Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder , GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html

RSS

Сообщений: 4

Баллов: 2

Регистрация: 14.04.2017

Размещено 14.04.2017 07:47:51

Добрый день!
Вчера на наш сервер попал вирус, который все файлы кроме виндоуса зашифровал.
В Название всех файлов в конце добавилось FIX. и в каждой папке появился файл HTML с требованием выкупа для расшифровки.
Двух дневные поиски на просторах интернета не дали ничего(((
Использовали все дешифраторы от касперского, ни один сайт с определением шифрования не помог..

Помогите кто сможет расшифровать, у нас на сервере вся база данных людей с их деньгами за 2 года там((
Прилагаю скриншот с требованием и 1 файл зашифрованный

Прикрепленные файлы

README.txt (15.42 КБ)

Ответы

Пред. 1 ... 5 6 7 8 9

Сообщений: 6

Баллов: 3

Регистрация: 30.10.2017

Размещено 30.10.2017 16:17:05

Скрипт для uVS помог. После перезагрузки все новый файлы что появлялись сразу же шифровались. После скрипта и нескольких перезагрузок, новые файлы не шифровались. Компьютер нужен в работу, поэтому был создан образ HDD до лучших времен. А система полностью восстановлена с бэкапа.

Изменено: Денис Ижевский - 01.05.2023 00:41:31

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.10.2017 16:19:27

хорошо, будем надеяться, что данный шифратор не из того разряда "или плати, или расстанься с документами".
-----------
похоже, что из этого разряда. GlobeImposter v2

Цитата
Identified by ransomnote_email: [email protected] sample_extension: .decoder

https://id-ransomware.malwarehunterteam.com/identify.php?case=cb9128fd7f2ad9347588b8ecacce7af0fc2907c2

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 23.04.2018

Размещено 23.04.2018 13:23:34

Есть ли какая-нибудь информация по данному шифровальщику (.sambuka), в интернете нашел только одно сообщение на форуме касперского.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.04.2018 15:39:09

Цитата
Юрий Колонаков написал: Есть ли какая-нибудь информация по данному шифровальщику, в интернете нашел только одно сообщение на форуме касперского.

Вы ищете информацию по данному шифратору или столкнулись с подобным шифрованием?

если второе,
то нужны несколько зашифрованных файлов + их чистые оригиналы + если есть записка о выкупе + образ автозапуска системы, если заражение свежее.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 13.09.2018

Размещено 13.09.2018 16:10:35

Добрый день. Пошифровала гадина файлы, хорошо что большую часть удалось восстановить из SC.
Но осталась небольшая часть, которые потеряны, может получится восстановить?

Прикрепленные файлы

eset.rar (497.11 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.09.2018 16:49:59

судя по образу, активного шифрования уже нет.

по очистке системы:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.15 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\USERS\ADM.PI\APPDATA\LOCAL\SVCHОST.EXE delall %SystemDrive%\USERS\CHAIKOVA\APPDATA\LOCAL\TEMP\1289\EYSOBZTPLEGCWQKGTRLHD.EXE apply QUIT

Код


;uVS v4.0.15 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\ADM.PI\APPDATA\LOCAL\SVCHОST.EXE
delall %SystemDrive%\USERS\CHAIKOVA\APPDATA\LOCAL\TEMP\1289\EYSOBZTPLEGCWQKGTRLHD.EXE
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------

по зашифрованным файлам:

это вариант Globeimposter v 2, расшифровки по нему нет.

Цитата
GlobeImposter 2.0 This ransomware has no known way of decrypting data at this time. It is recommended to backup your encrypted files, and hope for a solution in the future. Identified by ransomnote_filename: how_to_back_files.html ransomnote_email: [email protected] sample_extension: .SAMBUKA custom_rule: victim ID in encrypted file

https://id-ransomware.malwarehunterteam.com/identify.php?case=b258dd3886cbd442b544b011faf3de7d918d881e

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 13.09.2018

Размещено 13.09.2018 17:16:14

Спасибо. Вот курва, ну значит так

Сообщений: 1

Регистрация: 30.10.2018

Размещено 30.10.2018 02:03:49

При работающем антивирусе ESET File Security (активная лицензия) вирусом шифровальщиком зашифрованы все данные. Как быть?

Прикрепленные файлы

HOST-6_2018-10-29_10-44-42_v4.1.1.7z (457.46 КБ)
gust-files.rar (11.19 КБ)

Изменено: Константин Ш - 25.11.2018 15:56:05 (В распоряжении есть исполняемый файл вируса. Зловред не успел подчистить)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.10.2018 06:17:23

судя по зашифрованному файлу и записке о выкупе - это GlobeImposter v2,
на текущий момент без расшифровки.

Цитата
GlobeImposter 2.0 Для этого вымогателя пока нет способа дешифровки данных. Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик. Опознан как ransomnote_filename: how_to_back_files.html ransomnote_email: [email protected] sample_extension: .GUST custom_rule: victim ID in encrypted file

Цитата

GlobeImposter 2.0
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

ransomnote_filename: how_to_back_files.html
ransomnote_email: [email protected]
sample_extension: .GUST
custom_rule: victim ID in encrypted file

https://id-ransomware.malwarehunterteam.com/identify.php?case=be7ba0a79220f3f0c1a67ad2895f4f9123a10a52

по образу автозапуска.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.2 v400c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML ;------------------------autoscript--------------------------- del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-15 17-00 КОПИЯ ОБЪЕКТА DESKTOP.INI.GUST del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-16 00-00 КОПИЯ ОБЪЕКТА DESKTOP.INI del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.GUST zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE addsgn 1ADE8A65AA004C8D1EE8BEF16404478EC9DBADA5DFAD940591F005D4E4DF714C73404A12C2DCD8B1C37A0260B9958DF6F09A14223D68B92C2D205B5ACBF9577B 8 a variant of Win32/Filecoder.FV 7 zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\SVCHОST.EXE chklst delvir delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID] apply deltmp ;------------------------------------------------------------- czoo QUIT

Код


;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML
;------------------------autoscript---------------------------

del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-15 17-00 КОПИЯ ОБЪЕКТА DESKTOP.INI.GUST
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-16 00-00 КОПИЯ ОБЪЕКТА DESKTOP.INI
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.GUST
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE
addsgn 1ADE8A65AA004C8D1EE8BEF16404478EC9DBADA5DFAD940591F005D4E4DF714C73404A12C2DCD8B1C37A0260B9958DF6F09A14223D68B92C2D205B5ACBF9577B 8 a variant of Win32/Filecoder.FV 7

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\SVCHОST.EXE
chklst
delvir

delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID]
apply

deltmp

;-------------------------------------------------------------

czoo
QUIT

без перезагрузки, пишем о старых и новых проблемах.
------------
на текущий момент ESET детектирует данный вирус.
https://www.virustotal.com/#/file/48b5cb7b0b5f492f03a33b3363846c6650d2c448/detection

возможно, запуск был с рабочего стола.
обратите внимание, чтобы доступ к настройкам антивируса был с паролем, чтобы злоумышленники, получив доступ к рабочему столу не могли отключить антивир.
обратитте внимание, что ESET детектирует данный файл шифратора как минимум с 2018-08-16
C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE

Цитата
Полное имя C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE Имя файла SVCHОST.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Обнаруженные сигнатуры Сигнатура a variant of Win32/Filecoder.FV (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2018-10-30 www.virustotal.com 2018-08-16 Symantec Ransom.Cryptolocker ESET-NOD32 a variant of Win32/Filecoder.FV Kaspersky HEUR:Trojan.Win32.Generic BitDefender Generic.Ransom.GlobeImposter.89B2F8C4 Microsoft Trojan:Win32/Fuerboos.C!cl Avast Win32:Evo-gen [Susp] Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Процесс 32-х битный File_Id 5AC25E98E200 Linker 12.0 Размер 54784 байт Создан 29.10.2018 в 05:26:36 Изменен 28.07.2018 в 20:06:49 TimeStamp 02.04.2018 в 16:47:20 EntryPoint + OS Version 5.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Имя файла Типичное для вирусов или содержит Non-ASCII символы Имя файла Имя файла слишком похоже на имя известного модуля SVCHOST.EXE Доп. информация на момент обновления списка pid = 3736 NT AUTHORITY\СИСТЕМА CmdLine "C:\Users\Администратор\Desktop\svchоst.exe" Процесс создан 05:28:57 [2018.10.29] С момента создания 05:16:05 CPU 0,00% CPU (1 core) 0,03% parentid = 5676 SHA1 48B5CB7B0B5F492F03A33B3363846C6650D2C448 MD5 3D56A0E02178AC6936C7945710844FEA Образы EXE и DLL SVCHОST.EXE C:\USERS\АДМИНИСТРАТОР\DESKTOP

Цитата

Полное имя C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE
Имя файла SVCHОST.EXE
Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

Обнаруженные сигнатуры
Сигнатура a variant of Win32/Filecoder.FV (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2018-10-30

www.virustotal.com 2018-08-16
Symantec Ransom.Cryptolocker
ESET-NOD32 a variant of Win32/Filecoder.FV
Kaspersky HEUR:Trojan.Win32.Generic
BitDefender Generic.Ransom.GlobeImposter.89B2F8C4
Microsoft Trojan:Win32/Fuerboos.C!cl
Avast Win32:Evo-gen [Susp]

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Процесс 32-х битный
File_Id 5AC25E98E200
Linker 12.0
Размер 54784 байт
Создан 29.10.2018 в 05:26:36
Изменен 28.07.2018 в 20:06:49

TimeStamp 02.04.2018 в 16:47:20
EntryPoint +
OS Version 5.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя файла Типичное для вирусов или содержит Non-ASCII символы
Имя файла Имя файла слишком похоже на имя известного модуля SVCHOST.EXE

Доп. информация на момент обновления списка
pid = 3736 NT AUTHORITY\СИСТЕМА
CmdLine "C:\Users\Администратор\Desktop\svchоst.exe"
Процесс создан 05:28:57 [2018.10.29]
С момента создания 05:16:05
CPU 0,00%
CPU (1 core) 0,03%
parentid = 5676
SHA1 48B5CB7B0B5F492F03A33B3363846C6650D2C448
MD5 3D56A0E02178AC6936C7945710844FEA

Образы EXE и DLL
SVCHОST.EXE C:\USERS\АДМИНИСТРАТОР\DESKTOP

[ Как создать образ автозапуска? ]

Пред. 1 ... 5 6 7 8 9