Форум esetnod32.ru [тема: Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder] http://forum.esetnod32.ru Новое в теме Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Tue, 14 Apr 2026 11:49:20 +0300 Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
судя по зашифрованному файлу и записке о выкупе - это GlobeImposter v2,
на текущий момент без расшифровки.



====quote====
GlobeImposter 2.0
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   ransomnote_filename: how_to_back_files.html
   ransomnote_email: sambuka_star@india.com
   sample_extension: .GUST
   custom_rule: victim ID in encrypted file
=============

https://id-ransomware.malwarehunterteam.com/identify.php?case=be7ba0a79220f3f0c1a67ad2895f4f9123a10a52

по образу автозапуска.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML
;------------------------autoscript---------------------------

del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-15 17-00 КОПИЯ ОБЪЕКТА DESKTOP.INI.GUST
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2015-04-16 00-00 КОПИЯ ОБЪЕКТА DESKTOP.INI
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HOW_TO_BACK_FILES.HTML
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.GUST
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE
addsgn 1ADE8A65AA004C8D1EE8BEF16404478EC9DBADA5DFAD940591F005D4E4DF714C73404A12C2DCD8B1C37A0260B9958DF6F09A14223D68B92C2D205B5ACBF9577B 8 a variant of Win32/Filecoder.FV 7

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\SVCHОST.EXE
chklst
delvir

delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID]
apply

deltmp

;-------------------------------------------------------------

czoo
QUIT
=============
без перезагрузки, пишем о старых и новых проблемах.
------------
на текущий момент ESET детектирует данный вирус.
https://www.virustotal.com/#/file/48b5cb7b0b5f492f03a33b3363846c6650d2c448/detection

возможно, запуск был с рабочего стола.
обратите внимание, чтобы доступ к настройкам антивируса был с паролем, чтобы злоумышленники, получив доступ к рабочему столу не могли отключить антивир.
обратитте внимание, что ESET детектирует данный файл шифратора как минимум с 2018-08-16
C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE


====quote====
Полное имя                  C:\USERS\АДМИНИСТРАТОР\DESKTOP\SVCHОST.EXE
Имя файла                   SVCHОST.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
Обнаруженные сигнатуры      
Сигнатура                   a variant of Win32/Filecoder.FV (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2018-10-30
                           
www.virustotal.com          2018-08-16
Symantec                    Ransom.Cryptolocker
ESET-NOD32                  a variant of Win32/Filecoder.FV
Kaspersky                   HEUR:Trojan.Win32.Generic
BitDefender                 Generic.Ransom.GlobeImposter.89B2F8C4
Microsoft                   Trojan:Win32/Fuerboos.C!cl
Avast                       Win32:Evo-gen [Susp]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Процесс                     32-х битный
File_Id                     5AC25E98E200
Linker                      12.0
Размер                      54784 байт
Создан                      29.10.2018 в 05:26:36
Изменен                     28.07.2018 в 20:06:49
                           
TimeStamp                   02.04.2018 в 16:47:20
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя файла                   Типичное для вирусов или содержит Non-ASCII символы
Имя файла                   Имя файла слишком похоже на имя известного модуля SVCHOST.EXE
                           
Доп. информация             на момент обновления списка
pid = 3736                  NT AUTHORITY\СИСТЕМА
CmdLine                     "C:\Users\Администратор\Desktop\svchоst.exe"
Процесс создан              05:28:57 [2018.10.29]
С момента создания          05:16:05
CPU                         0,00%
CPU (1 core)                0,03%
parentid = 5676            
SHA1                        48B5CB7B0B5F492F03A33B3363846C6650D2C448
MD5                         3D56A0E02178AC6936C7945710844FEA
                           
Образы                      EXE и DLL
SVCHОST.EXE                 C:\USERS\АДМИНИСТРАТОР\DESKTOP
                           

=============

30.10.2018 06:17:23, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message104858/ http://forum.esetnod32.ru/messages/forum35/topic14167/message104858/ Tue, 30 Oct 2018 06:17:23 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
При работающем антивирусе ESET File Security (активная лицензия) вирусом шифровальщиком зашифрованы все данные. Как быть?
gust-files.rar
HOST-6_2018-10-29_10-44-42_v4.1.1.7z
30.10.2018 02:03:49, Константин Ш.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message104857/ http://forum.esetnod32.ru/messages/forum35/topic14167/message104857/ Tue, 30 Oct 2018 02:03:49 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
Спасибо. Вот курва, ну значит так
13.09.2018 17:16:14, Евгений Гайдаш.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message104396/ http://forum.esetnod32.ru/messages/forum35/topic14167/message104396/ Thu, 13 Sep 2018 17:16:14 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
судя по образу, активного шифрования уже нет.

по очистке системы:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.0.15 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\ADM.PI\APPDATA\LOCAL\SVCHОST.EXE
delall %SystemDrive%\USERS\CHAIKOVA\APPDATA\LOCAL\TEMP\1289\EYSOBZTPLEGCWQKGTRLHD.EXE
apply

QUIT
=============
без перезагрузки, пишем о старых и новых проблемах.
------------

по зашифрованным файлам:

это вариант Globeimposter v 2, расшифровки по нему нет.



====quote====
GlobeImposter 2.0
This ransomware has no known way of decrypting data at this time.

It is recommended to backup your encrypted files, and hope for a solution in the future.

Identified by

   ransomnote_filename: how_to_back_files.html
   ransomnote_email: Decoder_master@india.com
   sample_extension: .SAMBUKA
   custom_rule: victim ID in encrypted file

=============

https://id-ransomware.malwarehunterteam.com/identify.php?case=b258dd3886cbd442b544b011faf3de7d918d881e
13.09.2018 16:49:59, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message104395/ http://forum.esetnod32.ru/messages/forum35/topic14167/message104395/ Thu, 13 Sep 2018 16:49:59 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день. Пошифровала гадина файлы, хорошо что большую часть удалось восстановить из SC.
Но осталась небольшая часть, которые потеряны, может получится восстановить?
eset.rar
13.09.2018 16:10:35, Евгений Гайдаш.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message104393/ http://forum.esetnod32.ru/messages/forum35/topic14167/message104393/ Thu, 13 Sep 2018 16:10:35 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Юрий Колонаков написал:
Есть ли какая-нибудь информация по данному шифровальщику, в интернете нашел только одно сообщение на форуме касперского.
=============
Вы ищете информацию по данному шифратору или столкнулись с подобным шифрованием?

если второе,
то нужны несколько зашифрованных файлов + их чистые оригиналы + если есть записка о выкупе + образ автозапуска системы, если заражение свежее.
23.04.2018 15:39:09, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message103013/ http://forum.esetnod32.ru/messages/forum35/topic14167/message103013/ Mon, 23 Apr 2018 15:39:09 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
Есть ли какая-нибудь информация по данному шифровальщику (.sambuka), в интернете нашел только одно сообщение на форуме касперского.
23.04.2018 13:23:34, Юрий Колонаков.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message103012/ http://forum.esetnod32.ru/messages/forum35/topic14167/message103012/ Mon, 23 Apr 2018 13:23:34 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
хорошо, будем надеяться, что данный шифратор не из того разряда "или плати, или расстанься с документами".
-----------
похоже, что из этого разряда. GlobeImposter v2


====quote====
Identified by

   ransomnote_email: decoder@expressmail.dk
   sample_extension: .decoder

=============
https://id-ransomware.malwarehunterteam.com/identify.php?case=cb9128fd7f2ad9347588b8ecacce7af0fc2907c2
30.10.2017 16:19:27, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100805/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100805/ Mon, 30 Oct 2017 16:19:27 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
Скрипт для uVS помог. После перезагрузки все новый файлы что появлялись сразу же шифровались. После скрипта и нескольких перезагрузок, новые файлы не шифровались. Компьютер нужен в работу, поэтому был создан образ HDD до лучших времен. А система полностью восстановлена с бэкапа.  
30.10.2017 16:17:05, Денис Ижевский.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100804/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100804/ Mon, 30 Oct 2017 16:17:05 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
+
проверьте теневые копии на системном диске, возможно не были удалены, тогда есть  шанс восстановить файлы без расшифрования.
30.10.2017 16:11:52, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100803/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100803/ Mon, 30 Oct 2017 16:11:52 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
похоже, он шифрует практически все, за исключением разве что системного каталога.
Program files шифрует, в том числе исполняемые файлы (exe) и файлы без расширений.
30.10.2017 16:10:18, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100802/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100802/ Mon, 30 Oct 2017 16:10:18 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
Спасибо, появится новая информация напишу сюда.
30.10.2017 15:59:24, Денис Ижевский.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100801/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100801/ Mon, 30 Oct 2017 15:59:24 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
лучше сейчас очистить систему. файл шифратора активен.

или сделайте лог ESET collector для техподдержки, а затем очистить систему.
пока что неизвестно,возможна ли расшифровка, и если возможна, то какая информация необходима для расшифровки.

можно конечно, просто файл шифратора, переименовать, и исключить из автозапуска.
(этого будет достаточно, чтобы обезопасить систему.)
30.10.2017 15:46:42, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100800/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100800/ Mon, 30 Oct 2017 15:46:42 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
по очистке системы выполните скрипт с перезагрузкой системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
=============
Это выполнить прямо сейчас или дождаться ответа от поддержки esetnod32?
30.10.2017 15:38:26, Денис Ижевский.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100799/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100799/ Mon, 30 Oct 2017 15:38:26 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
по очистке системы выполните скрипт с перезагрузкой системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\СЕРГЕЙ НИЛОВ\APPDATA\ROAMING\30.11.2017.SCR
addsgn 1A33279A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B78B49771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 64 Win32/GenKryptik 7

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDDADGCDMDDLJMPKPINKALNEPDEPPLPKJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLEDKFMFCKEJKEMLMPCKIAOALDHLDFMBE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLFEJOKJOKPDJKJNKGLMJLBEBOJJBFEDC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\4F6C~1\APPDATA\LOCAL\TEMP\CHROME_BITS_2124_31175\470_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\4F6C~1\APPDATA\LOCAL\TEMP\CHROME_BITS_1364_8153\ASA_11.CRX
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\PCRADIO\PCRADIO\PCRADIO.EXE
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\PROGRAM FILES\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\VGPU.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\USERS\СЕРГЕЙ НИЛОВ\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов для начала необходимо таки точно идентифицировать тип шифратора.

если вы лицензионный пользователь ESET
вам необходимо собрать следующие файлы:

несколько зашифрованных файлов в архиве,
несколько чистых файлов,
тело вируса в архиве с паролем infected
лог ESET log collector сделанный на пострадавшей системе.
------------
все это отправить в support@esetnod32.ru и дождаться ответа.
30.10.2017 15:19:26, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100796/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100796/ Mon, 30 Oct 2017 15:19:26 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
детекты разные, но пока что мало говорят.


====quote====
Полное имя                  C:\USERS\СЕРГЕЙ НИЛОВ\APPDATA\ROAMING\30.11.2017.SCR
Имя файла                   30.11.2017.SCR
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2017-10-30
Symantec                    Ransom.CryptXXX
ESET-NOD32                  a variant of Win32/GenKryptik.BBVC
Kaspersky                   UDS:DangerousObject.Multi.Generic
DrWeb                       Trojan.Encoder.15047
Avast                       FileRepMalware
                                                     
Доп. информация             на момент обновления списка
pid = 680                   СергейНилов-ПК\Сергей Нилов
CmdLine                     "C:\Users\Сергей Нилов\AppData\Roaming\30.11.2017.scr" /S
Процесс создан              13:17:19 [2017.10.30]
С момента создания          00:04:55
parentid = 3368            
SHA1                        E09FF777AC354E7A0BA8C2580F94195F6DF3DBAC
MD5                         B02FA72FFCA941A7E6C4E34CB9146BC3
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1101135559-3815653492-3716863345-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\Certi­ficatesCheck
CertificatesCheck           C:\Users\Сергей Нилов\AppData\Roaming\30.11.2017.scr
                           

=============

30.10.2017 15:14:31, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100795/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100795/ Mon, 30 Oct 2017 15:14:31 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
RP55 RP55 написал:
Образ нормально открывается.
=============
да, перекачал в Хроме, нормально открылся, в FF дважды не открылся.
30.10.2017 15:12:41, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100794/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100794/ Mon, 30 Oct 2017 15:12:41 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
Образ создан без проверки ЭЦП, т.к. зависает на обычном образе.
СЕРГЕЙНИЛОВ-ПК_2017-10-30_15-06-21.7z
30.10.2017 15:11:58, Денис Ижевский.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100793/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100793/ Mon, 30 Oct 2017 15:11:58 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
да, похоже что-то новое появилось
https://www.hybrid-analysis.com/sample/f101cc9b232fc25f8e03282f55fb7a46ae3fbf729e891cbb4­068aa756a78656e?environmentId=100

https://www.virustotal.com/en/file/f101cc9b232fc25f8e03282f55fb7a46ae3fbf729e891cbb­4068aa756a78656e/analysis/
30.10.2017 15:08:47, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100792/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100792/ Mon, 30 Oct 2017 15:08:47 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
Образ нормально открывается.
30.10.2017 15:05:33, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100791/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100791/ Mon, 30 Oct 2017 15:05:33 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
Денис,
добавьте по возможности, зашифрованный файл и его чистую копию в архиве +
вышлите файл шифратора в архиве с паролем в почту safety@chklst.ru

образ автозапуска сейчас гляну.
--------
образ нечитабельный, архив не открывается.
пробуйте переделать образ автозапуска.
=============
Выслал файл чистый + зараженный и сам вирус. Сейчас переделаю образ.
30.10.2017 15:03:27, Денис Ижевский.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100790/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100790/ Mon, 30 Oct 2017 15:03:27 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
Денис,
добавьте по возможности, зашифрованный файл и его чистую копию в архиве +
вышлите файл шифратора в архиве с паролем в почту safety@chklst.ru

образ автозапуска сейчас гляну.
--------
образ нечитабельный, архив не открывается.
пробуйте переделать образ автозапуска.
30.10.2017 14:56:43, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100789/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100789/ Mon, 30 Oct 2017 14:56:43 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
Пришло письмо на почту " День добрый отправляю вам реквизиты" во вложение файл 30.11.2017.scr.gz внутри файл 30.11.2017.scr. Eset не определил файл как вирус. После сканирования предложил перезагрузиться, что пользователь и сделал. После перезагрузки все файлы были зашифрованы. У зашифрованных файлов имя стало таким "имя файла.раширение.decoder".
Сервис ID Ransomware опознать шифровальщик не может. Прикладываю Полный образ автозапуска, файл с требованиями, скриншот как Eset Antivirus 10.1.2191. реагирует на зараженной машине.
СЕРГЕЙНИЛОВ-ПК_2017-10-30_13-22-11.7z

Instructions.txt
30.10.2017 13:56:27, Денис Петров.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100788/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100788/ Mon, 30 Oct 2017 13:56:27 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
по варианту шифратора:

====quote====
Identified by

   ransomnote_filename: how_to_back_files.html
   ransomnote_email: makgregorways@india.com
   sample_extension: .MAKGR
   custom_rule: victim ID format
=============
https://id-ransomware.malwarehunterteam.com/identify.php?case=6dc1aba1c24aca38d636871ba889b977f67bc0ba

по образу автозапуска:
активного шифратора в системе уже нет.
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
====code==== 

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
deltmp
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\WINDOWS\SVCHOST.VBS
apply

QUIT
=============
без перезагрузки системы.
------------

по восстановлению данных  - единственный вариант, восстановление из бэкапов. расшифровки по этому варианту Globeimposter нет.
12.10.2017 01:58:52, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100606/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100606/ Thu, 12 Oct 2017 01:58:52 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
Все что просили добавил пароль к архиву 123 Спасибо за помощь.
образцы 57.zip
11.10.2017 18:48:42, Олег Пугачев.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100603/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100603/ Wed, 11 Oct 2017 18:48:42 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
@Олег Пугачев,
добавьте в ваше сообщение записку о выкупе, один зашифрованный файл, можно в архиве, +
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

----------
предположительно, это Globeimposter v 2


====quote====
Identified by

   ransomnote_email: makgregorways@aol.com

=============

10.10.2017 14:06:27, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100587/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100587/ Tue, 10 Oct 2017 14:06:27 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день!
Подскажите чем расшифровать данные после заражения .makgr
YOUR PERSONAL ID

62 8C 23 20 45 5F 20 4D 7E B6 28 33 55 8A 07 7C
B9 32 1D DC E1 4D 4B E0 84 26 B9 57 96 A1 6A 4A
E9 BB 02 F0 9E B3 0B 3E 3A 74 2C 01 5B 7B 7E 4E
34 3B A1 83 94 AB 7E 21 4F 47 53 CC 5F BA 01 23
42 A3 C1 C0 10 0F 8B D1 EC 59 FB 0D 88 13 D0 EE
AC DE FB 60 8F 39 0E 72 73 0C 87 DB 49 02 8A 6D
C8 43 C6 C2 9E 69 61 75 BF 8F F6 BF D6 E1 A6 2C
31 47 94 25 D2 15 EA 60 8E 24 AA 9F 1D 0A 58 CC
4E E5 80 72 0B 1C AD C8 BE 5F 91 B9 B1 95 09 04
B4 C9 C3 C3 54 50 CC 3E 1E B2 B8 B4 54 BA 88 B4
28 D5 86 52 3F EF 8A DB 23 D5 7E 41 11 FB 39 E3
22 64 F7 7D 09 7A E3 C3 4D D5 B9 FA 83 FF A6 37
40 B9 01 19 00 1D 33 52 76 1A 66 15 E9 63 B0 56
AE 31 33 C1 F8 91 EC 9C D3 EC A9 99 89 18 6D 5B
E1 33 9F 54 35 AA 8E 59 AC 00 E1 55 3C D7 AC F3
71 12 83 57 87 B3 8F E2 06 EE F8 D0 42 74 C7 6D


ENGLISH
☣ YOUR FILES ARE ENCRYPTED! ☣

⬇ TO DECRYPT, FOLLOW THE INSTRUCTIONS BELOW. ⬇


To recover data you need decryptor.
To get the decryptor you should:
Send 1 crypted test image or text file or document to makgregorways@aol.com
(Or alternate mail makgregorways@india.com )

In the letter include your personal ID (look at the beginning of this document).

We will give you the decrypted file and assign the price for decryption all files
After we send you instruction how to pay for decrypt and after payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder.
MOST IMPORTANT!!!

Do not contact other services that promise to decrypt your files, this is fraud on their part! They will buy a decoder from us, and you will pay more for his services. No one, except makgregorways@aol.com, will decrypt your files.

Only makgregorways@aol.com can decrypt your files
Do not trust anyone besides makgregorways@aol.com
Antivirus programs can delete this document and you can not contact us later.
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key
CollectionLog-2017.10.10-12.27.zip
10.10.2017 12:34:32, Олег Пугачев.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100586/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100586/ Tue, 10 Oct 2017 12:34:32 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
Не знаю как у других шифраторов, но одно удалось восстановить у -*.726, файл outlook *.pst
В папке "C:\Program Files\Microsoft Office\Office15\" запустить файл SCANPST.EXE, и с помощью этой программы можно восстановить все письма.
14.08.2017 16:28:13, Александр Игоревич.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100124/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100124/ Mon, 14 Aug 2017 16:28:13 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
судя по образу уже все чисто,
судя по записке о выкупе - это GlobeImposter v2, расшифровки по нему на текущий момент нет:

====quote====
Identified by

   ransomnote_filename: how_to_back_files.html
   custom_rule: victim ID format

=============

следите за этой темой
https://www.bleepingcomputer.com/forums/t/644166/globeimposter-20-fix-extension-ransomware-support-topic/

проверьте возможность восстановить документы из теневых копий.

+
информация с форума bleepingcomputer.com


====quote====
Lawrence Abrams discovered a new GlobeImposter targeting Russian victims. This variant uses the emails alfatozulu@tutanota.com & and alfatozulu@mail.ru and appends the .crypt extension to encrypted files.

=============
https://mobile.twitter.com/LawrenceAbrams/status/894594448201535488

Пользователь добавил изображение
11.08.2017 12:25:32, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100114/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100114/ Fri, 11 Aug 2017 12:25:32 +0300 Шифровальщики файлов и подбор дешифраторов Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html в форуме Шифровальщики файлов и подбор дешифраторов.
Образ автозапуска и письмо о выкупе прилагаю.
А также вложение из подозрительного письма (пароль на архив - crypt)
Зараженное_вложение.rar
how_to_back_files.rar
SECRETAR_2017-08-11_13-04-20.rar
11.08.2017 12:09:07, Андрей Shapovaloff.]]> http://forum.esetnod32.ru/messages/forum35/topic14167/message100113/ http://forum.esetnod32.ru/messages/forum35/topic14167/message100113/ Fri, 11 Aug 2017 12:09:07 +0300 Шифровальщики файлов и подбор дешифраторов