Перейти к содержанию

Шифровальщик {FrankViskerson@mailfence.com}

Shersh
 Share

Рекомендуемые сообщения

Shersh Новичок

Shersh

Опубликовано
Опубликовано

Доброго времени суток!
Столкнулся с шифровальщиком FrankViskerson на сервере. Работа полностью встала. Требуют деньги! Пожалуйста подскажите как решить эту проблемуRead Instructions.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Добавьте все необходимые логи и файлы по правилам.

«Порядок оформления запроса о помощи».

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

За системой явно никто не следит. Вначале майнеры прилетели, теперь шифровальщик.

 

3. по очистке системы в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки. 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 18
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
delall %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\READ INSTRUCTIONS.TXT
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\READ INSTRUCTIONS.TXT
apply

QUIT

Добавьте:

 файл дата_времяlog.txt из папки откуда запускали uVS

программу:

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

деинсталлируйте через установку/удаление программ.

 

добавьте новые логи FRST и новый образ автозапуска.

 

Если систему уже проверили антивирусным сканером, добавьте лог сканирования.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked [2024-09-02]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked [2024-09-02] () [Файл не подписан]
Task: {04A41AA5-4F6D-464E-B35A-4E36C2278764} - \Microsoft\Windows\Wininet\Cleaner -> Нет файла <==== ВНИМАНИЕ
Task: {7106A2D0-049F-4253-99E3-7B1EFE93E8D2} - \Microsoft\Windows\Wininet\SystemC -> Нет файла <==== ВНИМАНИЕ
2024-09-02 02:33 - 2024-09-02 02:34 - 000001184 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Office\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Gulya\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Eugeniy G\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:28 - 2024-09-02 02:29 - 000001184 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked
2024-09-02 02:28 - 2024-09-02 02:28 - 000001198 _____ C:\Users\Artem\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:28 - 2024-09-02 02:28 - 000001198 _____ C:\Users\andy\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:27 - 2024-09-02 02:34 - 000001198 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Program Files\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Program Files\Common Files\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Program Files (x86)\Read Instructions.txt
2024-09-09 11:12 - 2021-10-14 00:28 - 000000000 __SHD C:\ProgramData\WindowsTask
2024-09-09 11:12 - 2021-10-14 00:28 - 000000000 __SHD C:\ProgramData\RealtekHD
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

дважды выполняли скрипт?

 

Решения по расшифровке данной версии Procrustes пока нет.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно расшифровка станет возможной в будущем.

-------

При наличие лицензии на антивирусы пробуйте обратиться в антивирусные лаборатории Касперского или ДрВеб.

+

проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • zupostal
      шифровальщик FrankViskerson@mailfence.com
      От zupostal
      Собственно поймали на сервер шифровальщик, не понятно каким макаром
      Файл вируса найти не удалось,, просканирована система kvrt.exe. В ручном режиме была найдена программа hardwipe и была удаленна, все что есть на сервере попало под шифрование, надеюсь на помощь :c
      Почитав предыдущие темы, у меня не было обнаружено  C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE, папка есть, файла нет
      Addition.txt FRST.txt Read Instructions.txt Новая папка.7z
    • dmg
      Шифровальщик {FrankViskerson@mailfence.com} ID[001B21643D14].locked
      От dmg
      FRST.rarДобрый день! Прошу помочь по мере возможности. Все файлы зашифрованы на сервере 1С. 
      Read Instructions.txt
    • SergAstra
      Поймали шифровальщика FrankViskerson@mailfence.com
      От SergAstra
      Здравствуйте в ночь зашифровались файлы на windows server 2016.
      Бекапный диск так же зашифрован.
      Текстовый файл для выкупа:
       
      Kaspersky smart office установлен, ничего не находит.
       
      Hello my friend
      If you see this message it means that your system has been hacked and all your files are encrypted.
      But don't worry, you can easily decrypt them at a reasonable price.
      Decryption isn't enough. You have to fix bugs on your system, so this is my gift to you, after decryption, I'm going to help you to make your system more secure.
      So to start you need to install qTox from the link below and message me in qTox.
      https://github.com/qTox/qTox/releases/download/v1.17.6/setup-qtox-x86_64-release.exe
      *
      this is my qTox ID : 041BFC4E1BB2E262CDCCEE695C523DA1B491EB3E09EB95C7185A7E77D920B77FAC58DA3FFE45
      *
      *
      This is your decryption ID : 0AE0AFB5000B001
      *
      I promise you? no one or any security company can decrypt the files? so don't waste your time or mine.
      The price is only negotiated for 24 hours and you will be entitled to a discount? so don't waste your time.
      This is my emergency emails(only use emails for emegency you must use qTox) :
      Emergency email 1: FrankViskerson@mailfence.com
      Emergency email 2:FrankViskerson@tutamail.com
      Remember these :
      1- never try to decrypt file yourself , maybe you lost them forever
      2- don't rename or any changes in your files
       
      Пример зашифрованного файла прикрепил.
      Добавил образ автозапуска системы в uVS.  
       
      Помогите с попыткой расшифровки, какие скрипты попробовать?
      WIN-IQBSS78MVIR_2024-09-30_09-38-55_v4.99.1v x64.7z карточка партнера Кравченко.doc.{FrankViskerson@mailfence.com} ID[50EBF6B0A59550E].rar
    • Maximus-x
      шифровальщик FrankViskerson@mailfence.com
      От Maximus-x
      Здравствуйте в ночь зашифровались файлы на windows server 2016, работа парализована.
      система не переустанавливалась. Бекапный диск так же зашифрован и не видится.
      окно с просьбой прислать денег.
       
      Kaspersky smart office установлен, ничего не находит.
       
      Hello my friend
      If you see this message it means that your system has been hacked and all your files are encrypted.
      But don't worry, you can easily decrypt them at a reasonable price.
      Decryption isn't enough. You have to fix bugs on your system, so this is my gift to you, after decryption, I'm going to help you to make your system more secure.
      So to start you need to install qTox from the link below and message me in qTox.
      https://github.com/qTox/qTox/releases/download/v1.17.6/setup-qtox-x86_64-release.exe
      *
      this is my qTox ID : 041BFC4E1BB2E262CDCCEE695C523DA1B491EB3E09EB95C7185A7E77D920B77FAC58DA3FFE45
      *
      *
      This is your decryption ID : 0AE0AFB5000B001
      *
      I promise you? no one or any security company can decrypt the files? so don't waste your time or mine.
      The price is only negotiated for 24 hours and you will be entitled to a discount? so don't waste your time.
      This is my emergency emails(only use emails for emegency you must use qTox) :
      Emergency email 1: FrankViskerson@mailfence.com
      Emergency email 2:FrankViskerson@tutamail.com
      Remember these :
      1- never try to decrypt file yourself , maybe you lost them forever
      2- don't rename or any changes in your files
       
      пример зашифрованных файлов со стандартным паролем во вложении.

      Пассс.txt.{FrankViskerson@mailfence.com} ID[0AE0AFB5000B001].rar
       
      Addition.txt FRST.txt
    • KOte
      поймали шифровщик FrankViskerson@mailfence.com
      От KOte
      Поймали шифровальщик. вымогатель юлит, не дает гарантии что все будет восстановлено. Собрал все файлы открыл тему.
      Addition.txt FRST.txt Read Instructions.txt virus.rar
×
×
  • Создать...