Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka , GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html

RSS
Добрый день!
Вчера на наш сервер попал вирус, который все файлы кроме виндоуса зашифровал.
В Название всех файлов в конце добавилось FIX. и в каждой папке появился файл HTML с требованием выкупа для расшифровки.
Двух дневные поиски на просторах интернета не дали ничего(((
Использовали все дешифраторы от касперского, ни один сайт с определением шифрования не помог..

Помогите кто сможет расшифровать, у нас на сервере вся база данных людей с их деньгами за 2 года там((
Прилагаю скриншот с требованием и 1 файл зашифрованный  

Ответы

судя по образу уже все чисто,
судя по записке о выкупе - это GlobeImposter v2, расшифровки по нему на текущий момент нет:
Цитата
Identified by

   ransomnote_filename: how_to_back_files.html
   custom_rule: victim ID format

следите за этой темой
https://www.bleepingcomputer.com/forums/t/644166/globeimposter-20-fix-extension-ransomware-support-topic/

проверьте возможность восстановить документы из теневых копий.

+
информация с форума bleepingcomputer.com

Цитата
Lawrence Abrams discovered a new GlobeImposter targeting Russian victims. This variant uses the emails alfatozulu@tutanota.com & and alfatozulu@mail.ru and appends the .crypt extension to encrypted files.
https://mobile.twitter.com/LawrenceAbrams/status/894594448201535488

Не знаю как у других шифраторов, но одно удалось восстановить у -*.726, файл outlook *.pst
В папке "C:\Program Files\Microsoft Office\Office15\" запустить файл SCANPST.EXE, и с помощью этой программы можно восстановить все письма.
Добрый день!
Подскажите чем расшифровать данные после заражения .makgr
YOUR PERSONAL ID

62 8C 23 20 45 5F 20 4D 7E B6 28 33 55 8A 07 7C
B9 32 1D DC E1 4D 4B E0 84 26 B9 57 96 A1 6A 4A
E9 BB 02 F0 9E B3 0B 3E 3A 74 2C 01 5B 7B 7E 4E
34 3B A1 83 94 AB 7E 21 4F 47 53 CC 5F BA 01 23
42 A3 C1 C0 10 0F 8B D1 EC 59 FB 0D 88 13 D0 EE
AC DE FB 60 8F 39 0E 72 73 0C 87 DB 49 02 8A 6D
C8 43 C6 C2 9E 69 61 75 BF 8F F6 BF D6 E1 A6 2C
31 47 94 25 D2 15 EA 60 8E 24 AA 9F 1D 0A 58 CC
4E E5 80 72 0B 1C AD C8 BE 5F 91 B9 B1 95 09 04
B4 C9 C3 C3 54 50 CC 3E 1E B2 B8 B4 54 BA 88 B4
28 D5 86 52 3F EF 8A DB 23 D5 7E 41 11 FB 39 E3
22 64 F7 7D 09 7A E3 C3 4D D5 B9 FA 83 FF A6 37
40 B9 01 19 00 1D 33 52 76 1A 66 15 E9 63 B0 56
AE 31 33 C1 F8 91 EC 9C D3 EC A9 99 89 18 6D 5B
E1 33 9F 54 35 AA 8E 59 AC 00 E1 55 3C D7 AC F3
71 12 83 57 87 B3 8F E2 06 EE F8 D0 42 74 C7 6D


ENGLISH
☣ YOUR FILES ARE ENCRYPTED! ☣

⬇ TO DECRYPT, FOLLOW THE INSTRUCTIONS BELOW. ⬇


To recover data you need decryptor.
To get the decryptor you should:
Send 1 crypted test image or text file or document to makgregorways@aol.com
(Or alternate mail makgregorways@india.com )

In the letter include your personal ID (look at the beginning of this document).

We will give you the decrypted file and assign the price for decryption all files
After we send you instruction how to pay for decrypt and after payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder.
MOST IMPORTANT!!!

Do not contact other services that promise to decrypt your files, this is fraud on their part! They will buy a decoder from us, and you will pay more for his services. No one, except makgregorways@aol.com, will decrypt your files.

Only makgregorways@aol.com can decrypt your files
Do not trust anyone besides makgregorways@aol.com
Antivirus programs can delete this document and you can not contact us later.
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key
@Олег Пугачев,
добавьте в ваше сообщение записку о выкупе, один зашифрованный файл, можно в архиве, +
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

----------
предположительно, это Globeimposter v 2

Цитата
Identified by

   ransomnote_email: makgregorways@aol.com
Все что просили добавил пароль к архиву 123 Спасибо за помощь.
Изменено: Олег Пугачев - 11.10.2017 22:13:46
по варианту шифратора:
Цитата
Identified by

   ransomnote_filename: how_to_back_files.html
   ransomnote_email: makgregorways@india.com
   sample_extension: .MAKGR
   custom_rule: victim ID format
https://id-ransomware.malwarehunterteam.com/identify.php?case=6dc1aba1c24aca38d636871ba889b977f67bc0ba

по образу автозапуска:
активного шифратора в системе уже нет.
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
Код

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
deltmp
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\WINDOWS\SVCHOST.VBS
apply

QUIT

без перезагрузки системы.
------------

по восстановлению данных  - единственный вариант, восстановление из бэкапов. расшифровки по этому варианту Globeimposter нет.
Есть ли какая-нибудь информация по данному шифровальщику (.sambuka), в интернете нашел только одно сообщение на форуме касперского.
Цитата
Юрий Колонаков написал:
Есть ли какая-нибудь информация по данному шифровальщику, в интернете нашел только одно сообщение на форуме касперского.
Вы ищете информацию по данному шифратору или столкнулись с подобным шифрованием?

если второе,
то нужны несколько зашифрованных файлов + их чистые оригиналы + если есть записка о выкупе + образ автозапуска системы, если заражение свежее.
Добрый день. Пошифровала гадина файлы, хорошо что большую часть удалось восстановить из SC.
Но осталась небольшая часть, которые потеряны, может получится восстановить?
судя по образу, активного шифрования уже нет.

по очистке системы:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.15 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\ADM.PI\APPDATA\LOCAL\SVCHОST.EXE
delall %SystemDrive%\USERS\CHAIKOVA\APPDATA\LOCAL\TEMP\1289\EYSOBZTPLEGCWQKGTRLHD.EXE
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------

по зашифрованным файлам:

это вариант Globeimposter v 2, расшифровки по нему нет.


Цитата
GlobeImposter 2.0
This ransomware has no known way of decrypting data at this time.

It is recommended to backup your encrypted files, and hope for a solution in the future.

Identified by

   ransomnote_filename: how_to_back_files.html
   ransomnote_email: Decoder_master@india.com
   sample_extension: .SAMBUKA
   custom_rule: victim ID in encrypted file

https://id-ransomware.malwarehunterteam.com/identify.php?case=b258dd3886cbd442b544b011faf3de7d918d881e
Читают тему (гостей: 1)