Поймали шифровальщик .Gust

[Dmitriy2018]

Добрый день! Еще вчера все работало, а сегодня утром обнаружили последствия работы шифровальщика..

CollectionLog-2018.07.09-09.57.zip

how_to_back_files.7z

[Sandor]

Здравствуйте!

 

Логи сделаны в терминальной сессии, сделайте их из консоли.

 

Пару зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

[regist]

1) Логи сделаны в терминальной сессии, сделайте их из консоли.

2) how_to_back_files.7z - внутри пустой файл, но скорее всего с рассшифровкой помочь не сможем. Только дочистить следы.

[Dmitriy2018]

Логи переснял

CollectionLog-2018.07.09-13.59.zip

how_to_back_files.7z

зашифрованные файлы.7z

[Sandor]

Это GlobeImposter 2.0, расшифровки нет.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '');
 QuarantineFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', '');
 QuarantineFile('C:\Users\Administrator.VMS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '64');
 DeleteFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', '32');
 DeleteFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', '64');
 DeleteFile('C:\Users\Administrator.VMS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'BrowserUpdateCheck');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

После перезагрузки, выполните такой скрипт:

 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Ulvi]

добрый день.

 

Какие то новости по шифровальщику уже есть? Можно ли восстановить файлы?

[thyrex]

@Ulvi,

 

1. Нагло врываться в чужую тему не стоит

2. Расшифровки ни одной из версий GlobeImposter 2 нет