Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka , GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html

RSS
Добрый день!
Вчера на наш сервер попал вирус, который все файлы кроме виндоуса зашифровал.
В Название всех файлов в конце добавилось FIX. и в каждой папке появился файл HTML с требованием выкупа для расшифровки.
Двух дневные поиски на просторах интернета не дали ничего(((
Использовали все дешифраторы от касперского, ни один сайт с определением шифрования не помог..

Помогите кто сможет расшифровать, у нас на сервере вся база данных людей с их деньгами за 2 года там((
Прилагаю скриншот с требованием и 1 файл зашифрованный  

Ответы

Пред. 1 ... 4 5 6 7 8
Спасибо. Вот курва, ну значит так
При работающем антивирусе ESET File Security (активная лицензия) вирусом шифровальщиком зашифрованы все данные. Как быть?
Изменено: Константин Ш - 25.11.2018 15:56:05 (В распоряжении есть исполняемый файл вируса. Зловред не успел подчистить)
судя по зашифрованному файлу и записке о выкупе - это GlobeImposter v2,
на текущий момент без расшифровки.


Цитата
GlobeImposter 2.0
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   ransomnote_filename: how_to_back_files.html
   ransomnote_email: sambuka_star@india.com
   sample_extension: .GUST
   custom_rule: victim ID in encrypted file

https://id-ransomware.malwarehunterteam.com/identify.php?case=be7ba0a79220f3f0c1a67ad2895f4f9123a10a52

по образу автозапуска.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML
;------------------------autoscript---------------------------

del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-15 17-00 КОПИЯ ОБЪЕКТА DESKTOP.INI.GUST
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-16 00-00 КОПИЯ ОБЪЕКТА DESKTOP.INI
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.GUST
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE
addsgn 1ADE8A65AA004C8D1EE8BEF16404478EC9DBADA5DFAD940591F005D4E4DF714C73404A12C2DCD8B1C37A0260B9958DF6F09A14223D68B92C2D205B5ACBF9577B 8 a variant of Win32/Filecoder.FV 7

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\SVCHОST.EXE
chklst
delvir

delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID]
apply

deltmp

;-------------------------------------------------------------

czoo
QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
на текущий момент ESET детектирует данный вирус.
https://www.virustotal.com/#/file/48b5cb7b0b5f492f03a33b3363846c6650d2c448/detection

возможно, запуск был с рабочего стола.
обратите внимание, чтобы доступ к настройкам антивируса был с паролем, чтобы злоумышленники, получив доступ к рабочему столу не могли отключить антивир.
обратитте внимание, что ESET детектирует данный файл шифратора как минимум с 2018-08-16
C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE

Цитата
Полное имя                  C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE
Имя файла                   SVCHОST.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
Обнаруженные сигнатуры      
Сигнатура                   a variant of Win32/Filecoder.FV (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2018-10-30
                           
www.virustotal.com          2018-08-16
Symantec                    Ransom.Cryptolocker
ESET-NOD32                  a variant of Win32/Filecoder.FV
Kaspersky                   HEUR:Trojan.Win32.Generic
BitDefender                 Generic.Ransom.GlobeImposter.89B2F8C4
Microsoft                   Trojan:Win32/Fuerboos.C!cl
Avast                       Win32:Evo-gen [Susp]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Процесс                     32-х битный
File_Id                     5AC25E98E200
Linker                      12.0
Размер                      54784 байт
Создан                      29.10.2018 в 05:26:36
Изменен                     28.07.2018 в 20:06:49
                           
TimeStamp                   02.04.2018 в 16:47:20
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя файла                   Типичное для вирусов или содержит Non-ASCII символы
Имя файла                   Имя файла слишком похоже на имя известного модуля SVCHOST.EXE
                           
Доп. информация             на момент обновления списка
pid = 3736                  NT AUTHORITY\СИСТЕМА
CmdLine                     "C:\Users\Администратор\Desktop\svchоst.exe"
Процесс создан              05:28:57 [2018.10.29]
С момента создания          05:16:05
CPU                         0,00%
CPU (1 core)                0,03%
parentid = 5676            
SHA1                        48B5CB7B0B5F492F03A33B3363846C6650D2C448
MD5                         3D56A0E02178AC6936C7945710844FEA
                           
Образы                      EXE и DLL
SVCHОST.EXE                 C:\USERS\АДМИНИСТРАТОР\DESKTOP
                           
Пред. 1 ... 4 5 6 7 8
Читают тему (гостей: 2)