Если документы, фотографии и другие файлы перестали открываться, а на рабочем столе появилось сообщение «Все Ваши рабочие и личные файлы были зашифрованы», то ваш компьютер заражён новым вирусом шифровальщиком — Spora ransomware. При попадании на компьютер, эта вредоносная программа шифрует все персональные файлы, используя очень сильную гибридную систему шифрования AES + RSA.
Как и ранее, цель вируса Spora ransomware заставить пользователей купить программу и ключ, необходимые для расшифровки собственных файлов. Вирус требует оплатить выкуп биткоинами. Если пользователь задержит перевод денег, то сумма может возрасти.
- Как вирус-шифровальщик Spora ransomware проникает на компьютер ?
- Что такое вирус-шифровальщик Spora ransomware ?
- Мой компьютер заражён вирусом-шифровальщиком Spora ransomware ?
- Как расшифровать файлы зашифрованные вирусом Spora ransomware?
- Как удалить вирус-шифровальщик Spora ransomware ?
- Как восстановить файлы зашифрованные вирусом Spora ransomware ?
- Как предотвратить заражение компьютера вирусом-шифровальщиком Spora ransomware ?
Как вирус-шифровальщик Spora ransomware проникает на компьютер
Вирус-шифровальщик обычно распространяется посредством электронной почты. Письмо содержит зараженные документы. Такие письма рассылаются по огромной базе адресов электронной почты. Авторы этого вируса используют вводящие в заблуждения заголовки и содержание писем, стараясь обманом заставить пользователя открыть вложенный в письмо документ. Часть писем сообщают о необходимости оплаты счёта, другие предлагают посмотреть свежий прайс-лист, третьи открыть весёлую фотографию и т.д. В любом случае, результатом открытия прикреплённого файла будет заражение компьютера вирусом-шифровальщиком.
Что такое вирус-шифровальщик Spora ransomware
Вирус-шифровальщик — это вредоносная программа, которая поражает современные версии операционных систем семейства Windows, такие как Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Этот вирус использует гибридный режим шифрования AES + RSA, что практически исключает возможность подбора ключа для самостоятельной расшифровки файлов.
Во время заражения компьютера, вирус-шифровальщик Spora ransomware использует системные каталоги для хранения собственных файлов. Сразу после запуска вирус сканирует все доступные диски, включая сетевые и облачные хранилища, для определения файлов которые будут зашифрованы. Этот вымогатель использует расширение имени файла, как способ определения группы файлов, которые будут подвергнуты зашифровке. Могут быть зашифрованы наиболее важные типы файлов, включая такие как:
.xls, .doc, .xlsx, .docx, .rtf, .odt, .pdf, .psd, .dwg, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, .accdb, .jpg, .jpeg, .tiff, .zip, .rar, .7z, .backup
После того как файл зашифрован его расширение и имя не изменяется. В каждом каталоге, который содержит зашифрованные файлы, вирус создаёт пару файлов с расширениями .html and .KEY. Имена этих файлов имеют следующий формат [Код страны][ID], например RU134-12ARZ-BSARR-WAFRA-RTTTT. KEY файл содержит ключ пользователя и информацию о зашифрованных файлов, HTML файл содержит инструкцию по расшифровке зашифрованных файлов. Пример такой инструкции:
Все Ваши рабочие и личные файлы были зашифрованы
Для восстановления информации, получения гарантий и поддержки,
следуйте инструкции в личном кабинете.
SPORA RANSOMWARE
1. Только мы можем восстановить Ваши файлы.
Ваши файлы были модифицированы при помощи алгоритма RSA-1024. Обратный процесс восстановления называется дешифрование. Для этого необходим Ваш уникальный ключ. Подобрать или «взломать» его невозможно.
2. Не обращайтесь к посредникам!
Все ключи восстановления хранятся только у нас, соответственно, если Вам кто-либо предложит восстановить информацию, в лучшем случае, он сперва купит ключ у нас, затем Вам продаст его с наценкой.
Если Вы не смогли найти Ваш ключ синхронизации
Нажмите здесь
Вирус-шифровальщик Spora ransomware активно использует тактику запугивания, давая жертве краткое описание алгоритма шифрования и показывая угрожающее сообщение на Рабочем столе. Он пытается таким образом заставить пользователя зараженного компьютера, не раздумывая, оплатить выкуп, для попытки вернуть свои файлы.
Мой компьютер заражён вирусом-шифровальщиком Spora ransomware?
Определить заражён компьютер или нет вирусом Spora ransomware довольно легко. Обратите внимание на то, что все ваши персональные файлы, таких как документы, фотографии, музыка и т.д. нормально открываются в соответствующих программах. Если, например при открытии документа, Word сообщает, что файл неизвестного типа, то вероятнее всего документ зашифрован, а компьютер заражён. Конечно же, наличие на Рабочем столе сообщения о зашифровке всех файлов или появление в каталогах файлов с именами похожими на RU134-12ARZ-BSARR-WAFRA-RTTTT и расширением .html и .KEY, так же является признаком заражения.
Как расшифровать файлы зашифрованные вирусом Spora ransomware ?
Если эта беда случилась, то не нужно паниковать! Но нужно знать, что бесплатного расшифровщика нет. Виной этому, стойкие алгоритмы шифрования, используемые этим вирусом. Это значит без личного ключа расшифровать файлы практически невозможно. Использовать метод подбора ключа так же не выход, из-за большой длины ключа. Поэтому, к сожалению, только оплата авторам вируса всей запрошенной суммы — единственный способ попытаться получить ключ расшифровки.
Конечно, нет абсолютно никакой гарантии, что после оплаты авторы вируса выйдут на связь и предоставят ключ необходимый для расшифровки ваших файлы. Кроме этого нужно понимать, что платя деньги разработчикам вирусов, вы сами подталкиваете их на создание новых вирусов.
Как удалить вирус-шифровальщик Spora ransomware ?
Перед тем как приступить к этому, вам необходимо знать, что приступая к удалению вируса и попытке самостоятельного восстановления файлов, вы блокируете возможность расшифровать файлы заплатив авторам вируса запрошенную ими сумму.
Kaspersky Virus Removal Tool и Malwarebytes Anti-malware могут обнаруживать разные типы активных вирусов-шифровальщиков и легко удалят их с компьютера, НО они не могут восстановить зашифрованные файлы.
Удалить вирус-шифровальщик Spora ransomware с помощью Kaspersky Virus Removal Tool
Скачайте программу Kaspersky Virus Removal Tool. После окончания загрузки запустите скачанный файл.
Кликните по кнопке Начать проверку для запуска сканирования вашего компьютера на наличие вируса-шифровальщика.
Дождитесь окончания этого процесса и удалите найденных зловредов.
Удалить вирус-шифровальщик Spora ransomware с помощью Malwarebytes Anti-malware
Скачайте программу Malwarebytes Anti-malware. После окончания загрузки запустите скачанный файл.
Кликните по кнопке Далее и следуйте указаниям программы. После окончания установки вы увидите основной экран программы.
Автоматически запуститься процедура обновления программы. Когда она закончиться нажмите кнопку Запустить проверку. Malwarebytes Anti-malware начнёт проверку вашего компьютера.
Сразу после окончания проверки компьютера программа Malwarebytes Anti-malware откроет список найденных компонентов вируса-шифровальщика.
Кликните по кнопке Удалить выбранное для очистки вашего компьютера. Во время удаления вредоносных программ, Malwarebytes Anti-malware может потребовать перезагрузить компьютер для продолжения процесса. Подтвердите это, выбрав Да.
После того как компьютер запуститься снова, Malwarebytes Anti-malware автоматически продолжит процесс лечения.
Как восстановить файлы зашифрованные вирусом Spora ransomware ?
В некоторых случая можно восстановить файлы зашифрованные вирусом-шифровальщиком . Попробуйте оба метода.
Восстановить зашифрованные файлы используя ShadowExplorer
ShadowExplorer — это небольшая утилита позволяющая восстанавливать теневые копии файлов, которые создаются автоматически операционной системой Windows (7-10). Это позволит вам восстановить исходное состояние зашифрованных файлов.
Скачайте программу ShadowExplorer. Программа находиться в zip архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку ShadowExplorerPortable.
Запустите ShadowExplorer. Выберите нужный вам диск и дату создания теневых копий, соответственно цифра 1 и 2 на рисунке ниже.
Кликните правой клавишей мыши по каталогу или файлу, копию которого вы хотите восстановить. В появившемся меню выберите Export.
И последнее, выберите папку в которую будет скопирован восстановленный файл.
Восстановить зашифрованные файлы используя PhotoRec
PhotoRec это бесплатная программа, созданная для восстановления удалённых и потерянных файлов. Используя её, можно восстановить исходные файлы, которые вирусы-шифровальщики удалили после создания их зашифрованных копий.
Скачайте программу PhotoRec. Программа находиться в архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку testdisk.
В списке файлов найдите QPhotoRec_Win и запустите её. Откроется окно программы в котором будут показаны все разделы доступных дисков.
В списке разделов выберите тот, на котором находятся зашифрованные файлы. После чего кликните по кнопке File Formats.
По-умолчанию программа настроена на восстановление всех типов файлов, но для ускорения работы рекомендуется оставить только типы файлов, которые вам нужно восстановить. Завершив выбор нажмите кнопку OK.
В нижней части окна программы QPhotoRec найдите кнопку Browse и нажмите её. Вам нужно выбрать каталог в который будут сохранены восстановленные файлы. Желательно использовать диск на котором не находятся зашифрованные файлы требующие восстановления (можете использовать флешку или внешний диск).
Для запуска процедуры поиска и восстановления исходных копий зашифрованных файлов нажмите кнопку Search. Этот процесс длится довольно долго, так что наберитесь терпения.
Когда поиск будет окончен, нажмите кнопку Quit. Теперь откройте папку, которую вы выбрали для сохранения восстановленных файлов.
В папке будут находиться каталоги с именами recup_dir.1, recup_dir.2, recup_dir.3 и тд. Чем больше файлов найдет программа, тем больше будет и каталогов. Для поиска нужных вам файлов, последовательно проверьте все каталоги. Для облегчения поиска нужного вам файла, среди большого количества восстановленных, используйте встроенную систему поиска Windows (по содержимому файла), а так же не забывайте о функции сортировки файлов в каталогах. В качестве параметра сортировки можно выбрать дату изменения файла, так как QPhotoRec при восстановлении файла пытается восстановить это свойство.
Как предотвратить заражение компьютера вирусом-шифровальщиком Spora ransomware ?
Большинство современных антивирусных программ уже имеют встроенную систему защиты от проникновения и активизации вирусов-шифровальщиков. Поэтому если на вашем компьютере нет антивирусной программы, то обязательно её установите. Как её выбрать можете узнать прочитав эту статью.
Более того, существуют и специализированные защитные программы. Например это CryptoPrevent.
Скачайте CryptoPrevent и запустите. Следуйте указаниям мастера установки. Когда инсталлирование программы завершиться, вам будет показано окно выбора уровня защиты, как показано на следующем примере.
Нажмите кнопку Apply для активации защиты. Подробнее о программе CryptoPrevent и как её использовать, вы можете узнать в этом обзоре, ссылка на который приведена ниже.
CryptoPrevent — Описание, Отзывы, Инструкция
Несколько финальных слов
Выполнив эту инструкцию ваш компьютер будет очищен от вируса-шифровальщика Spora ransomware. Если у вас появились вопросы или вам необходима помощь, то обращайтесь на наш форум.
Валерий, большое спасибо за статью. На ноут пролеза эта бяка. Благо компьютер не основной, но были некоторые документы и фотки, которые Spora ransomware вирус успел зашифровать. С помощью вашей инструкции удалось восстановить часть файлов, жалко что не все, но гораздо лучше чем вообще ничего.
Статья прекрасная, но так сказать поздновато попалась на глаза, да и далеко не все рецепты подходят для сети и старых серверов под Вынь 2003…
Юзеры сеть заразили с двух ПК, мы пытались что-то сделать сами — не получилось ничего.
На самостоятельную дешифровку ушло несколько тысяч лет) Когда убытки стали приличными уже и я гипертонию заработал — решили платить, надеясь на то что ключ и дешифратор дадут. Было недоверие конечно, но выхода другого просто не нашли — как говорится надежда умирает последней… Никто из производителей антивирусов не смог помочь с дешифровкой, только с лечением, а вылечить и сами мы умеем…
Ну что могу сказать — дали на spora.biz и ключ и дешифратор, и мы все смогли расшифровать))) Наука конечно очень хорошая и выводы мы сделали для себя, что надо тщательнее все защищать.
Тут конечно каждый сам решает — заплатить и типа производителя троянцев «поддержать», или не платить и просто бизнес свой закрыть…
У нас было перешифровано почти все за несколько последних лет работы и самое смешное — актуальные сетевые бэкапы тоже. А за несколько дней, пока парализована была работа потеряли денег просто жуть… Поэтому вот и решили платить.
сколько стоит данный ключ и как скоро его предоставляют?
Здравствуйте столкнулся с троянской программой Spore которая зашифровала всю документацию на РС…. бэкапов нету, теневых копий тоже нету, пробывал всевозможными дескрипторами от касперского, нод32, док.веб… но безрезультатно… помогите плизззз
Стас, если нет бэкапов и теневых копий, то вам остается только попробовать PhotoRec, чтобы восстановить зашифрованные файлы. В принципе, кроме этой программы, можно использовать и другие, созданные для восстановления удаленных и поврежденных файлов.
Привезли в офис системник как то умудрились подхватить «Spora Ransomware v2» благо у них бэкапы есть и на них у него не хватит ума зашифровать, но вот систему спасти нужно, буду сейчас ловить гада. p.s. Dr.Web написали что от данного вида споры они не в состоянии расшифровать документы.
Добрый день, не подскажете, как заставить администрацию этого вируса (Спора) отвечать на письма по электронке и на сообщения в их чате? Игнорируют меня целый день, я уже десять часов пытаюсь задавать вопросы. Да, подхватила этот вирус, но в моем компьютере нет ни одного файла, за восстановления которого я готова была бы заплатить. Пытаюсь это им объяснить и спрашиваю, как нам мирно разойтись, если мне ничего не надо восстанавливать и расшифровывать. Не отвечают. Может, Вы что-нибудь подскажете?
Только, если можно, без особо специальных терминов. Я пожилой человек и не все понимаю.
Вообще-то гнусно со стороны авторов вируса требовать деньги с пенсионеров, ну так ведь и не получат, потому что нету…
Авторам Spora ransomware без разницы, компьютер какого пользователя был заражен. Если у вас нет важных файлов на компьютере, то платить ничего не нужно. Просто удалите вирус используя программы предложенные выше, затем удалите все зашифрованные файлы.