Информация Смерть бухгалтерам. Криптолокер Spora

[X-Shar]

Талантливые скоты,так все наладить.

Ога, прикольно всё сделали, как пишут это не первый их вирус подобного рода, возможно и не последний (Но этот-же очень крутой получился), их-бы знания да в нужное русло...:)

По поводу отдела "К", тут всё сложно, во первых атаки ориентированы на рунет в основном, а домен зарегистрирован в офшоре (Зоне Беллиз - bz), при запросе сразу скажу вас пошлют на *уй...

Второе смотрим дальше, видим что сайт защищен от ддос, через прокси ddos-guard.net, а вот на них уже можно надовить и узнать реальный айпи сервера, ибо Ростов это нефига не реальный айпи сервера...:)

Почему отдел "К" бездействует, хотя-бы в этом направлении уже более месяца, я хз. ?

Ну правда гемор, такое раскуривать, подать запрос в ддосгуард, они тоже могут послять на *уй, нужно надовить, далее хз. где-там реальный сервер, если в Белизе, то печалька...

А там в ключе ещё сохраняется информация о зашифрованных файлах, если организация, то платить нужно больше, если какой-то Вася Пуйпкин, то меньше...:)

 

[Feger]

У них есть целый ряд сайтов:

xxxxs://spora.bz (186.2.161.51)
xxxxs://spora.store (186.2.163.47)
xxxxs://spora.one (186.2.163.47)
xxxxs://spora.biz (186.2.163.47)
xxxxs://spora.ht (186.2.163.47)
xxxxs://spora.hk (186.2.163.47)
xxxxs://spora.ch (186.2.163.47)
xxxxs://spora.cc (186.2.163.47)
xxxxs://spora.la (186.2.163.47)
xxxxs://spora.li (186.2.163.47)

На домены и SSL сертификаты явно не поскупились. Вот аккаунт с уже оплаченной дешифровкой и "Иммунитетом" - RU2D2-2BOFR-RGTXR-FHOTX-XRFTF-XTREZ-KZTGX-AYYYY. Заходим через любой сайт из списка (может, кому интересно, хотя вряд ли это понадобится, т. к. без особого ключа дешифровать ничего не получится).

А еще существует замечательный сервис [OFF]cd5b1.com[/OFF], где загружается архив local.zip со второй утилитой дешифровки (и это опять-таки не поможет, если нет исходного ключа).

readme.txt:
[OFF]

L O C A L S P O R A D E C R Y P T I O N

###############
English Version
###############

1. Unpack spora_dec.exe from archive to a new folder.

2. From your purchased TOTAL_*.zip extract *.key file to the folder above.

3. You need to both files (spora.exe and your *.key) inside 1 directory.
For example:
Desktop\new_folder:
- spora_dec.exe
- AABBCCDDEEFF.key

4. Copy and paste files, that wasn't decrypted to that folder.
In final:
Desktop\new_folder:
- spora_dec.exe
- AABBCCDDEEFF.key
- file_1.jpg
- file_2.doc
- folder\file_3.pdf
- etc...

5. Launch spora_dec.exe and wait for finish
Note:
1) If you have shared folders and few purchased *.keys, you could paste all of them to the same folder (where spora_dec.exe is).
When spora_dec.exe will be launched, it will try to decrypt files via each key.
2) You could launch spora_dec.exe as many times as you want.


############
Русский язык
############

1. Распакуйте spora_dec.exe из архива в какую-нибудь новую папку.

2. Достаньте из купленного архива (с дешифратором), файл *.key и поместите его в созданную папку,
в которой лежит spora_dec.exe

3. В итоге, у Вас должно в новой папке лежать 2 файла.
Например:
Рабочий стол\новая_папка:
- spora_dec.exe
- AABBCCDDEEFF.key

4. Файлы, которые не были по какой-то причине расшифрованы, но подходят(!) к Вашему ключу, положите в эту папку.
В итоге получим:
Рабочий стол\новая_папка:
- spora_dec.exe
- AABBCCDDEEFF.key
- файл_1.jpg
- файл_2.doc
- папка_1\файл_3.xls
5. Запустите файл spora_dec.exe и дождитесь окончания процесса.

Прим. 1: Если у Вас есть общие папки и несколько приобретённых ключей, в папку с spora_dec.exe можно положить сразу все Ваши ключи *.key (из купленного архива). При старте, программа будет выполнять подбор ключа для каждого файла.
Прим. 2: Декодер spora_dec.exe можно запускать несколько раз

[/OFF]

 

[virt]

У них есть целый ряд сайтов

Это всё айпи ddos-guard.net, смысл такой, что указываются ихние днс, таким образом можно легко скрыть реальный айпи сервера + защита от ддоса не плохая !

В то-же время сам ddos-guard.net не отвечает за сам сайт и содержимое на нём, т.к. является просто прокси и им нечего не предъявить ! :(

Про SSL возможно тоже их, услуга защиты стоит примерно 100$ скорей-всего в эту цену входит и сертификаты, есть похожий сервис и бесплатный

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

принцип действия примерно такой-же и бесплатный сертификат дадут...:)

А-так думаю эти товарищи 300$ как минимум потратили на покупку доменов + покупка защиты от ддос + хостинг и т.д.

Но учитывая маштаб и что как понимаю многие платят, сервис этот уже окупил себя, например если зашифрованы были какие-то ценные данные для организации 500$ нетак много заплатить, но проблема в другом, что за что платить и спонсировать вымогателей ?

И ещё проблема, не факт что расшифрует всё нормально...

Другое дело что это будет наука (Я надеюсь) горе бухгалтерам и администраторам, виноваты и администраторы, которые не смогли настроить всё как нужно и бухгалтера, зачем открывать непонятно-что ?

Ну и если есть СБ, то после таких случаев вообще я-бы разогнал всех...:(

З.Ы. А восстановить данные можно попробовать, если восстановить "Теневые копии", если теневые копии были и вирус их удалил, их можно восстановить спец. программой, а далее уже восстановить сами файлы, как-то так ! :)

 

[DikiySan]

> Антивирусы не за что не отвечают,#6

что то то , где то подобное я уже слышал а вот

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

так вот и я о чём "Зачем нужен Антивирус"

> Вот этим попробуй для начала..там не сложно...:)

Ага не сложно,это для меня что то за горизонтом событий.Mожет люди грамотные помогут , а то у нас с Х-Shar мозгов
на двоих с гулькин клюй ничёшеньки не выходит,да там ещё и в конец чего писать надо.Да ну вас хикеров !:)

 

[UserOK]

Более 3 месяцев уже прошло, а лавочку не прикрыли еще

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

.

 

[Rustam]

А если посмотреть с другой стороны?
Есть типичная ЧПшка или гос.организация, компов эдак до 30ти. Инфраструктура простая как дверь: древние ПК, тупые свичи, несколько сетевых принтеров, xDSL маршрутизатор на выходе. Сисадмин, пусть и студент, но с головой, пытается достучаться до руководства, рассказывает страшные истории про шифровальшики, про возможную потерю БД 1С"ки (нет винтов для резервирования) и пр. А ему отвечают, что все это не критично, может подождать и денег сейчас нет.
Перенастраивает он компы, сносит "ZverCD edition" и прочие "FuckYou Bill'ы", ставит оригинальные образы винды, закручивает гайки (Software Restriction Policies), пытается как-то повлиять на пользователей, рассказывает индивидуально каждому, обучает. И тут, допустим, главбух (старая подруга начальницы(ка)) выдает "У меня вот это окно вываливается, мне не нравится и так раньше не было. Еще и какие-то пороли вводи?! -Ага, щас!" (UAC выдает запросы). Увещевания не помогают, бух идет в начальству и сверху спускается приказ "вернуть все в зад!", т.е. как было раньше. И тут внезапно шифровальшик! База, локальная, 1С"ка внезапно недоступна, бэкапов нет.

В общем имеем тупизну, разгильдяйство, жадность и нежелание учиться у всех - пользователей и руководства.
Нежелание тратиться на технику и достойно оплачивать работу специалиста, плюс отношение к админу, как к сантехнику.
Кто виноват в случившемся? Ну конечно же он! ))

PS: Реальная история. Лично мне таких не жалко. Админ поднабрался опыта и пошел в другую организацию.
PSS: Так же слышал варианты "зачем нам админ?! все и так работает!" или "нам нужна девочка-сисадмин". Бред? -Бред.

 

[FireRunner]

А про новые локеры будут статьи? Про тот же локбит

 

[X-Shar]

А про новые локеры будут статьи? Про тот же локбит

Локбит уже описан:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Вот ещё:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Почти все шифровальщики уже описаны, в сети гуглится, думаю особо смысла нет статьи делать про них.