Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальщик {FrankViskerson@mailfence.com}

Shersh
 Поделиться

Рекомендуемые сообщения

Shersh

Shersh

Опубликовано
Опубликовано

Доброго времени суток!
Столкнулся с шифровальщиком FrankViskerson на сервере. Работа полностью встала. Требуют деньги! Пожалуйста подскажите как решить эту проблемуRead Instructions.txt

safety

safety

Опубликовано
Опубликовано

Добавьте все необходимые логи и файлы по правилам.

«Порядок оформления запроса о помощи».

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

safety

safety

Опубликовано
Опубликовано (изменено)

За системой явно никто не следит. Вначале майнеры прилетели, теперь шифровальщик.

 

3. по очистке системы в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки. 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 18
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
delall %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\READ INSTRUCTIONS.TXT
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\READ INSTRUCTIONS.TXT
apply

QUIT

Добавьте:

 файл дата_времяlog.txt из папки откуда запускали uVS

программу:

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

деинсталлируйте через установку/удаление программ.

 

добавьте новые логи FRST и новый образ автозапуска.

 

Если систему уже проверили антивирусным сканером, добавьте лог сканирования.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked [2024-09-02]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked [2024-09-02] () [Файл не подписан]
Task: {04A41AA5-4F6D-464E-B35A-4E36C2278764} - \Microsoft\Windows\Wininet\Cleaner -> Нет файла <==== ВНИМАНИЕ
Task: {7106A2D0-049F-4253-99E3-7B1EFE93E8D2} - \Microsoft\Windows\Wininet\SystemC -> Нет файла <==== ВНИМАНИЕ
2024-09-02 02:33 - 2024-09-02 02:34 - 000001184 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Office\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Gulya\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Eugeniy G\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:28 - 2024-09-02 02:29 - 000001184 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked
2024-09-02 02:28 - 2024-09-02 02:28 - 000001198 _____ C:\Users\Artem\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:28 - 2024-09-02 02:28 - 000001198 _____ C:\Users\andy\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:27 - 2024-09-02 02:34 - 000001198 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Program Files\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Program Files\Common Files\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Program Files (x86)\Read Instructions.txt
2024-09-09 11:12 - 2021-10-14 00:28 - 000000000 __SHD C:\ProgramData\WindowsTask
2024-09-09 11:12 - 2021-10-14 00:28 - 000000000 __SHD C:\ProgramData\RealtekHD
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

safety

safety

Опубликовано
Опубликовано

дважды выполняли скрипт?

 

Решения по расшифровке данной версии Procrustes пока нет.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно расшифровка станет возможной в будущем.

-------

При наличие лицензии на антивирусы пробуйте обратиться в антивирусные лаборатории Касперского или ДрВеб.

+

проверьте ЛС.

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • meriadok
      Зашифровались файлы, спасите!
      Автор meriadok
      Доброе время суток, уважаемые специалисты. Взываю к Вашей помощи, файлы зашифрованы, гугл и улитки не спасли. Подскажите есть ли шансы на расшифровку, куда податься?
      CollectionLog-2016.09.21-01.53.zip
    • plohish
      все тот же locked
      Автор plohish
      добрый день. возникла проблема. 
      бухгалтерия приняла скорее всего какой то файл открыли его и вирус попал в сеть. 
      на сервере данных где хранились доки все файлы стали с разрешением locked. так же если стереть разрешение то файл внутри будет весь в иероглифах.
      попытался просканировать ПК, ошибок и вирусов не обнаружено, но при этом этот вирус уже перешел на 2й комп....
      посоветуйте как можно востановить файлы. т.к. резервной копии к сожалению не осталось... 
    • МаксимкО
      вирусом-шифровальщик RAA
      Автор МаксимкО
      Здравствуйте!
      Получил письмо с адреса- Григорий Матвеев <klinsmann18@mail.ru> 
      Вопросы просят отправлять туда- raaconsult@mail2tor.com
      вот начало письма
      Ваши файлы были зашифрованы вирусом RAA.
      При шифровании был применен алгоритм AES-256, используемый для защиты информации, представляющей государственную тайну.
      Это значит, что восстановить данные можно только купив ключ у нас....
       
      Словил вируса, после действия которого все офисные файлы и фото получили расширение LOCKED.
      Kaspersky RakhniDecryptor пока работает 14 часов.(уже не работает)
      Само письмо с вирусякой сохранил.
      На рабочем столе сформирован ключ и письмо от доброжелателя с его пожеланиями.
      На письмо пока он не ответил.
      CollectionLog-2016.08.30-03.38.zip
    • seurt
      Вирус шифровальщик LOCKED
      Автор seurt
      Аналогично теме http://forum.kasperskyclub.ru/index.php?showtopic=50695. Зашифровались файлы и стали с расширением .LOCKED. Пробовал Kaspersky RectorDecryptor - день подбирал ключи, не подобрал.
      CollectionLog-2016.06.22-17.06.zip
      AdwCleanerS1.txt
      AdwCleanerC1.txt
    • n199a
      Помогите удалить вирус .locker
      Автор n199a
      Нарвался на вирус, который в каждом файле добавил в конце тип расширения .locker.
      Помогите удалить
×
×
  • Создать...