procrustes Шифровальщик {FrankViskerson@mailfence.com}

[Shersh]

Доброго времени суток!
Столкнулся с шифровальщиком FrankViskerson на сервере. Работа полностью встала. Требуют деньги! Пожалуйста подскажите как решить эту проблемуRead Instructions.txt

[safety]

Добавьте все необходимые логи и файлы по правилам.

«Порядок оформления запроса о помощи».

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Shersh]

Пароль virus

SRV_2024-09-06_16-28-59_v4.99.1v x64.7z

20151109_190916.jpg.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].rar

[safety]

За системой явно никто не следит. Вначале майнеры прилетели, теперь шифровальщик.

 

3. по очистке системы в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки.

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 18
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
delall %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\READ INSTRUCTIONS.TXT
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\READ INSTRUCTIONS.TXT
apply

QUIT

Добавьте:

 файл дата_времяlog.txt из папки откуда запускали uVS

программу:

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

деинсталлируйте через установку/удаление программ.

 

добавьте новые логи FRST и новый образ автозапуска.

 

Если систему уже проверили антивирусным сканером, добавьте лог сканирования.

Изменено 6 сентября, 2024 пользователем safety

[Shersh]

2024-09-09_11-12-23_log.txt

SRV_2024-09-09_11-26-51_v4.99.1v x64.7z Addition.txt FRST.txt

[safety]

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

 

Start::
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-3131157910-908643500-398084573-500\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked [2024-09-02]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked [2024-09-02] () [Файл не подписан]
Task: {04A41AA5-4F6D-464E-B35A-4E36C2278764} - \Microsoft\Windows\Wininet\Cleaner -> Нет файла <==== ВНИМАНИЕ
Task: {7106A2D0-049F-4253-99E3-7B1EFE93E8D2} - \Microsoft\Windows\Wininet\SystemC -> Нет файла <==== ВНИМАНИЕ
2024-09-02 02:33 - 2024-09-02 02:34 - 000001184 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Office\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Gulya\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:29 - 2024-09-02 02:29 - 000001198 _____ C:\Users\Eugeniy G\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:28 - 2024-09-02 02:29 - 000001184 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[003048D5EA7C003].locked
2024-09-02 02:28 - 2024-09-02 02:28 - 000001198 _____ C:\Users\Artem\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:28 - 2024-09-02 02:28 - 000001198 _____ C:\Users\andy\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-02 02:27 - 2024-09-02 02:34 - 000001198 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Program Files\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Program Files\Common Files\Read Instructions.txt
2024-09-02 01:50 - 2024-09-02 01:50 - 000001198 _____ C:\Program Files (x86)\Read Instructions.txt
2024-09-09 11:12 - 2021-10-14 00:28 - 000000000 __SHD C:\ProgramData\WindowsTask
2024-09-09 11:12 - 2021-10-14 00:28 - 000000000 __SHD C:\ProgramData\RealtekHD
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[Shersh]

Fixlog.txt

[safety]

дважды выполняли скрипт?

 

Решения по расшифровке данной версии Procrustes пока нет.

Сохраните важные зашифрованные файлы на отдельный носитель, возможно расшифровка станет возможной в будущем.

-------

При наличие лицензии на антивирусы пробуйте обратиться в антивирусные лаборатории Касперского или ДрВеб.

+

проверьте ЛС.