Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder , GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html

RSS

Сообщений: 4

Баллов: 2

Регистрация: 14.04.2017

Размещено 14.04.2017 07:47:51

Добрый день!
Вчера на наш сервер попал вирус, который все файлы кроме виндоуса зашифровал.
В Название всех файлов в конце добавилось FIX. и в каждой папке появился файл HTML с требованием выкупа для расшифровки.
Двух дневные поиски на просторах интернета не дали ничего(((
Использовали все дешифраторы от касперского, ни один сайт с определением шифрования не помог..

Помогите кто сможет расшифровать, у нас на сервере вся база данных людей с их деньгами за 2 года там((
Прилагаю скриншот с требованием и 1 файл зашифрованный

Прикрепленные файлы

README.txt (15.42 КБ)

Ответы

Пред. 1 ... 5 6 7 8 9 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 11.08.2017 12:25:32

судя по образу уже все чисто,
судя по записке о выкупе - это GlobeImposter v2, расшифровки по нему на текущий момент нет:

Цитата
Identified by ransomnote_filename: how_to_back_files.html custom_rule: victim ID format

следите за этой темой
https://www.bleepingcomputer.com/forums/t/644166/globeimposter-20-fix-extension-ransomware-support-topic/

проверьте возможность восстановить документы из теневых копий.

+
информация с форума bleepingcomputer.com

Цитата
Lawrence Abrams discovered a new GlobeImposter targeting Russian victims. This variant uses the emails [email protected] & and [email protected] and appends the .crypt extension to encrypted files.

https://mobile.twitter.com/LawrenceAbrams/status/894594448201535488

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 14.08.2017

Размещено 14.08.2017 16:28:13

Не знаю как у других шифраторов, но одно удалось восстановить у -*.726, файл outlook *.pst
В папке "C:\Program Files\Microsoft Office\Office15\" запустить файл SCANPST.EXE, и с помощью этой программы можно восстановить все письма.

Сообщений: 2

Баллов: 1

Регистрация: 10.10.2017

Размещено 10.10.2017 12:34:32

Добрый день!
Подскажите чем расшифровать данные после заражения .makgr
YOUR PERSONAL ID

62 8C 23 20 45 5F 20 4D 7E B6 28 33 55 8A 07 7C
B9 32 1D DC E1 4D 4B E0 84 26 B9 57 96 A1 6A 4A
E9 BB 02 F0 9E B3 0B 3E 3A 74 2C 01 5B 7B 7E 4E
34 3B A1 83 94 AB 7E 21 4F 47 53 CC 5F BA 01 23
42 A3 C1 C0 10 0F 8B D1 EC 59 FB 0D 88 13 D0 EE
AC DE FB 60 8F 39 0E 72 73 0C 87 DB 49 02 8A 6D
C8 43 C6 C2 9E 69 61 75 BF 8F F6 BF D6 E1 A6 2C
31 47 94 25 D2 15 EA 60 8E 24 AA 9F 1D 0A 58 CC
4E E5 80 72 0B 1C AD C8 BE 5F 91 B9 B1 95 09 04
B4 C9 C3 C3 54 50 CC 3E 1E B2 B8 B4 54 BA 88 B4
28 D5 86 52 3F EF 8A DB 23 D5 7E 41 11 FB 39 E3
22 64 F7 7D 09 7A E3 C3 4D D5 B9 FA 83 FF A6 37
40 B9 01 19 00 1D 33 52 76 1A 66 15 E9 63 B0 56
AE 31 33 C1 F8 91 EC 9C D3 EC A9 99 89 18 6D 5B
E1 33 9F 54 35 AA 8E 59 AC 00 E1 55 3C D7 AC F3
71 12 83 57 87 B3 8F E2 06 EE F8 D0 42 74 C7 6D

ENGLISH
☣ YOUR FILES ARE ENCRYPTED! ☣

⬇ TO DECRYPT, FOLLOW THE INSTRUCTIONS BELOW. ⬇

To recover data you need decryptor.
To get the decryptor you should:
Send 1 crypted test image or text file or document to [email protected]
(Or alternate mail [email protected] )

In the letter include your personal ID (look at the beginning of this document).

We will give you the decrypted file and assign the price for decryption all files
After we send you instruction how to pay for decrypt and after payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder.
MOST IMPORTANT!!!

Do not contact other services that promise to decrypt your files, this is fraud on their part! They will buy a decoder from us, and you will pay more for his services. No one, except [email protected], will decrypt your files.

Only [email protected] can decrypt your files
Do not trust anyone besides [email protected]
Antivirus programs can delete this document and you can not contact us later.
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key

Прикрепленные файлы

CollectionLog-2017.10.10-12.27.zip (86.3 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 10.10.2017 14:06:27

@Олег Пугачев,
добавьте в ваше сообщение записку о выкупе, один зашифрованный файл, можно в архиве, +
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

----------
предположительно, это Globeimposter v 2

Цитата
Identified by ransomnote_email: [email protected]

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 10.10.2017

Размещено 11.10.2017 18:48:42

Все что просили добавил пароль к архиву 123 Спасибо за помощь.

Прикрепленные файлы

образцы 57.zip (1.24 МБ)

Изменено: Олег Пугачев - 11.10.2017 22:13:46

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.10.2017 01:58:52

по варианту шифратора:

Цитата
Identified by ransomnote_filename: how_to_back_files.html ransomnote_email: [email protected] sample_extension: .MAKGR custom_rule: victim ID format

https://id-ransomware.malwarehunterteam.com/identify.php?case=6dc1aba1c24aca38d636871ba889b977f67bc0ba

по образу автозапуска:
активного шифратора в системе уже нет.
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;

Код
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE deltmp ;---------command-block--------- delref %SystemDrive%\PROGRAMDATA\WINDOWS\SVCHOST.VBS apply QUIT

без перезагрузки системы.
------------

по восстановлению данных - единственный вариант, восстановление из бэкапов. расшифровки по этому варианту Globeimposter нет.

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 30.10.2017

Размещено 30.10.2017 13:56:27

Пришло письмо на почту " День добрый отправляю вам реквизиты" во вложение файл 30.11.2017.scr.gz внутри файл 30.11.2017.scr. Eset не определил файл как вирус. После сканирования предложил перезагрузиться, что пользователь и сделал. После перезагрузки все файлы были зашифрованы. У зашифрованных файлов имя стало таким "имя файла.раширение.decoder".
Сервис ID Ransomware опознать шифровальщик не может. Прикладываю Полный образ автозапуска, файл с требованиями, скриншот как Eset Antivirus 10.1.2191. реагирует на зараженной машине.

Прикрепленные файлы

Безымянный.png (145.8 КБ)

СЕРГЕЙНИЛОВ-ПК_2017-10-30_13-22-11.7z (480.04 КБ)
Instructions.txt (2.08 КБ)

Изменено: Денис Ижевский - 01.05.2023 00:39:32

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 30.10.2017 14:56:43

Денис,
добавьте по возможности, зашифрованный файл и его чистую копию в архиве +
вышлите файл шифратора в архиве с паролем в почту [email protected]

образ автозапуска сейчас гляну.
--------
образ нечитабельный, архив не открывается.
пробуйте переделать образ автозапуска.

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 30.10.2017

Размещено 30.10.2017 15:03:27

Цитата
santy написал: Денис, добавьте по возможности, зашифрованный файл и его чистую копию в архиве + вышлите файл шифратора в архиве с паролем в почту [email protected] образ автозапуска сейчас гляну. -------- образ нечитабельный, архив не открывается. пробуйте переделать образ автозапуска.

Цитата

santy написал:
Денис,
добавьте по возможности, зашифрованный файл и его чистую копию в архиве +
вышлите файл шифратора в архиве с паролем в почту [email protected]

образ автозапуска сейчас гляну.
--------
образ нечитабельный, архив не открывается.
пробуйте переделать образ автозапуска.

Выслал файл чистый + зараженный и сам вирус. Сейчас переделаю образ.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 30.10.2017 15:05:33

Образ нормально открывается.

Пред. 1 ... 5 6 7 8 9 След.