файлы зашифрованы с расширением .decoder , GlobeImposter v2/Filecoder.FV; ransom_note: Instructions.txt

RSS
Пришло письмо на почту " День добрый отправляю вам реквизиты" во вложение файл 30.11.2017.scr.gz внутри файл 30.11.2017.scr. Eset не определил файл как вирус. После сканирования предложил перезагрузиться, что пользователь и сделал. После перезагрузки все файлы были зашифрованы. У зашифрованных файлов имя стало таким "имя файла.раширение.decoder".
Сервис ID Ransomware опознать шифровальщик не может. Прикладываю Полный образ автозапуска, файл с требованиями, скриншот как Eset Antivirus 10.1.2191. реагирует на зараженной машине.
Изменено: Денис Ижевский - 25.11.2018 15:58:17

Ответы

лучше сейчас очистить систему. файл шифратора активен.

или сделайте лог ESET collector для техподдержки, а затем очистить систему.
пока что неизвестно,возможна ли расшифровка, и если возможна, то какая информация необходима для расшифровки.

можно конечно, просто файл шифратора, переименовать, и исключить из автозапуска.
(этого будет достаточно, чтобы обезопасить систему.)
Спасибо, появится новая информация напишу сюда.
похоже, он шифрует практически все, за исключением разве что системного каталога.
Program files шифрует, в том числе исполняемые файлы (exe) и файлы без расширений.
+
проверьте теневые копии на системном диске, возможно не были удалены, тогда есть  шанс восстановить файлы без расшифрования.
Скрипт для uVS помог. После перезагрузки все новый файлы что появлялись сразу же шифровались. После скрипта и нескольких перезагрузок, новые файлы не шифровались. Компьютер нужен в работу, поэтому был создан образ HDD до лучших времен. А система полностью восстановлена с бэкапа.  
Изменено: Денис Ижевский - 30.10.2017 16:18:18
хорошо, будем надеяться, что данный шифратор не из того разряда "или плати, или расстанься с документами".
-----------
похоже, что из этого разряда. GlobeImposter v2

Цитата
Identified by

   ransomnote_email: decoder@expressmail.dk
   sample_extension: .decoder
https://id-ransomware.malwarehunterteam.com/identify.php?case=cb9128fd7f2ad9347588b8ecacce7af0fc2907c2
Читают тему (гостей: 4)