Шифровальщик sambuka_star@aol.com

[Ershov 0]

Зашифрованы данные на сервере и всех компьютерах в сети с каталогом с права общего доступа. Антивирус установлен все базы обновлены.

Файлы имеют вид - "C:\Родин.rtf.SAMBUKA

"Сообщение от злоумышленников лежит в файле "HOW_TO_BACK_FILES.html", в каждой папке и содержит:":

 

YOUR PERSONAL ID

46 B8 17 92 9D 0C 73 68 BB 00 A8 3A C6 4A 31 D6

77 C6 79 C0 DD E2 4A CB 49 57 BC 8A 38 C4 6B 13

A4 6D 67 4C 15 16 73 D2 1B 38 21 C8 4E 50 F5 AC

98 BA 08 41 E7 FD 7F 48 07 F3 BC C1 87 D0 46 81

9A A8 A4 E6 07 D4 57 56 3A 35 D0 70 50 8D F2 B4

15 F6 AC 1A E3 5B 00 0C 43 8E 56 1A 4D 5B 75 42

0F 15 C4 83 A8 BB 57 B7 33 97 E4 16 04 DC 01 22

F0 48 F3 36 FE DD 9F 51 E5 E6 AC 29 55 72 5A 49

78 09 62 52 48 94 87 54 97 3E 6B 1E E7 22 A8 79

D6 B2 D5 D0 E2 4C 60 B8 BD AD F3 E0 1C 84 2A 9B

24 FD C1 4D F4 54 E9 7F 76 EC 68 C5 1F C0 EB ED

9F 05 5D D7 5A C5 01 99 FC E0 C9 B3 82 D3 A5 08

AD AD 29 8F 7A 88 70 93 50 49 47 47 5C 74 2A 67

64 F6 6C F1 A0 E4 FE F4 3D AA 5B 61 53 78 C7 7A

67 15 7E 69 DA 64 C1 3F 7D EB 4D 1F EE 00 B2 28

6F 97 B1 E6 85 2E 20 AB A1 DC 74 36 A8 54 47 F4

 

 

 

ENGLISH

☣ YOUR FILES ARE ENCRYPTED! ☣ TO DECRYPT, FOLLOW THE INSTRUCTIONS BELOW.

To recover data you need decryptor.

To get the decryptor you should:

Send 1 crypted test image or text file or document to sambuka_star@aol.com

(Or alternate mail sambuka_star@india.com)

In the letter include your personal ID (look at the beginning of this document).

We will give you the decrypted file and assign the price for decryption all files

 

After we send you instruction how to pay for decrypt and after payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder.

 

MOST IMPORTANT!!!

You can not decrypt your files cheaper than we offer you. You can refer to other services that promise to decrypt you, BUT IT WILL BE MORE EXPENSIVE. No one, except sambuka_star@aol.com, will decrypt your files with a guarantee 100%.

• Only sambuka_star@aol.com can with a guarantee decrypt your files
• Do not trust anyone besides sambuka_star@aol.com
• Antivirus programs can delete this document and you can not contact us later.
• Attempts to self-decrypting files will result in the loss of your data
• Decoders other users are not compatible with your data, because each user's unique encryption key

CollectionLog-2018.04.03-12.33.zip

Изменено 3 апреля, 2018 пользователем regist
спрятал под спойлер

[Sandor 1 253]

Здравствуйте!

 

лежит в файле "HOW_TO_BACK_FILES.html"

Этот файл вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

 

Впечатление такое, что не только этот вымогатель побывал в системе.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\MinerGate\minergate.exe', '');
 QuarantineFile('C:\Users\Test\AppData\Roaming\bild.exe.exe', '');
 QuarantineFile('C:\Users\Test\AppData\Roaming\Info.hta', '');
 DeleteFile('C:\Program Files\MinerGate\minergate.exe', '32');
 DeleteFile('C:\Users\Test\AppData\Roaming\bild.exe.exe', '32');
 DeleteFile('C:\Users\Test\AppData\Roaming\Info.hta', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MinerGateGui');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-4050915287-1191641421-694033985-1005\Software\Microsoft\Windows\CurrentVersion\Run', 'bild.exe.exe');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-4050915287-1191641421-694033985-1005\Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Test\AppData\Roaming\Info.hta');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Ershov 0]

/

CollectionLog-2018.04.03-14.34.zip

03.04.7z

[Sandor 1 253]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Ershov 0]

KLAN-7860037990

,

Addition.txt

FRST.txt

Shortcut.txt

[Sandor 1 253]

Кроме KLAN желательно еще сам ответ увидеть.

 

К сожалению, тип вымогателя GlobeImposter 2.0 и расшифровки нет.

 

Будет только очистка следов:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  2018-04-03 01:36 - 2018-04-03 01:36 - 000005465 _____ C:\Users\Default\HOW_TO_BACK_FILES.html
  2018-04-03 01:35 - 2018-04-03 01:35 - 000005465 _____ C:\Users\desyatovas\HOW_TO_BACK_FILES.html
  2018-04-03 01:35 - 2018-04-03 01:35 - 000005465 _____ C:\Users\desyatovas\Downloads\HOW_TO_BACK_FILES.html
  2018-04-03 01:35 - 2018-04-03 01:35 - 000005465 _____ C:\Users\desyatovas\Documents\HOW_TO_BACK_FILES.html
  2018-04-03 01:35 - 2018-04-03 01:35 - 000005465 _____ C:\Users\desyatovas\Desktop\HOW_TO_BACK_FILES.html
  2018-04-03 01:09 - 2018-04-03 01:09 - 000005465 _____ C:\Users\ershovan\AppData\Local\Temp\HOW_TO_BACK_FILES.html
  2018-04-03 01:02 - 2018-04-03 01:02 - 000005465 _____ C:\Users\ershovan\Desktop\HOW_TO_BACK_FILES.html
  2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\polivodape\HOW_TO_BACK_FILES.html
  2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\polivodape\Downloads\HOW_TO_BACK_FILES.html
  2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\polivodape\Documents\HOW_TO_BACK_FILES.html
  2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\polivodape\Desktop\HOW_TO_BACK_FILES.html
  2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\MSSQL$UCSQL\HOW_TO_BACK_FILES.html
  2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\kud\HOW_TO_BACK_FILES.html
  2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\kud\Downloads\HOW_TO_BACK_FILES.html
  2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\kud\Documents\HOW_TO_BACK_FILES.html
  2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\kud\Desktop\HOW_TO_BACK_FILES.html
  2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\ershovan\HOW_TO_BACK_FILES.html
  2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\ershovan\Downloads\HOW_TO_BACK_FILES.html
  2018-04-03 01:01 - 2018-04-03 01:01 - 000005465 _____ C:\Users\ershovan\Documents\HOW_TO_BACK_FILES.html
  2018-04-03 01:00 - 2018-04-03 01:00 - 000005465 _____ C:\Users\Public\HOW_TO_BACK_FILES.html
  2018-04-03 01:00 - 2018-04-03 01:00 - 000005465 _____ C:\Users\Public\Downloads\HOW_TO_BACK_FILES.html
  2018-04-03 01:00 - 2018-04-03 01:00 - 000005465 _____ C:\Users\Public\Documents\HOW_TO_BACK_FILES.html
  2018-04-03 01:00 - 2018-04-03 01:00 - 000005465 _____ C:\Users\Public\Desktop\HOW_TO_BACK_FILES.html
  2018-04-03 01:00 - 2018-04-03 01:00 - 000005465 _____ C:\Users\prozhorinsv\HOW_TO_BACK_FILES.html
  2018-04-03 01:00 - 2018-04-03 01:00 - 000005465 _____ C:\Users\prozhorinsv\Downloads\HOW_TO_BACK_FILES.html
  2018-04-03 01:00 - 2018-04-03 01:00 - 000005465 _____ C:\Users\prozhorinsv\Documents\HOW_TO_BACK_FILES.html
  2018-04-03 01:00 - 2018-04-03 01:00 - 000005465 _____ C:\Users\prozhorinsv\Desktop\HOW_TO_BACK_FILES.html
  2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\softsib\Downloads\HOW_TO_BACK_FILES.html
  2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\softsib\Documents\HOW_TO_BACK_FILES.html
  2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\softsib\Desktop\HOW_TO_BACK_FILES.html
  2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\softsib\AppData\Local\Temp\HOW_TO_BACK_FILES.html
  2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\ShvetsovAV\HOW_TO_BACK_FILES.html
  2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\ShvetsovAV\Downloads\HOW_TO_BACK_FILES.html
  2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\ShvetsovAV\Documents\HOW_TO_BACK_FILES.html
  2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\ShvetsovAV\Desktop\HOW_TO_BACK_FILES.html
  2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\ShvetsovAV\AppData\Roaming\HOW_TO_BACK_FILES.html
  2018-04-03 00:59 - 2018-04-03 00:59 - 000005465 _____ C:\Users\ShvetsovAV\AppData\Local\Temp\HOW_TO_BACK_FILES.html
  2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\uk\Documents\HOW_TO_BACK_FILES.html
  2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\uk\Desktop\HOW_TO_BACK_FILES.html
  2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\ucs\HOW_TO_BACK_FILES.html
  2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\ucs\Downloads\HOW_TO_BACK_FILES.html
  2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\ucs\Documents\HOW_TO_BACK_FILES.html
  2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\ucs\Desktop\HOW_TO_BACK_FILES.html
  2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\ucs\AppData\Local\Temp\HOW_TO_BACK_FILES.html
  2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\Test\HOW_TO_BACK_FILES.html
  2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\Test\Downloads\HOW_TO_BACK_FILES.html
  2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\Test\Documents\HOW_TO_BACK_FILES.html
  2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\Test\Desktop\HOW_TO_BACK_FILES.html
  2018-04-03 00:58 - 2018-04-03 00:58 - 000005465 _____ C:\Users\softsib\HOW_TO_BACK_FILES.html
  2018-04-03 00:57 - 2018-04-03 00:57 - 000005465 _____ C:\Users\VLM\AppData\Roaming\HOW_TO_BACK_FILES.html
  2018-04-03 00:57 - 2018-04-03 00:57 - 000005465 _____ C:\Users\VLM\AppData\Local\Temp\HOW_TO_BACK_FILES.html
  2018-04-03 00:57 - 2018-04-03 00:57 - 000005465 _____ C:\Users\uk\HOW_TO_BACK_FILES.html
  2018-04-03 00:57 - 2018-04-03 00:57 - 000005465 _____ C:\Users\uk\Downloads\HOW_TO_BACK_FILES.html
  2018-04-03 00:56 - 2018-04-03 00:56 - 000005465 _____ C:\Users\Администратор\AppData\Local\Temp\HOW_TO_BACK_FILES.html
  2018-04-03 00:56 - 2018-04-03 00:56 - 000005465 _____ C:\Users\VLM\HOW_TO_BACK_FILES.html
  2018-04-03 00:56 - 2018-04-03 00:56 - 000005465 _____ C:\Users\VLM\Downloads\HOW_TO_BACK_FILES.html
  2018-04-03 00:56 - 2018-04-03 00:56 - 000005465 _____ C:\Users\VLM\Documents\HOW_TO_BACK_FILES.html
  2018-04-03 00:56 - 2018-04-03 00:56 - 000005465 _____ C:\Users\VLM\Desktop\HOW_TO_BACK_FILES.html
  2018-04-03 00:55 - 2018-04-03 00:55 - 000005465 _____ C:\Users\Администратор\HOW_TO_BACK_FILES.html
  2018-04-03 00:55 - 2018-04-03 00:55 - 000005465 _____ C:\Users\Администратор\Downloads\HOW_TO_BACK_FILES.html
  2018-04-03 00:55 - 2018-04-03 00:55 - 000005465 _____ C:\Users\Администратор\Documents\HOW_TO_BACK_FILES.html
  2018-04-03 00:55 - 2018-04-03 00:55 - 000005465 _____ C:\Users\Администратор\Desktop\HOW_TO_BACK_FILES.html
  2018-04-03 00:49 - 2018-04-03 00:49 - 000005465 _____ C:\Users\Все пользователи\HOW_TO_BACK_FILES.html
  2018-04-03 00:49 - 2018-04-03 00:49 - 000005465 _____ C:\Users\HOW_TO_BACK_FILES.html
  2018-04-03 00:49 - 2018-04-03 00:49 - 000005465 _____ C:\ProgramData\HOW_TO_BACK_FILES.html
  2018-04-02 23:51 - 2018-04-02 23:51 - 000005465 _____ C:\HOW_TO_BACK_FILES.html
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Ershov 0]

А запрос на расшифровку можно создать?

[Sandor 1 253]

желательно еще сам ответ увидеть

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

запрос на расшифровку можно создать?

Да, можно.

[Ershov 0]

Fixlog.txt нет такого файла

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

Изменено 3 апреля, 2018 пользователем Ershov

[Sandor 1 253]

Fixlog.txt нет такого файла

Значит Вы не выполнили фикс из сообщения №6

[Ershov 0]

Ошибка

[Sandor 1 253]

Будьте внимательны. Это скрипт для программы FRST. Перечитайте еще раз инструкцию под скриптом.

[Ershov 0]

Есть еще 2 зараженных сервера информация на них не нужна чем их проверить пролечить? 

FRST.txt

Изменено 3 апреля, 2018 пользователем Ershov

[Sandor 1 253]

скрипт для программы FRST

Получилось?

 

еще 2 зараженных сервера

Для каждого создайте отдельную тему и прикрепите свой CollectionLog.

[Ershov 0]

как оформить расшифровку?