Перейти к содержанию

Шифровальщик {FrankViskerson@mailfence.com}

Shersh
 Поделиться

Рекомендуемые сообщения

Shersh Новичок

Shersh

Опубликовано
Опубликовано

Доброго времени суток!
Столкнулся с шифровальщиком FrankViskerson на сервере. Работа полностью встала. Требуют деньги! Пожалуйста подскажите как решить эту проблемуRead Instructions.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Добавьте все необходимые логи и файлы по правилам.

«Порядок оформления запроса о помощи».

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

За системой явно никто не следит. Вначале майнеры прилетели, теперь шифровальщик.

 

3. по очистке системы в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки. 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 18
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
delall %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\READ INSTRUCTIONS.TXT
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\READ INSTRUCTIONS.TXT
apply

QUIT

Добавьте:

 файл дата_времяlog.txt из папки откуда запускали uVS

программу:

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

деинсталлируйте через установку/удаление программ.

 

добавьте новые логи FRST и новый образ автозапуска.

 

Если систему уже проверили антивирусным сканером, добавьте лог сканирования.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked [2024-09-02]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked [2024-09-02] () [Файл не подписан]
Task: {04A41AA5-4F6D-464E-B35A-4E36C2278764} - \Microsoft\Windows\Wininet\Cleaner -> Нет файла <==== ВНИМАНИЕ
Task: {7106A2D0-049F-4253-99E3-7B1EFE93E8D2} - \Microsoft\Windows\Wininet\SystemC -> Нет файла <==== ВНИМАНИЕ
2024-09-02 02:33 - 2024-09-02 02:34 - 000001184 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Office\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Gulya\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Eugeniy G\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:28 - 2024-09-02 02:29 - 000001184 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked
2024-09-02 02:28 - 2024-09-02 02:28 - 000001198 _____ C:\Users\Artem\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:28 - 2024-09-02 02:28 - 000001198 _____ C:\Users\andy\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:27 - 2024-09-02 02:34 - 000001198 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Program Files\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Program Files\Common Files\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Program Files (x86)\Read Instructions.txt
2024-09-09 11:12 - 2021-10-14 00:28 - 000000000 __SHD C:\ProgramData\WindowsTask
2024-09-09 11:12 - 2021-10-14 00:28 - 000000000 __SHD C:\ProgramData\RealtekHD
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

дважды выполняли скрипт?

 

Решения по расшифровке данной версии Procrustes пока нет.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно расшифровка станет возможной в будущем.

-------

При наличие лицензии на антивирусы пробуйте обратиться в антивирусные лаборатории Касперского или ДрВеб.

+

проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • dmg
      Шифровальщик {FrankViskerson@mailfence.com} ID[001B21643D14].locked
      Автор dmg
      FRST.rarДобрый день! Прошу помочь по мере возможности. Все файлы зашифрованы на сервере 1С. 
      Read Instructions.txt
    • Gardens
      Помогите расшифровать файлы [darkmask@mailfence.com][auto].[D480B2A9-D7B702E4]
      Автор Gardens
      Добрый день.
      Несколько лет назад на один из пользовательских ПК попал шифровальщик,  а так как с него был выход на сетевое хранилище, в котором некоторые папки не были защищены паролем, шифратор проник и туда.
      Обращались по этому вопросу ранее, но не было дешифратора.
      Может быть теперь уже имеется возможность расшифровать? 
      GE_key-card_maket.ai[ darkmask@mailfence.com].rar
    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • norma.ekb
      Шифровальщик-вымогатель .FONL
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
    • Jutr
      Зашифрованы файлы [king_ransom1@mailfence.com].king
      Автор Jutr
      FRST.txtAddition.txt#Read-for-recovery.txtDes.zip
      Добрый день! Словили шифровальщика все файлы с расширением [king_ransom1@mailfence.com].king, подскажите пожалуйста, как-то можно расшифровать?
×
×
  • Создать...