Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Добрый день! Вчера на наш сервер попал вирус, который все файлы кроме виндоуса зашифровал. В Название всех файлов в конце добавилось FIX. и в каждой папке появился файл HTML с требованием выкупа для расшифровки. Двух дневные поиски на просторах интернета не дали ничего((( Использовали все дешифраторы от касперского, ни один сайт с определением шифрования не помог..
Помогите кто сможет расшифровать, у нас на сервере вся база данных людей с их деньгами за 2 года там(( Прилагаю скриншот с требованием и 1 файл зашифрованный
Скрипт для uVS помог. После перезагрузки все новый файлы что появлялись сразу же шифровались. После скрипта и нескольких перезагрузок, новые файлы не шифровались. Компьютер нужен в работу, поэтому был создан образ HDD до лучших времен. А система полностью восстановлена с бэкапа.
хорошо, будем надеяться, что данный шифратор не из того разряда "или плати, или расстанься с документами". ----------- похоже, что из этого разряда. GlobeImposter v2
Юрий Колонаков написал: Есть ли какая-нибудь информация по данному шифровальщику, в интернете нашел только одно сообщение на форуме касперского.
Вы ищете информацию по данному шифратору или столкнулись с подобным шифрованием?
если второе, то нужны несколько зашифрованных файлов + их чистые оригиналы + если есть записка о выкупе + образ автозапуска системы, если заражение свежее.
Добрый день. Пошифровала гадина файлы, хорошо что большую часть удалось восстановить из SC. Но осталась небольшая часть, которые потеряны, может получится восстановить?
по очистке системы: выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
судя по зашифрованному файлу и записке о выкупе - это GlobeImposter v2, на текущий момент без расшифровки.
Цитата
GlobeImposter 2.0 Для этого вымогателя пока нет способа дешифровки данных.
Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.
Опознан как
ransomnote_filename: how_to_back_files.html ransomnote_email: [email protected] sample_extension: .GUST custom_rule: victim ID in encrypted file
по образу автозапуска.
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML
;------------------------autoscript---------------------------
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-15 17-00 КОПИЯ ОБЪЕКТА DESKTOP.INI.GUST
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-16 00-00 КОПИЯ ОБЪЕКТА DESKTOP.INI
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.GUST
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE
addsgn 1ADE8A65AA004C8D1EE8BEF16404478EC9DBADA5DFAD940591F005D4E4DF714C73404A12C2DCD8B1C37A0260B9958DF6F09A14223D68B92C2D205B5ACBF9577B 8 a variant of Win32/Filecoder.FV 7
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\SVCHОST.EXE
chklst
delvir
delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID]
apply
deltmp
;-------------------------------------------------------------
czoo
QUIT
без перезагрузки, пишем о старых и новых проблемах. ------------ на текущий момент ESET детектирует данный вирус.
возможно, запуск был с рабочего стола. обратите внимание, чтобы доступ к настройкам антивируса был с паролем, чтобы злоумышленники, получив доступ к рабочему столу не могли отключить антивир. обратитте внимание, что ESET детектирует данный файл шифратора как минимум с 2018-08-16 C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE
Цитата
Полное имя C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE Имя файла SVCHОST.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Обнаруженные сигнатуры Сигнатура a variant of Win32/Filecoder.FV (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2018-10-30
2018-08-16 Symantec Ransom.Cryptolocker ESET-NOD32 a variant of Win32/Filecoder.FV Kaspersky HEUR:Trojan.Win32.Generic BitDefender Generic.Ransom.GlobeImposter.89B2F8C4 Microsoft Trojan:Win32/Fuerboos.C!cl Avast Win32:Evo-gen [Susp]
Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Процесс 32-х битный File_Id 5AC25E98E200 Linker 12.0 Размер 54784 байт Создан 29.10.2018 в 05:26:36 Изменен 28.07.2018 в 20:06:49
TimeStamp 02.04.2018 в 16:47:20 EntryPoint + OS Version 5.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Имя файла Типичное для вирусов или содержит Non-ASCII символы Имя файла Имя файла слишком похоже на имя известного модуля SVCHOST.EXE
Доп. информация на момент обновления списка pid = 3736 NT AUTHORITY\СИСТЕМА CmdLine "C:\Users\Администратор\Desktop\svchоst.exe" Процесс создан 05:28:57 [2018.10.29] С момента создания 05:16:05 CPU 0,00% CPU (1 core) 0,03% parentid = 5676 SHA1 48B5CB7B0B5F492F03A33B3363846C6650D2C448 MD5 3D56A0E02178AC6936C7945710844FEA
Образы EXE и DLL SVCHОST.EXE C:\USERS\АДМИНИСТРАТОР\DESKTOP
