Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder , GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html

RSS

Сообщений: 4

Баллов: 2

Регистрация: 14.04.2017

Размещено 14.04.2017 07:47:51

Добрый день!
Вчера на наш сервер попал вирус, который все файлы кроме виндоуса зашифровал.
В Название всех файлов в конце добавилось FIX. и в каждой папке появился файл HTML с требованием выкупа для расшифровки.
Двух дневные поиски на просторах интернета не дали ничего(((
Использовали все дешифраторы от касперского, ни один сайт с определением шифрования не помог..

Помогите кто сможет расшифровать, у нас на сервере вся база данных людей с их деньгами за 2 года там((
Прилагаю скриншот с требованием и 1 файл зашифрованный

Прикрепленные файлы

README.txt (15.42 КБ)

Ответы

Пред. 1 ... 3 4 5 6 7 ... 9 След.

Сообщений: 1

Регистрация: 18.07.2017

Размещено 18.07.2017 09:14:06

Скажите пожалуйста когда приблизительно будет росшифровка по файлам ".blscrypt" ????

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.07.2017 10:29:22

Цитата
Олександр армадеси написал: Скажите пожалуйста когда приблизительно будет росшифровка по файлам ".blscrypt" ????

возможно, ее вообще не будет. Если только не будут найдены или получены мастер-ключи.

[ Как создать образ автозапуска? ]

Сообщений: 15

Баллов: 7

Регистрация: 22.12.2016

Размещено 04.08.2017 14:52:11

Здравствуйте!
Клиенты принесли зашифрованный комп.
Файлы зашифрованы с расширением ..726
Прикрепляю 2 файла оригинала и 2 файла зашифрованных.

Прикрепленные файлы

work_files.zip (803.88 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 04.08.2017 15:17:04

добавьте еще записку о выкупе, она должна быть в каждой папке в формате html
скорее всего это GlobeImposter v 2 без расшифровки.
+
добавьте образ автозапуска системы, возможно необходима очистка системы после шифратора.

[ Как создать образ автозапуска? ]

Сообщений: 15

Баллов: 7

Регистрация: 22.12.2016

Размещено 04.08.2017 18:54:43

Картинка такая(HTML файл). https://sensorstechforum.com/wp-content/uploads/2017/08/globeimposter-726-file-ranosmware-sensorstec...
систему eset'om уже очистил. Был kryptik.fveg
подхватили через древний ie6.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.08.2017 03:14:03

да,
это GlobeImposter.можете сами здесь проверить по записке о выкупе и зашифрованному файлу
https://id-ransomware.malwarehunterteam.com/index.php

[ Как создать образ автозапуска? ]

Сообщений: 15

Баллов: 7

Регистрация: 22.12.2016

Размещено 05.08.2017 09:07:14

То есть... На данный момент решений не найдено?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.08.2017 11:56:09

Цитата
Олег Степичев написал: То есть... На данный момент решений не найдено?

да, решения по расшифровке нет.

[ Как создать образ автозапуска? ]

Сообщений: 15

Баллов: 7

Регистрация: 22.12.2016

Размещено 05.08.2017 12:34:57

Такс, хорошо. А есть ли смысл куда то кинуть сами файлы вирусов? Из карантина я их вытащить могу и переслать.
Если есть такая организация, то кому или куда написать об этом?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.08.2017 13:38:39

отправьте файлы в архиве с паролем infected через форму
https://www.esetnod32.ru/support/knowledge_base/new_virus/
укажите что это шифратор.

[ Как создать образ автозапуска? ]

Пред. 1 ... 3 4 5 6 7 ... 9 След.