Перейти к содержанию

Шифровальщик {FrankViskerson@mailfence.com} ID[FC349711A51A].locked


Рекомендуемые сообщения

Добрый день.
Поймали сегодня на сервере бухгалтерии неприятность.
Просим помощи в расшифровке.

 

Пострадали локальные файлы сервера и сетевые папки
Во вложении файлы FRST.txt, Addition.txt, 2 зашифрованных файла и файл с требованиями (Read Instructions.txt)

locked.rar

Ссылка на комментарий
Поделиться на другие сайты

В этих папках покажите пожалуйста, содержимое:

2024-09-02 04:34 - 2024-09-02 04:55 - 000000000 ____D C:\Users\Администратор.WIN-E8K19VQDGF1\AppData\Roaming\Big Angry Dog
2024-09-02 04:34 - 2024-09-02 04:34 - 000000000 ____D C:\Program Files\Hardwipe

известны вам эти папки?

 

Ссылка на комментарий
Поделиться на другие сайты

Заархивируйте данные папки с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание данных архивов в личное сообщение. ЛС.

+ добавьте, пожалуйста, все логи обнаружения угроз из установленного антивируса Касперского.

Ссылка на комментарий
Поделиться на другие сайты

18 минут назад, safety сказал:

2024-09-02 04:34 - 2024-09-02 04:34 - 000000000 ____D C:\Program Files\Hardwipe

Возможно, это инструмент безопасного удаления файлов.

https://www.securitylab.ru/software/410330.php

вот только кем был установлен и с какой целью, мог быть установлен и злоумышленниками.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Архив с файлами отправил в ЛС.
+ ссылку на логи из \Windows\System32\winevt\Logs
(или они в другом месте хранятся?)

 

По софту скорее склонен ко второму варианту. Время создания файлов ночное. Никто не мог из сотрудников быть на сервере. Да еще и под администратором

Изменено пользователем ZiV
уточнение
Ссылка на комментарий
Поделиться на другие сайты

12 минут назад, ZiV сказал:

По софту скорее склонен ко второму варианту. Время создания файлов ночное. Никто не мог из сотрудников быть на сервере. Да еще и под администраторо

HardWipe  - легальный инструмент для безопасного удаления файлов. Безопасное удаление, здесь скорее всего подразумевается, что восстановить после такого удаления невозможно.

https://www.virustotal.com/gui/file/eeb73374f9fc78ba84863cd3da635a339ca2e6b2d99a2fae4ae76817737b8ee2/details

злоумышленники часто используют подобный легальный софт.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, safety сказал:

HardWipe  - легальный инструмент для безопасного удаления файлов. Безопасное удаление, здесь скорее всего подразумевается, что восстановить после такого удаления невозможно.

https://www.virustotal.com/gui/file/eeb73374f9fc78ba84863cd3da635a339ca2e6b2d99a2fae4ae76817737b8ee2/details

злоумышленники часто используют подобный легальный софт.

Проще говоря, "денежку не заплатишь - можем все тебе удалить, у нас и софт уже готов" ?

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, safety сказал:

Может быть и так. Или просто чтобы не было возможности восстановить то, что они зашифровали.

На данный момент есть перспектива расшифровки?

Ссылка на комментарий
Поделиться на другие сайты

Вчера, 01.09.2024 23:12:19    System Memory    Не обработано    Лечение невозможно    Trojan.Multi.Accesstr.aum    Пропущено    Файл        System Memory    Не обработано    Троянское приложение    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь

 

Тип события: Обнаружен вредоносный объект
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь)
Компонент: Поиск вредоносного ПО
Описание результата: Обнаружено
Тип: Троянское приложение
Название: Trojan.Multi.Accesstr.aum
Степень угрозы: Точно
Точность: Высокая
Тип объекта: Файл
Название объекта: System Memory
Причина: Хеш
Дата выпуска баз: 27.11.2023 0:40:00

-------------------

данная угроза наблюдалась и раньше до момента шифрования.

 

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

5 минут назад, safety сказал:

Вчера, 01.09.2024 23:12:19    System Memory    Не обработано    Лечение невозможно    Trojan.Multi.Accesstr.aum    Пропущено    Файл        System Memory    Не обработано    Троянское приложение    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь

 

Тип события: Обнаружен вредоносный объект
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь)
Компонент: Поиск вредоносного ПО
Описание результата: Обнаружено
Тип: Троянское приложение
Название: Trojan.Multi.Accesstr.aum
Степень угрозы: Точно
Точность: Высокая
Тип объекта: Файл
Название объекта: System Memory
Причина: Хеш
Дата выпуска баз: 27.11.2023 0:40:00

-------------------

данная угроза наблюдалась и раньше до момента шифрования.

 

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

WIN-E8K19VQDGF1_2024-09-02_13-15-15_v4.99.1v x64.7z

Ссылка на комментарий
Поделиться на другие сайты

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

 

он еще активен, в процессах:

время и  дата запуска: 01:43:26 [2024.09.02]

на VT не был еще проверен.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

6 минут назад, safety сказал:

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

Отправил в ЛС

Ссылка на комментарий
Поделиться на другие сайты

ок, ответил вам.

 

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки.


 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\VSS\WRITERS\APPLICATION\PES.EXE
;---------command-block---------
delall %SystemRoot%\VSS\WRITERS\APPLICATION\PES.EXE
apply

czoo
QUIT

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

программу:

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

деинсталлируйте через установку/удаление программ.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Restinn
      Автор Restinn
      Добрый день. Помогите в расшифровке. Ночью 06.08 все зашифровал и все. В инете никакой инфы нет
      Касперский не был установлен
      Прикрепил файлы и текстовый док 
      Новая папка.rar BlackField_ReadMe.txt
    • Алексей Новиков
      Автор Алексей Новиков
      Добрый день. Помогите в расшифровке  Прикрепил файлы и текстовый док 
      Fixlog.txt
      8.3.19.1522.rar
    • frozzen
      Автор frozzen
      Сеть подверглась атаке шифровальщика ZEPPELIN. 
      Все файлы зашифрованы, в том числе многие системные (на некоторых компах перестали работать Офисы, слетели профили аккаунтов почтовых программ).
      Есть ли какие-нибудь инструменты для восстановления.. и надежда?
      В архиве файл с требованиями и пара зашифрованных файлов.
      files2.zip
    • 08Sergey
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
×
×
  • Создать...