Перейти к содержанию

[РЕШЕНО] globeimposter 2.0

satone667
 Поделиться

Рекомендуемые сообщения

satone667

satone667

Опубликовано
Опубликовано

Добрый день, поймали сегодня. Расширения файлов *.[dsupport@protonmail.com], сообщение "How to restore your files.hta". В аттаче файл шифрованный и нешифрованный. Есть и exe-ник вируса. Чистка и удаление, способ заражения не интересует, Интересует потенциальная возможность расшифровки.

1.zip

thyrex

thyrex

Опубликовано
Опубликовано

Расшифровки ни одной из версий GlobeImposter 2 нет.

 

Просьба: сообщение вымогателей для связи прикрепите в архиве к следующему сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

Читску мусора выполнять не будем?

satone667

satone667

Опубликовано
  • Автор
Опубликовано

Обязательно почищу, только что конкретно? Если Вы про очистку от вирусов, то ни KVRT, ни cureit вирус не определяет, я его вручную нашел.

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
IFEO\Utilman.exe: [Debugger] C:\windows\system32\cmd.exe
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\pdm\Application Data\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\NetworkService\Local Settings\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\NetworkService\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\LocalService\Local Settings\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\LocalService\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\Default User\Главное меню\Программы\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\Default User\Главное меню\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\Default User\Local Settings\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\Default User\Local Settings\Application Data\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\Default User\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\Default User\Application Data\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\arial\Мои документы\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\arial\Главное меню\Программы\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\arial\Главное меню\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\arial\Local Settings\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\arial\Local Settings\Application Data\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\arial\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\arial\Application Data\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\All Users\Главное меню\Программы\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\All Users\Главное меню\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\All Users\Application Data\How to restore your files.hta
2018-07-15 13:21 - 2018-07-15 13:21 - 000004192 _____ C:\Documents and Settings\pdm\Local Settings\Application Data\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Гость\Local Settings\Application Data\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Гость\Application Data\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Администратор\Мои документы\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Администратор\Главное меню\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Администратор\Local Settings\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Администратор\Local Settings\Application Data\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Администратор\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Администратор\Application Data\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\satone\Мои документы\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\satone\Главное меню\Программы\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\satone\Главное меню\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\satone\Local Settings\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\satone\Local Settings\Application Data\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\satone\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\satone\Application Data\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\pdm\Рабочий стол\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\pdm\Мои документы\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\pdm\Главное меню\Программы\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\pdm\Главное меню\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\pdm\Local Settings\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\pdm\How to restore your files.hta
2018-07-15 13:14 - 2018-07-15 13:14 - 000004192 _____ C:\Documents and Settings\Гость\Рабочий стол\How to restore your files.hta
2018-07-15 13:14 - 2018-07-15 13:14 - 000004192 _____ C:\Documents and Settings\Гость\Мои документы\How to restore your files.hta
2018-07-15 13:14 - 2018-07-15 13:14 - 000004192 _____ C:\Documents and Settings\Гость\Главное меню\Программы\How to restore your files.hta
2018-07-15 13:14 - 2018-07-15 13:14 - 000004192 _____ C:\Documents and Settings\Гость\Главное меню\How to restore your files.hta
2018-07-15 13:14 - 2018-07-15 13:14 - 000004192 _____ C:\Documents and Settings\Гость\Local Settings\How to restore your files.hta
2018-07-15 13:14 - 2018-07-15 13:14 - 000004192 _____ C:\Documents and Settings\Гость\How to restore your files.hta
2018-07-15 12:37 - 2018-07-15 12:37 - 000004192 _____ C:\Program Files\How to restore your files.hta
2018-07-15 12:37 - 2018-07-15 00:57 - 000054272 _____ C:\Documents and Settings\pdm\Мои документы\svchost.exe
2018-07-15 12:37 - 2018-07-15 00:57 - 000054272 _____ C:\Documents and Settings\pdm\Application Data\svchost.exe.asdasd
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:093F867E [116]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:C489C9E9 [194]
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
  • 11 месяцев спустя...
thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • rashid47
      Шифровальщик *.system32x
      Автор rashid47
      Шифровальщик зашифровал файлы, сделал расширение system32x. Виндовс переустановили, так как нужно было работать. Помогите с расшифровкой 
      Новая папка (2).rar
    • Alexey2020
      как дешифровать файлы .crypted
      Автор Alexey2020
      Доброго времени!
      Просьба помочь какой утилитой можно дешифровать испорченные вирусом файлы?
      Просканировал утилитой Virus Removal Tool...угроз не обнаружилось...
    • Андрей Кривуля
      DOCM формат файлов. Восстановление системы из образа до заражения.
      Автор Андрей Кривуля
      Здравствуйте, уважаемая поддержка. 
       
      Сегодня столкнулся с этой проблемой, когда все файлы на жестком диске переименовались и в окончании стоит .DOCM. 
       
      Проверил систему на вирусы - как написано в инструкции.
       
      Затем установил SpyHack 5 и удалил с помощью него все эти шифровальщики или что там может быть =) Было найдено 150 троянов, в том числе 2 шифровальщика под именем malware Globeimposter и .DOCM Ransomware
       
      Все почистил, удалил. Нашел источник заражения - удалил. Был файл с торрента - программы, которую хотел попробовать перед тем, как покупать. 
       
      Затем запустил AutoLogger и сформировал отчет, который прикрепил сюда. 
       
      Теперь вопросы =)
       
      1. Могу ли я восстановить утерянную информацию с помощью Data Recovery Pro ? Я так понял, в дешифровке 1тб информации нет смысла? =) 
      2. Если у меня был образ системы на жестком диске, который подвергся шифрованию - WindowsImageBackup папка, из которой я обычно восстанавливаю систему в прежний вид со всем установленным софтом - есть ли риск заражения DOCM снова, если я сейчас восстановлю с этого образа систему? Просто я проверил эту папку, там DOCM нет, да и Ведь образ создавался задолго до заражения. Или все-таки лучше установить заново все и отформатировать все жесткие диски? =)
      3. Будет ли достаточно SpyHack 5 для защиты системы от новых шифровальщиков, если вдруг их подхвачу? Просто самое интересное, что за 10 лет работы - это первый случай со мной. 
      4. Как защитить систему и избежать нового заражения? =) 

      Благодарю и хорошего Вам дня. 
      С Уважением, Андрей.
      CollectionLog-2019.06.23-13.17.zip
    • Peter R
      Шифровальщик. DOCM
      Автор Peter R
      Добрый день,
      подвергся атаке Trojan.Encoder.11539, но это не точно.
      Краткая хронология:
      - зависание ПК и активная работа хдд насторожила не сразу;
      - перезагрузка и проверка Kaspersky Total Security(тестовая версия);
           - HEUR:Trojan.Win32.Agent.gen 
           - UDS:Backdoor.MSIL.Androm.gen 
           - HackTool.Win32.KMSAuto.i 
      - проверка CureIT:
           - угроза HOST, к сожалению кликнул не посмотрев на вылечить и т.п.;
           - повторная проверка была уже чистой;
      - от 30-50% файлов зашифровано;
       
      Скрипт выдал ошибку при работе.
      Error #5 - Invalid proocedure call or argement
      Касперский был выключен и закрыт при проверке.
       
      Если это действительно 11539, то дешифровка невозможна как я понял?
      И главным становится вопрос - почему это произошло, как произошло заражение? Если логи помогут вам, я буду очень благодарен за ответ.
      Спасибо.
    • sketchpack21
      Файлы зашифрованы .DOCM
      Автор sketchpack21
      Добрый день. Включил компьютер, все файлы с расширением DOCM, в каждой папке лежит фаил Restore-My-Files , восстановить не надеюсь, интересует несколько вопросов:

      Как можно удалить вирус? (просканировал касперским, скрин прикрепляю) Мог ли он получить доступ к личным данным (паролям например)? Хочу переустановить систему, если загрузиться с установочной флешки и форматировать все диски перед установкой, будет ли этого достаточно для полного его удаления? Нахожусь в студии с общим интернетом от роутера, может ли вирус попасть на другие компьютеры подключенные к этой сети? И попадает ли вирус на флешки подключенные к зараженному компьютеру( на флешке файлы зашифрованы вирусом)

      Спасибо! 

      CollectionLog-2019.06.21-17.57.zip

×
×
  • Создать...