Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Шифровальщик {FrankViskerson@mailfence.com}

Shersh
 Поделиться

Рекомендуемые сообщения

Shersh Новичок

Shersh

Опубликовано
Опубликовано

Доброго времени суток!
Столкнулся с шифровальщиком FrankViskerson на сервере. Работа полностью встала. Требуют деньги! Пожалуйста подскажите как решить эту проблемуRead Instructions.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Добавьте все необходимые логи и файлы по правилам.

«Порядок оформления запроса о помощи».

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

За системой явно никто не следит. Вначале майнеры прилетели, теперь шифровальщик.

 

3. по очистке системы в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки. 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 18
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
delall %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\READ INSTRUCTIONS.TXT
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\READ INSTRUCTIONS.TXT
apply

QUIT

Добавьте:

 файл дата_времяlog.txt из папки откуда запускали uVS

программу:

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

деинсталлируйте через установку/удаление программ.

 

добавьте новые логи FRST и новый образ автозапуска.

 

Если систему уже проверили антивирусным сканером, добавьте лог сканирования.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked [2024-09-02]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked [2024-09-02] () [Файл не подписан]
Task: {04A41AA5-4F6D-464E-B35A-4E36C2278764} - \Microsoft\Windows\Wininet\Cleaner -> Нет файла <==== ВНИМАНИЕ
Task: {7106A2D0-049F-4253-99E3-7B1EFE93E8D2} - \Microsoft\Windows\Wininet\SystemC -> Нет файла <==== ВНИМАНИЕ
2024-09-02 02:33 - 2024-09-02 02:34 - 000001184 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Office\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Gulya\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Eugeniy G\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:28 - 2024-09-02 02:29 - 000001184 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked
2024-09-02 02:28 - 2024-09-02 02:28 - 000001198 _____ C:\Users\Artem\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:28 - 2024-09-02 02:28 - 000001198 _____ C:\Users\andy\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:27 - 2024-09-02 02:34 - 000001198 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Program Files\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Program Files\Common Files\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Program Files (x86)\Read Instructions.txt
2024-09-09 11:12 - 2021-10-14 00:28 - 000000000 __SHD C:\ProgramData\WindowsTask
2024-09-09 11:12 - 2021-10-14 00:28 - 000000000 __SHD C:\ProgramData\RealtekHD
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

дважды выполняли скрипт?

 

Решения по расшифровке данной версии Procrustes пока нет.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно расшифровка станет возможной в будущем.

-------

При наличие лицензии на антивирусы пробуйте обратиться в антивирусные лаборатории Касперского или ДрВеб.

+

проверьте ЛС.

Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • zupostal
      шифровальщик FrankViskerson@mailfence.com
      Автор zupostal
      Собственно поймали на сервер шифровальщик, не понятно каким макаром
      Файл вируса найти не удалось,, просканирована система kvrt.exe. В ручном режиме была найдена программа hardwipe и была удаленна, все что есть на сервере попало под шифрование, надеюсь на помощь :c
      Почитав предыдущие темы, у меня не было обнаружено  C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE, папка есть, файла нет
      Addition.txt FRST.txt Read Instructions.txt Новая папка.7z
    • dmg
      Шифровальщик {FrankViskerson@mailfence.com} ID[001B21643D14].locked
      Автор dmg
      FRST.rarДобрый день! Прошу помочь по мере возможности. Все файлы зашифрованы на сервере 1С. 
      Read Instructions.txt
    • KOte
      поймали шифровщик FrankViskerson@mailfence.com
      Автор KOte
      Поймали шифровальщик. вымогатель юлит, не дает гарантии что все будет восстановлено. Собрал все файлы открыл тему.
      Addition.txt FRST.txt Read Instructions.txt virus.rar
    • Jutr
      Зашифрованы файлы [king_ransom1@mailfence.com].king
      Автор Jutr
      FRST.txtAddition.txt#Read-for-recovery.txtDes.zip
      Добрый день! Словили шифровальщика все файлы с расширением [king_ransom1@mailfence.com].king, подскажите пожалуйста, как-то можно расшифровать?
    • Gardens
      Помогите расшифровать файлы [darkmask@mailfence.com][auto].[D480B2A9-D7B702E4]
      Автор Gardens
      Добрый день.
      Несколько лет назад на один из пользовательских ПК попал шифровальщик,  а так как с него был выход на сетевое хранилище, в котором некоторые папки не были защищены паролем, шифратор проник и туда.
      Обращались по этому вопросу ранее, но не было дешифратора.
      Может быть теперь уже имеется возможность расшифровать? 
      GE_key-card_maket.ai[ darkmask@mailfence.com].rar
×
×
  • Создать...