Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder , GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html

RSS
 
Сергей Радаев
Сергей Радаев
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 14.04.2017
Размещено 14.04.2017 07:47:51
Добрый день!
Вчера на наш сервер попал вирус, который все файлы кроме виндоуса зашифровал.
В Название всех файлов в конце добавилось FIX. и в каждой папке появился файл HTML с требованием выкупа для расшифровки.
Двух дневные поиски на просторах интернета не дали ничего(((
Использовали все дешифраторы от касперского, ни один сайт с определением шифрования не помог..

Помогите кто сможет расшифровать, у нас на сервере вся база данных людей с их деньгами за 2 года там((
Прилагаю скриншот с требованием и 1 файл зашифрованный  

Ответы

Пред. 1 ... 5 6 7 8 9 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 30.10.2017 15:08:47
да, похоже что-то новое появилось
https://www.hybrid-analysis.com/sample/f101cc9b232fc25f8e03282f55fb7a46ae3fbf729e891cbb4­068aa756a78656e?environmentId=100

https://www.virustotal.com/en/file/f101cc9b232fc25f8e03282f55fb7a46ae3fbf729e891cbb­4068aa756a78656e/analysis/
[ Как создать образ автозапуска? ]
 
Денис Ижевский
Денис Ижевский
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 30.10.2017
Размещено 30.10.2017 15:11:58
Образ создан без проверки ЭЦП, т.к. зависает на обычном образе.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 30.10.2017 15:12:41
Цитата
RP55 RP55 написал:
Образ нормально открывается.
да, перекачал в Хроме, нормально открылся, в FF дважды не открылся.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 30.10.2017 15:14:31
детекты разные, но пока что мало говорят.

Цитата
Полное имя                  C:\USERS\СЕРГЕЙ НИЛОВ\APPDATA\ROAMING\30.11.2017.SCR
Имя файла                   30.11.2017.SCR
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2017-10-30
Symantec                    Ransom.CryptXXX
ESET-NOD32                  a variant of Win32/GenKryptik.BBVC
Kaspersky                   UDS:DangerousObject.Multi.Generic
DrWeb                       Trojan.Encoder.15047
Avast                       FileRepMalware
                                                     
Доп. информация             на момент обновления списка
pid = 680                   СергейНилов-ПК\Сергей Нилов
CmdLine                     "C:\Users\Сергей Нилов\AppData\Roaming\30.11.2017.scr" /S
Процесс создан              13:17:19 [2017.10.30]
С момента создания          00:04:55
parentid = 3368            
SHA1                        E09FF777AC354E7A0BA8C2580F94195F6DF3DBAC
MD5                         B02FA72FFCA941A7E6C4E34CB9146BC3
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1101135559-3815653492-3716863345-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\Certi­ficatesCheck
CertificatesCheck           C:\Users\Сергей Нилов\AppData\Roaming\30.11.2017.scr
                           
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 30.10.2017 15:19:26
по очистке системы выполните скрипт с перезагрузкой системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\СЕРГЕЙ НИЛОВ\APPDATA\ROAMING\30.11.2017.SCR
addsgn 1A33279A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B78B49771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 64 Win32/GenKryptik 7

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDDADGCDMDDLJMPKPINKALNEPDEPPLPKJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLEDKFMFCKEJKEMLMPCKIAOALDHLDFMBE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLFEJOKJOKPDJKJNKGLMJLBEBOJJBFEDC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\4F6C~1\APPDATA\LOCAL\TEMP\CHROME_BITS_2124_31175\470_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\4F6C~1\APPDATA\LOCAL\TEMP\CHROME_BITS_1364_8153\ASA_11.CRX
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\PCRADIO\PCRADIO\PCRADIO.EXE
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\PROGRAM FILES\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\VGPU.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\USERS\СЕРГЕЙ НИЛОВ\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов для начала необходимо таки точно идентифицировать тип шифратора.

если вы лицензионный пользователь ESET
вам необходимо собрать следующие файлы:

несколько зашифрованных файлов в архиве,
несколько чистых файлов,
тело вируса в архиве с паролем infected
лог ESET log collector сделанный на пострадавшей системе.
------------
все это отправить в [email protected] и дождаться ответа.
[ Как создать образ автозапуска? ]
 
Денис Ижевский
Денис Ижевский
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 30.10.2017
Размещено 30.10.2017 15:38:26
Цитата
santy написал:
по очистке системы выполните скрипт с перезагрузкой системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Это выполнить прямо сейчас или дождаться ответа от поддержки esetnod32?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 30.10.2017 15:46:42
лучше сейчас очистить систему. файл шифратора активен.

или сделайте лог ESET collector для техподдержки, а затем очистить систему.
пока что неизвестно,возможна ли расшифровка, и если возможна, то какая информация необходима для расшифровки.

можно конечно, просто файл шифратора, переименовать, и исключить из автозапуска.
(этого будет достаточно, чтобы обезопасить систему.)
[ Как создать образ автозапуска? ]
 
Денис Ижевский
Денис Ижевский
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 30.10.2017
Размещено 30.10.2017 15:59:24
Спасибо, появится новая информация напишу сюда.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 30.10.2017 16:10:18
похоже, он шифрует практически все, за исключением разве что системного каталога.
Program files шифрует, в том числе исполняемые файлы (exe) и файлы без расширений.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 30.10.2017 16:11:52
+
проверьте теневые копии на системном диске, возможно не были удалены, тогда есть  шанс восстановить файлы без расшифрования.
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 5 6 7 8 9 След.
Читают тему