первую волну рассылки новой модификации шифровальщика.
3. Не открывайте подозрительные вложения в почте. Тут комментировать нечего. Все известные мне шифровальщики попали к пользователям через почту. Причем каждый раз придумываются новые ухищрения, чтобы обмануть жертву.
4. Не открывайте бездумно ссылки, присланные вам от ваших знакомых через социальные сети или мессенджеры. Так тоже иногда распространяются вирусы.
5. Включите в windows отображение расширений файлов. Как это сделать легко найти в интернете. Это позволит вам заметить расширение файла на вирусе. Чаще всего оно будет .exe, .vbs, .src. В повседеневной работе с документами вам вряд ли попадаются подобные расширения файлов.

На этом у меня все. Будьте внимательны за компьютером. Не открывайте подозрительные файлы, не переходите по сомнительным ссылкам, делайте регулярно бэкапы всех важных данных.

Видео c 100% расшифровкой и восстановлением файлов

Я записал видео, где на тестовой машине заразился вирусом, успешно восстановил все файлы, вылечил компьютер и удалил вирус из системы.