procrustes Шифровальщик {FrankViskerson@mailfence.com} ID[FC349711A51A].locked

[ZiV]

Добрый день.
Поймали сегодня на сервере бухгалтерии неприятность.
Просим помощи в расшифровке.

 

Пострадали локальные файлы сервера и сетевые папки
Во вложении файлы FRST.txt, Addition.txt, 2 зашифрованных файла и файл с требованиями (Read Instructions.txt)

locked.rar

[safety]

В этих папках покажите пожалуйста, содержимое:

2024-09-02 04:34 - 2024-09-02 04:55 - 000000000 ____D C:\Users\Администратор.WIN-E8K19VQDGF1\AppData\Roaming\Big Angry Dog
2024-09-02 04:34 - 2024-09-02 04:34 - 000000000 ____D C:\Program Files\Hardwipe

известны вам эти папки?

 

[ZiV]

Нет, данные папки совершенно не знакомы, равно как и данный софт

[safety]

Заархивируйте данные папки с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание данных архивов в личное сообщение. ЛС.

+ добавьте, пожалуйста, все логи обнаружения угроз из установленного антивируса Касперского.

[safety]

18 минут назад, safety сказал:

2024-09-02 04:34 - 2024-09-02 04:34 - 000000000 ____D C:\Program Files\Hardwipe

Возможно, это инструмент безопасного удаления файлов.

https://www.securitylab.ru/software/410330.php

вот только кем был установлен и с какой целью, мог быть установлен и злоумышленниками.

Изменено 2 сентября пользователем safety

[ZiV]

Архив с файлами отправил в ЛС.
+ ссылку на логи из \Windows\System32\winevt\Logs
(или они в другом месте хранятся?)

 

По софту скорее склонен ко второму варианту. Время создания файлов ночное. Никто не мог из сотрудников быть на сервере. Да еще и под администратором

Изменено 2 сентября пользователем ZiV
уточнение

[safety]

12 минут назад, ZiV сказал:

По софту скорее склонен ко второму варианту. Время создания файлов ночное. Никто не мог из сотрудников быть на сервере. Да еще и под администраторо

HardWipe  - легальный инструмент для безопасного удаления файлов. Безопасное удаление, здесь скорее всего подразумевается, что восстановить после такого удаления невозможно.

https://www.virustotal.com/gui/file/eeb73374f9fc78ba84863cd3da635a339ca2e6b2d99a2fae4ae76817737b8ee2/details

злоумышленники часто используют подобный легальный софт.

Изменено 2 сентября пользователем safety

[ZiV]

1 минуту назад, safety сказал:

HardWipe  - легальный инструмент для безопасного удаления файлов. Безопасное удаление, здесь скорее всего подразумевается, что восстановить после такого удаления невозможно.

https://www.virustotal.com/gui/file/eeb73374f9fc78ba84863cd3da635a339ca2e6b2d99a2fae4ae76817737b8ee2/details

злоумышленники часто используют подобный легальный софт.

Проще говоря, "денежку не заплатишь - можем все тебе удалить, у нас и софт уже готов" ?

[safety]

Может быть и так. Или просто чтобы не было возможности восстановить то, что они зашифровали.

[ZiV]

1 минуту назад, safety сказал:

Может быть и так. Или просто чтобы не было возможности восстановить то, что они зашифровали.

На данный момент есть перспектива расшифровки?

[safety]

Вчера, 01.09.2024 23:12:19    System Memory    Не обработано    Лечение невозможно    Trojan.Multi.Accesstr.aum    Пропущено    Файл        System Memory    Не обработано    Троянское приложение    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь

 

Тип события: Обнаружен вредоносный объект
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь)
Компонент: Поиск вредоносного ПО
Описание результата: Обнаружено
Тип: Троянское приложение
Название: Trojan.Multi.Accesstr.aum
Степень угрозы: Точно
Точность: Высокая
Тип объекта: Файл
Название объекта: System Memory
Причина: Хеш
Дата выпуска баз: 27.11.2023 0:40:00

-------------------

данная угроза наблюдалась и раньше до момента шифрования.

 

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 2 сентября пользователем safety

[ZiV]

5 минут назад, safety сказал:

Вчера, 01.09.2024 23:12:19    System Memory    Не обработано    Лечение невозможно    Trojan.Multi.Accesstr.aum    Пропущено    Файл        System Memory    Не обработано    Троянское приложение    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь

 

Тип события: Обнаружен вредоносный объект
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь)
Компонент: Поиск вредоносного ПО
Описание результата: Обнаружено
Тип: Троянское приложение
Название: Trojan.Multi.Accesstr.aum
Степень угрозы: Точно
Точность: Высокая
Тип объекта: Файл
Название объекта: System Memory
Причина: Хеш
Дата выпуска баз: 27.11.2023 0:40:00

-------------------

данная угроза наблюдалась и раньше до момента шифрования.

 

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

WIN-E8K19VQDGF1_2024-09-02_13-15-15_v4.99.1v x64.7z

[safety]

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

 

он еще активен, в процессах:

время и  дата запуска: 01:43:26 [2024.09.02]

на VT не был еще проверен.

Изменено 2 сентября пользователем safety

[ZiV]

6 минут назад, safety сказал:

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

Отправил в ЛС

[safety]

ок, ответил вам.

 

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки.

 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\VSS\WRITERS\APPLICATION\PES.EXE
;---------command-block---------
delall %SystemRoot%\VSS\WRITERS\APPLICATION\PES.EXE
apply

czoo
QUIT

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

программу:

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

деинсталлируйте через установку/удаление программ.