globeimposter 2.0 Файлы зашифровались .pscrypt

[Nikol]

Сегодня утром обнаружили зашифрованные файлы. с припиской .pscrypt в каждой папке файл о том куда внести деньги в гривнах.

CollectionLog-2017.06.22-17.03.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Nikol]

Отсканировал интересно откуда оно полезло в почте подозрительных сообщений и файлов нет.

FRST.7z

[thyrex]

Наверняка был вход по RDP, пароль от которого был простой и его успешно сбрутили.

 

Не вижу в логах примеров шифрованных файлов и сообщений вымогателя для связи. Прикрепите в архиве (лучше файлы doc или docx)

[Nikol]

У нас сервер к которому подключение по RDP только из локалки, к нему нет доступа на подключение из вне. Прикрепил файл docx и файл требований.

файлы.7z

[thyrex]

Ну значит сбрутили компьютер в локалке. Пытайте владельцев компьютеров, имеющих доступ к серверу.

Или кто-то из них что-то скачал и запустил.

[onmadmin]

У нас такая же ситуация. Никто ничего не скачивал и не запускал. 

[thyrex]

@onmadmin,если Вы еще не заметили, то Ваша тема https://forum.kasperskyclub.ru/index.php?showtopic=56146

 

Встревать в чужую тему равносильно тому, что Вы вламываетесь без спроса в чужую квартиру.

[Nikol]

что нибудь известно по этому шифровальщику?

[thyrex]

Судя по информации от коллег с зарубежного форума - это GlobeImposter 2, который расшифровать невозможно.

[Nikol]

Прям совсем никак? и придется и платить?

а как убрать его из системы? Всем чем можно прогнал и ничего не нашел.

[thyrex]

В логах шифровальщик не засветился.

 

Можно сделать еще дополнительную проверку.

 

Сделайте лог полного сканирования МВАМ

[Nikol]

Запустил на другом компьютере Autologger  (компьютер на котором находится вирутальный диск, на котором и были обнаружены перекодированные файлы) и он просто закрылся через 5 минут работы ни выдав ни логов ничего.

[regist]

 

 

он просто закрылся через 5 минут работы ни выдав ни логов ничего.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
  clearlog;
  PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
  AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
  SaveLog(PathAutoLogger+'report3.log');
    if FolderIsEmpty(PathAutoLogger+'CrashDumps')
        then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
        else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
        else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
  AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников http://rghost.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ и дайте на него ссылку в Вашей теме.

Выполнять в AVZ, который находится в папке Автологера (который закрылся через 5 минут работы).