Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день.
Поймали сегодня на сервере бухгалтерии неприятность.
Просим помощи в расшифровке.

 

Пострадали локальные файлы сервера и сетевые папки
Во вложении файлы FRST.txt, Addition.txt, 2 зашифрованных файла и файл с требованиями (Read Instructions.txt)

locked.rar

Опубликовано

В этих папках покажите пожалуйста, содержимое:

2024-09-02 04:34 - 2024-09-02 04:55 - 000000000 ____D C:\Users\Администратор.WIN-E8K19VQDGF1\AppData\Roaming\Big Angry Dog
2024-09-02 04:34 - 2024-09-02 04:34 - 000000000 ____D C:\Program Files\Hardwipe

известны вам эти папки?

 

Опубликовано

Нет, данные папки совершенно не знакомы, равно как и данный софт

image.png

image.png

Опубликовано

Заархивируйте данные папки с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание данных архивов в личное сообщение. ЛС.

+ добавьте, пожалуйста, все логи обнаружения угроз из установленного антивируса Касперского.

Опубликовано (изменено)
18 минут назад, safety сказал:

2024-09-02 04:34 - 2024-09-02 04:34 - 000000000 ____D C:\Program Files\Hardwipe

Возможно, это инструмент безопасного удаления файлов.

https://www.securitylab.ru/software/410330.php

вот только кем был установлен и с какой целью, мог быть установлен и злоумышленниками.

Изменено пользователем safety
Опубликовано (изменено)

Архив с файлами отправил в ЛС.
+ ссылку на логи из \Windows\System32\winevt\Logs
(или они в другом месте хранятся?)

 

По софту скорее склонен ко второму варианту. Время создания файлов ночное. Никто не мог из сотрудников быть на сервере. Да еще и под администратором

Изменено пользователем ZiV
уточнение
Опубликовано (изменено)
12 минут назад, ZiV сказал:

По софту скорее склонен ко второму варианту. Время создания файлов ночное. Никто не мог из сотрудников быть на сервере. Да еще и под администраторо

HardWipe  - легальный инструмент для безопасного удаления файлов. Безопасное удаление, здесь скорее всего подразумевается, что восстановить после такого удаления невозможно.

https://www.virustotal.com/gui/file/eeb73374f9fc78ba84863cd3da635a339ca2e6b2d99a2fae4ae76817737b8ee2/details

злоумышленники часто используют подобный легальный софт.

Изменено пользователем safety
Опубликовано
1 минуту назад, safety сказал:

HardWipe  - легальный инструмент для безопасного удаления файлов. Безопасное удаление, здесь скорее всего подразумевается, что восстановить после такого удаления невозможно.

https://www.virustotal.com/gui/file/eeb73374f9fc78ba84863cd3da635a339ca2e6b2d99a2fae4ae76817737b8ee2/details

злоумышленники часто используют подобный легальный софт.

Проще говоря, "денежку не заплатишь - можем все тебе удалить, у нас и софт уже готов" ?

Опубликовано

Может быть и так. Или просто чтобы не было возможности восстановить то, что они зашифровали.

Опубликовано
1 минуту назад, safety сказал:

Может быть и так. Или просто чтобы не было возможности восстановить то, что они зашифровали.

На данный момент есть перспектива расшифровки?

Опубликовано (изменено)

Вчера, 01.09.2024 23:12:19    System Memory    Не обработано    Лечение невозможно    Trojan.Multi.Accesstr.aum    Пропущено    Файл        System Memory    Не обработано    Троянское приложение    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь

 

Тип события: Обнаружен вредоносный объект
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь)
Компонент: Поиск вредоносного ПО
Описание результата: Обнаружено
Тип: Троянское приложение
Название: Trojan.Multi.Accesstr.aum
Степень угрозы: Точно
Точность: Высокая
Тип объекта: Файл
Название объекта: System Memory
Причина: Хеш
Дата выпуска баз: 27.11.2023 0:40:00

-------------------

данная угроза наблюдалась и раньше до момента шифрования.

 

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Опубликовано
5 минут назад, safety сказал:

Вчера, 01.09.2024 23:12:19    System Memory    Не обработано    Лечение невозможно    Trojan.Multi.Accesstr.aum    Пропущено    Файл        System Memory    Не обработано    Троянское приложение    Высокая    Точно    NT AUTHORITY\СИСТЕМА    Системный пользователь

 

Тип события: Обнаружен вредоносный объект
Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь)
Компонент: Поиск вредоносного ПО
Описание результата: Обнаружено
Тип: Троянское приложение
Название: Trojan.Multi.Accesstr.aum
Степень угрозы: Точно
Точность: Высокая
Тип объекта: Файл
Название объекта: System Memory
Причина: Хеш
Дата выпуска баз: 27.11.2023 0:40:00

-------------------

данная угроза наблюдалась и раньше до момента шифрования.

 

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

WIN-E8K19VQDGF1_2024-09-02_13-15-15_v4.99.1v x64.7z

Опубликовано (изменено)

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

 

он еще активен, в процессах:

время и  дата запуска: 01:43:26 [2024.09.02]

на VT не был еще проверен.

Изменено пользователем safety
Опубликовано
6 минут назад, safety сказал:

Этот файл заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

Отправил в ЛС

Опубликовано

ок, ответил вам.

 

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки.


 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\VSS\WRITERS\APPLICATION\PES.EXE
;---------command-block---------
delall %SystemRoot%\VSS\WRITERS\APPLICATION\PES.EXE
apply

czoo
QUIT

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

программу:

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

деинсталлируйте через установку/удаление программ.

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • dmg
      Автор dmg
      FRST.rarДобрый день! Прошу помочь по мере возможности. Все файлы зашифрованы на сервере 1С. 
      Read Instructions.txt
    • zupostal
      Автор zupostal
      Собственно поймали на сервер шифровальщик, не понятно каким макаром
      Файл вируса найти не удалось,, просканирована система kvrt.exe. В ручном режиме была найдена программа hardwipe и была удаленна, все что есть на сервере попало под шифрование, надеюсь на помощь :c
      Почитав предыдущие темы, у меня не было обнаружено  C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE, папка есть, файла нет
      Addition.txt FRST.txt Read Instructions.txt Новая папка.7z
    • Shersh
      Автор Shersh
      Доброго времени суток!
      Столкнулся с шифровальщиком FrankViskerson на сервере. Работа полностью встала. Требуют деньги! Пожалуйста подскажите как решить эту проблемуRead Instructions.txt
    • Maximus-x
      Автор Maximus-x
      Здравствуйте в ночь зашифровались файлы на windows server 2016, работа парализована.
      система не переустанавливалась. Бекапный диск так же зашифрован и не видится.
      окно с просьбой прислать денег.
       
      Kaspersky smart office установлен, ничего не находит.
       
      Hello my friend
      If you see this message it means that your system has been hacked and all your files are encrypted.
      But don't worry, you can easily decrypt them at a reasonable price.
      Decryption isn't enough. You have to fix bugs on your system, so this is my gift to you, after decryption, I'm going to help you to make your system more secure.
      So to start you need to install qTox from the link below and message me in qTox.
      https://github.com/qTox/qTox/releases/download/v1.17.6/setup-qtox-x86_64-release.exe
      *
      this is my qTox ID : 041BFC4E1BB2E262CDCCEE695C523DA1B491EB3E09EB95C7185A7E77D920B77FAC58DA3FFE45
      *
      *
      This is your decryption ID : 0AE0AFB5000B001
      *
      I promise you? no one or any security company can decrypt the files? so don't waste your time or mine.
      The price is only negotiated for 24 hours and you will be entitled to a discount? so don't waste your time.
      This is my emergency emails(only use emails for emegency you must use qTox) :
      Emergency email 1: FrankViskerson@mailfence.com
      Emergency email 2:FrankViskerson@tutamail.com
      Remember these :
      1- never try to decrypt file yourself , maybe you lost them forever
      2- don't rename or any changes in your files
       
      пример зашифрованных файлов со стандартным паролем во вложении.

      Пассс.txt.{FrankViskerson@mailfence.com} ID[0AE0AFB5000B001].rar
       
      Addition.txt FRST.txt
    • SergAstra
      Автор SergAstra
      Здравствуйте в ночь зашифровались файлы на windows server 2016.
      Бекапный диск так же зашифрован.
      Текстовый файл для выкупа:
       
      Kaspersky smart office установлен, ничего не находит.
       
      Hello my friend
      If you see this message it means that your system has been hacked and all your files are encrypted.
      But don't worry, you can easily decrypt them at a reasonable price.
      Decryption isn't enough. You have to fix bugs on your system, so this is my gift to you, after decryption, I'm going to help you to make your system more secure.
      So to start you need to install qTox from the link below and message me in qTox.
      https://github.com/qTox/qTox/releases/download/v1.17.6/setup-qtox-x86_64-release.exe
      *
      this is my qTox ID : 041BFC4E1BB2E262CDCCEE695C523DA1B491EB3E09EB95C7185A7E77D920B77FAC58DA3FFE45
      *
      *
      This is your decryption ID : 0AE0AFB5000B001
      *
      I promise you? no one or any security company can decrypt the files? so don't waste your time or mine.
      The price is only negotiated for 24 hours and you will be entitled to a discount? so don't waste your time.
      This is my emergency emails(only use emails for emegency you must use qTox) :
      Emergency email 1: FrankViskerson@mailfence.com
      Emergency email 2:FrankViskerson@tutamail.com
      Remember these :
      1- never try to decrypt file yourself , maybe you lost them forever
      2- don't rename or any changes in your files
       
      Пример зашифрованного файла прикрепил.
      Добавил образ автозапуска системы в uVS.  
       
      Помогите с попыткой расшифровки, какие скрипты попробовать?
      WIN-IQBSS78MVIR_2024-09-30_09-38-55_v4.99.1v x64.7z карточка партнера Кравченко.doc.{FrankViskerson@mailfence.com} ID[50EBF6B0A59550E].rar
×
×
  • Создать...