Файлы зашифрованы с расширением .GUST; .sambuka , GlobeImposter v2/Filecoder.FV; ransom_note: how_to_back_files.html

1
RSS
Есть ли какая-нибудь информация по данному шифровальщику (.sambuka), в интернете нашел только одно сообщение на форуме касперского.
Цитата
Юрий Колонаков написал:
Есть ли какая-нибудь информация по данному шифровальщику, в интернете нашел только одно сообщение на форуме касперского.
Вы ищете информацию по данному шифратору или столкнулись с подобным шифрованием?

если второе,
то нужны несколько зашифрованных файлов + их чистые оригиналы + если есть записка о выкупе + образ автозапуска системы, если заражение свежее.
Добрый день. Пошифровала гадина файлы, хорошо что большую часть удалось восстановить из SC.
Но осталась небольшая часть, которые потеряны, может получится восстановить?
судя по образу, активного шифрования уже нет.

по очистке системы:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.15 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\ADM.PI\APPDATA\LOCAL\SVCHОST.EXE
delall %SystemDrive%\USERS\CHAIKOVA\APPDATA\LOCAL\TEMP\1289\EYSOBZTPLEGCWQKGTRLHD.EXE
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------

по зашифрованным файлам:

это вариант Globeimposter v 2, расшифровки по нему нет.


Цитата
GlobeImposter 2.0
This ransomware has no known way of decrypting data at this time.

It is recommended to backup your encrypted files, and hope for a solution in the future.

Identified by

   ransomnote_filename: how_to_back_files.html
   ransomnote_email: Decoder_master@india.com
   sample_extension: .SAMBUKA
   custom_rule: victim ID in encrypted file

https://id-ransomware.malwarehunterteam.com/identify.php?case=b258dd3886cbd442b544b011faf3de7d918d881e
Спасибо. Вот курва, ну значит так
При работающем антивирусе ESET File Security (активная лицензия) вирусом шифровальщиком зашифрованы все данные. Как быть?
Изменено: Константин Ш - 30.10.2018 06:35:44 (В распоряжении есть исполняемый файл вируса. Зловред не успел подчистить)
судя по зашифрованному файлу и записке о выкупе - это GlobeImposter v2,
на текущий момент без расшифровки.


Цитата
GlobeImposter 2.0
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   ransomnote_filename: how_to_back_files.html
   ransomnote_email: sambuka_star@india.com
   sample_extension: .GUST
   custom_rule: victim ID in encrypted file

https://id-ransomware.malwarehunterteam.com/identify.php?case=be7ba0a79220f3f0c1a67ad2895f4f9123a10a52

по образу автозапуска.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML
;------------------------autoscript---------------------------

del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-15 17-00 КОПИЯ ОБЪЕКТА DESKTOP.INI.GUST
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-16 00-00 КОПИЯ ОБЪЕКТА DESKTOP.INI
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.GUST
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE
addsgn 1ADE8A65AA004C8D1EE8BEF16404478EC9DBADA5DFAD940591F005D4E4DF714C73404A12C2DCD8B1C37A0260B9958DF6F09A14223D68B92C2D205B5ACBF9577B 8 a variant of Win32/Filecoder.FV 7

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\SVCHОST.EXE
chklst
delvir

delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID]
apply

deltmp

;-------------------------------------------------------------

czoo
QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
на текущий момент ESET детектирует данный вирус.
https://www.virustotal.com/#/file/48b5cb7b0b5f492f03a33b3363846c6650d2c448/detection

возможно, запуск был с рабочего стола.
обратите внимание, чтобы доступ к настройкам антивируса был с паролем, чтобы злоумышленники, получив доступ к рабочему столу не могли отключить антивир.
обратитте внимание, что ESET детектирует данный файл шифратора как минимум с 2018-08-16
C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE

Цитата
Полное имя                  C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE
Имя файла                   SVCHОST.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
Обнаруженные сигнатуры      
Сигнатура                   a variant of Win32/Filecoder.FV (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2018-10-30
                           
www.virustotal.com          2018-08-16
Symantec                    Ransom.Cryptolocker
ESET-NOD32                  a variant of Win32/Filecoder.FV
Kaspersky                   HEUR:Trojan.Win32.Generic
BitDefender                 Generic.Ransom.GlobeImposter.89B2F8C4
Microsoft                   Trojan:Win32/Fuerboos.C!cl
Avast                       Win32:Evo-gen [Susp]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Процесс                     32-х битный
File_Id                     5AC25E98E200
Linker                      12.0
Размер                      54784 байт
Создан                      29.10.2018 в 05:26:36
Изменен                     28.07.2018 в 20:06:49
                           
TimeStamp                   02.04.2018 в 16:47:20
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя файла                   Типичное для вирусов или содержит Non-ASCII символы
Имя файла                   Имя файла слишком похоже на имя известного модуля SVCHOST.EXE
                           
Доп. информация             на момент обновления списка
pid = 3736                  NT AUTHORITY\СИСТЕМА
CmdLine                     "C:\Users\Администратор\Desktop\svchоst.exe"
Процесс создан              05:28:57 [2018.10.29]
С момента создания          05:16:05
CPU                         0,00%
CPU (1 core)                0,03%
parentid = 5676            
SHA1                        48B5CB7B0B5F492F03A33B3363846C6650D2C448
MD5                         3D56A0E02178AC6936C7945710844FEA
                           
Образы                      EXE и DLL
SVCHОST.EXE                 C:\USERS\АДМИНИСТРАТОР\DESKTOP
                           
1
Читают тему (гостей: 1)