globeimposter 2.0 Шифровальщик зашифровал файлы добавив расширение .nVhcrypt

19 июня, 2017

Пришли на работу после выходных и не смогли подключиться к базам 1С на сервере, когда заглянул на сервер, увидел, что большинство файлов зашифрованы и к их расширению приписано .nVhcrypt. Как вирус попал на сервер мы не до конца поняли, но вот какой факт, если посмотреть папки пользователей, то можно заметить что, кроме общих файлов пострадали только файлы одного из пользователей, а именно user2 (человек работает с базами 1С через RDP из дома с личного компьютера), поэтому подозрение на то, что вирус пришёл оттуда. Сам исполнительный файл вируса (после проверок рекомендованными антивирусными программами) я так и не нашёл, по крайней мере мне так кажется... Во всех папках с зашифрованными файлами был создан файл how_to_back_files.html (прикреплю его к теме, если необходимо, а так прикрёплю его скриншот) в котором и выдвигаются требования к оплате и указан id. Бэкапы так же были поражены, рабочий бэкап на сторонней машине от 10.05.2017, а это больше месяца работы бухгалтеров... Злоумышленники по почте просили 45000, в итоге цену сбили до 15000, но у нас нет никакой уверенности что после перечисления средств дешифратор будет выслан... Просим вас помочь с нашей проблемой. Если нужна ещё какая-то информация - с радостью предоставлю !

P.S. Сегодня уже писал в чужой теме, там человека так же просили снять логи с помощью Farbar Recovery Scan Tool, поэтому на всякий случай прикладываю и их.

CollectionLog-2017.06.19-15.48.zip

FRST.rar

19 июня, 2017

Здравствуйте!

был создан файл how_to_back_files.html (прикреплю его к теме, если необходимо

Да, упакуйте вместе с парой небольших поврежденных офисных документов и прикрепите.

Затем:

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\RunOnce: [{444578D5-F83C-44DF-8524-04CB60E7AC2C}] => cmd.exe /C start /D "C:\Users\836D~1\AppData\Local\Temp\1" /B {444578D5-F83C-44DF-8524-04CB60E7AC2C}.cmd <===== ATTENTION
ShortcutTarget: explorer.lnk -> C:\ProgramData\Windows\svchost.VBS (No File)
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Public\how_to_back_files.html
2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Public\Downloads\how_to_back_files.html
2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Public\Documents\how_to_back_files.html
2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Default\how_to_back_files.html
2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Default\Desktop\how_to_back_files.html
2017-06-19 01:41 - 2017-06-19 01:41 - 00007214 _____ C:\Users\Default User\Desktop\how_to_back_files.html
2017-06-19 01:30 - 2017-06-19 01:30 - 00007214 _____ C:\Users\user2\Downloads\how_to_back_files.html
2017-06-19 01:30 - 2017-06-19 01:30 - 00007214 _____ C:\Users\user2\Documents\how_to_back_files.html
2017-06-19 01:30 - 2017-06-19 01:30 - 00007214 _____ C:\Users\user2\Desktop\how_to_back_files.html
2017-06-19 01:29 - 2017-06-19 01:29 - 00007214 _____ C:\Users\user2\how_to_back_files.html
2017-06-19 01:25 - 2017-06-19 01:25 - 00007214 _____ C:\Users\Все пользователи\how_to_back_files.html
2017-06-19 01:25 - 2017-06-19 01:25 - 00007214 _____ C:\Users\how_to_back_files.html
2017-03-21 15:36 - 2017-03-21 15:36 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp1AE8.tmp
2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E56.tmp
2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E55.tmp
2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E54.tmp
2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9E53.tmp
2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9CDC.tmp
2017-03-21 14:17 - 2017-03-21 14:17 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp9CCB.tmp
2017-03-21 13:49 - 2017-03-21 13:49 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmp8CAF.tmp
2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC6A0.tmp
2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC69F.tmp
2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC69E.tmp
2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC69D.tmp
2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC545.tmp
2017-03-21 12:23 - 2017-03-21 12:23 - 00000000 _____ C:\Users\Администратор\AppData\Local\Temp\tmpC535.tmp
2017-06-17 08:39 - 2017-03-18 22:34 - 00000000 ____D C:\Users\Все пользователи\Windows
2017-06-17 08:39 - 2017-03-18 22:34 - 00000000 ____D C:\ProgramData\Windows
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Пароли на RDP, конечно, смените.

19 июня, 2017

Да, упакуйте вместе с парой небольших поврежденных офисных документов и прикрепите.

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Fixlog.txt

зашифрованные файлы + требования.rar

19 июня, 2017

С расшифровкой помочь не сможем.

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

19 июня, 2017

Списались с разработчиками шифратора, сначала они просили 47000 руб., смогли договориться до 25000 руб. (что смутило, потом стало всё понятно). Т.к. у нас ситуация безвыходная (зашифровались ВСЕ базы 1С) и никто не может помочь - пришлось перевести деньги... В общем это кидалово чистой воды, сразу после перевода перестали выходить на связь ! Не ведитесь ! Будем ждать что кто-то найдёт тело, может ребята смогут всё таки что-то придумать.

А вот что мне ответили в dr.web:

Зашифровано одним из вариантов Trojan.Encoder.10302 v2+

На данный момент расшифровка нашими силами видится невозможной.

Восстановление файлов возможно только из резервных/теневых копий если велось их создание.

Основная рекомендация: обратиться с заявлением в территориальное управление полиции;

по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.

Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.

Итого: хранить зашифрованные файлы - смысл есть; держать этот тикет открытым - нет:

если мы получим какую-либо практически полезную для расшифровки ваших файлов информацию, мы сами переоткроем этот запрос и сообщим вам.

Это отслеживается в т.ч и для закрытых запросов по энкодерной тематике.

19 июня, 2017

Основная рекомендация: обратиться с заявлением в территориальное управление полиции; по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.

Вот с этим полностью согласен, можете ещё почитать:

Мой компьютер заражен вирусом, я хочу обратиться в полицию (для жителей России).

Будем ждать что кто-то найдёт тело, может ребята смогут всё таки что-то придумать.

Надо не тело найти, а ключи для дешифровки, а для этого надо бы сначала автора найти. А для того чтобы на него завели дело и стали искать надо написать заявления в полицию (пока не будет на них заявления, никто искать не будет).

И более удобное для запоминание названия вашего шифровальщика GlobeImposter 2.0.

20 июня, 2017

Есть образцы файлов, зашифрованный и исходный этим шифровальщиком. Есть ли шанс дешифровать?

20 июня, 2017

@Никита Ильин,

1) Не пишите в чужой теме, а создайте свою.

2) Нет, это никак не поможет.

29 июня, 2017

Всё таки прислали дешифратор, надеюсь поможет с решением проблем у других пользователей !

decrypt.rar

Изменено 29 июня, 2017 пользователем Varesh

30 июня, 2017

1. Из этой ветки скачивать вложение могут только пользователи определенных групп.

2. Другим не поможет, т.к. это только для Вашей конкретной системы.

30 июня, 2017

Строгое предупреждение от модератора Soft

Ознакомитесь с правилами раздела и впредь прошу не нарушать их.

30 июня, 2017

2. Другим не поможет, т.к. это только для Вашей конкретной системы.

Я думал вы сможете хотя бы шифр подобрать... Ну чем мог тем помог...

Для тех кому всё таки интересно ссылка ниже

Сообщение от модератора Soft

Тема закрыта.

Изменено 21 июля, 2017 пользователем Soft

globeimposter 2.0 Шифровальщик зашифровал файлы добавив расширение .nVhcrypt

Рекомендуемые сообщения

Varesh

Sandor

Varesh

regist

Varesh

regist

Никита Ильин

regist

Varesh

Sandor

vlalex

Varesh

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum