Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka

Сообщений: 2

Баллов: 1

Регистрация: 13.09.2018

Размещено 13.09.2018 17:16:14

Спасибо. Вот курва, ну значит так

Сообщений: 1

Регистрация: 30.10.2018

Размещено 30.10.2018 02:03:49

При работающем антивирусе ESET File Security (активная лицензия) вирусом шифровальщиком зашифрованы все данные. Как быть?

Прикрепленные файлы

gust-files.rar (11.19 КБ)
HOST-6_2018-10-29_10-44-42_v4.1.1.7z (457.46 КБ)

Изменено: Константин Ш - 25.11.2018 15:56:05 (В распоряжении есть исполняемый файл вируса. Зловред не успел подчистить)

Сообщений: 16988

Баллов: 13590

Регистрация: 16.03.2010

Размещено 30.10.2018 06:17:23

судя по зашифрованному файлу и записке о выкупе - это GlobeImposter v2,
на текущий момент без расшифровки.

Цитата
GlobeImposter 2.0 Для этого вымогателя пока нет способа дешифровки данных. Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик. Опознан как ransomnote_filename: how_to_back_files.html ransomnote_email: sambuka_star@india.com sample_extension: .GUST custom_rule: victim ID in encrypted file

Цитата

GlobeImposter 2.0
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

ransomnote_filename: how_to_back_files.html
ransomnote_email: sambuka_star@india.com
sample_extension: .GUST
custom_rule: victim ID in encrypted file

https://id-ransomware.malwarehunterteam.com/identify.php?case=be7ba0a79220f3f0c1a67ad2895f4f9123a10a52

по образу автозапуска.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.2 v400c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML ;------------------------autoscript--------------------------- del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-15 17-00 КОПИЯ ОБЪЕКТА DESKTOP.INI.GUST del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-16 00-00 КОПИЯ ОБЪЕКТА DESKTOP.INI del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.GUST zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE addsgn 1ADE8A65AA004C8D1EE8BEF16404478EC9DBADA5DFAD940591F005D4E4DF714C73404A12C2DCD8B1C37A0260B9958DF6F09A14223D68B92C2D205B5ACBF9577B 8 a variant of Win32/Filecoder.FV 7 zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\SVCHОST.EXE chklst delvir delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID] apply deltmp ;------------------------------------------------------------- czoo QUIT

Код


;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML
;------------------------autoscript---------------------------

del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-15 17-00 КОПИЯ ОБЪЕКТА DESKTOP.INI.GUST
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-16 00-00 КОПИЯ ОБЪЕКТА DESKTOP.INI
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.GUST
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE
addsgn 1ADE8A65AA004C8D1EE8BEF16404478EC9DBADA5DFAD940591F005D4E4DF714C73404A12C2DCD8B1C37A0260B9958DF6F09A14223D68B92C2D205B5ACBF9577B 8 a variant of Win32/Filecoder.FV 7

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\SVCHОST.EXE
chklst
delvir

delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID]
apply

deltmp

;-------------------------------------------------------------

czoo
QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
на текущий момент ESET детектирует данный вирус.
https://www.virustotal.com/#/file/48b5cb7b0b5f492f03a33b3363846c6650d2c448/detection

возможно, запуск был с рабочего стола.
обратите внимание, чтобы доступ к настройкам антивируса был с паролем, чтобы злоумышленники, получив доступ к рабочему столу не могли отключить антивир.
обратитте внимание, что ESET детектирует данный файл шифратора как минимум с 2018-08-16
C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE

Цитата
Полное имя C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE Имя файла SVCHОST.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Обнаруженные сигнатуры Сигнатура a variant of Win32/Filecoder.FV (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2018-10-30 www.virustotal.com 2018-08-16 Symantec Ransom.Cryptolocker ESET-NOD32 a variant of Win32/Filecoder.FV Kaspersky HEUR:Trojan.Win32.Generic BitDefender Generic.Ransom.GlobeImposter.89B2F8C4 Microsoft Trojan:Win32/Fuerboos.C!cl Avast Win32:Evo-gen [Susp] Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Процесс 32-х битный File_Id 5AC25E98E200 Linker 12.0 Размер 54784 байт Создан 29.10.2018 в 05:26:36 Изменен 28.07.2018 в 20:06:49 TimeStamp 02.04.2018 в 16:47:20 EntryPoint + OS Version 5.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Имя файла Типичное для вирусов или содержит Non-ASCII символы Имя файла Имя файла слишком похоже на имя известного модуля SVCHOST.EXE Доп. информация на момент обновления списка pid = 3736 NT AUTHORITY\СИСТЕМА CmdLine "C:\Users\Администратор\Desktop\svchоst.exe" Процесс создан 05:28:57 [2018.10.29] С момента создания 05:16:05 CPU 0,00% CPU (1 core) 0,03% parentid = 5676 SHA1 48B5CB7B0B5F492F03A33B3363846C6650D2C448 MD5 3D56A0E02178AC6936C7945710844FEA Образы EXE и DLL SVCHОST.EXE C:\USERS\АДМИНИСТРАТОР\DESKTOP

Цитата

Полное имя C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE
Имя файла SVCHОST.EXE
Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

Обнаруженные сигнатуры
Сигнатура a variant of Win32/Filecoder.FV (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2018-10-30

www.virustotal.com 2018-08-16
Symantec Ransom.Cryptolocker
ESET-NOD32 a variant of Win32/Filecoder.FV
Kaspersky HEUR:Trojan.Win32.Generic
BitDefender Generic.Ransom.GlobeImposter.89B2F8C4
Microsoft Trojan:Win32/Fuerboos.C!cl
Avast Win32:Evo-gen [Susp]

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Процесс 32-х битный
File_Id 5AC25E98E200
Linker 12.0
Размер 54784 байт
Создан 29.10.2018 в 05:26:36
Изменен 28.07.2018 в 20:06:49

TimeStamp 02.04.2018 в 16:47:20
EntryPoint +
OS Version 5.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя файла Типичное для вирусов или содержит Non-ASCII символы
Имя файла Имя файла слишком похоже на имя известного модуля SVCHOST.EXE

Доп. информация на момент обновления списка
pid = 3736 NT AUTHORITY\СИСТЕМА
CmdLine "C:\Users\Администратор\Desktop\svchоst.exe"
Процесс создан 05:28:57 [2018.10.29]
С момента создания 05:16:05
CPU 0,00%
CPU (1 core) 0,03%
parentid = 5676
SHA1 48B5CB7B0B5F492F03A33B3363846C6650D2C448
MD5 3D56A0E02178AC6936C7945710844FEA

Образы EXE и DLL
SVCHОST.EXE C:\USERS\АДМИНИСТРАТОР\DESKTOP

[ Как создать образ автозапуска? ]

Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka , GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html

Ответы