Перейти к содержанию

Поймали шифровальщика на несколько серверов

chernikovd
 Share Подписчики 2

Рекомендуемые сообщения

chernikovd

chernikovd 0

Опубликовано
Опубликовано

Добрый день!

поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному

 

спасибо

ЗашифрованыеФайлы.7z Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано (изменено)

Желательно по каждому из зашифрованных серверов собрать информацию, как вы сделали в первом сообщении.

Если системы были просканированы антивирусом или утилитами, типа cureit, kvrt - добавьте, пожалуйста, логи сканирования в ваше сообщение, в архиве, без пароля.

На зашифрованных устройствах пробуйте найти такой файл:

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано (изменено)
6 минут назад, chernikovd сказал:

такой файл обнаружил

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

Заархивируйте данный файл с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в личные сообщения (ЛС)

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
chernikovd

chernikovd 0

Опубликовано
  • Автор
Опубликовано (изменено)

ссылка на архив PES.EXE этого файла

[удалено]

не знаю как выгрузить логи из kvrt, но вот что обнаружилось

1902006204_.thumb.png.058af64d90943703ef097059a37e297c.png

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано
16 минут назад, chernikovd сказал:

не знаю как выгрузить логи из kvrt, но вот что обнаружилось

В принципе, логи kvrt уже не нужны, из рисунка видно, что необходимый файл найден.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 123

Опубликовано
Опубликовано (изменено)
1 час назад, chernikovd сказал:

а еще подскажите стоит в полицию заявлять?

Это не поможет вам расшифровать файлы, тем более злоумышленники за пределами России находятся.

1 час назад, chernikovd сказал:

ссылка на архив PES.EXE этого файла

сэмпл прежний.

https://www.virustotal.com/gui/file/81a71a75543c8060e5cad9dd7e148ca0ef27f18e3b1c0747e225e4b38b85c8e0/detection

 

по очистке системы:

 

Эту программу деинсталлируйте через установку/удаление программ.

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

 

по очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы 

Start::
Startup: C:\Users\Черников\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-29] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[D094663FAD39D09].locked [2024-09-29] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files (x86)\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files\Common Files\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Program Files (x86)\Common Files\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Users\Черников\AppData\Roaming\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Users\Черников\AppData\Roaming\Microsoft\Read Instructions.txt
2024-09-29 05:32 - 2024-09-29 05:32 - 000001198 _____ () C:\Users\Черников\AppData\Local\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

проверьте ЛС.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • SergAstra
      Поймали шифровальщика FrankViskerson@mailfence.com
      От SergAstra
      Здравствуйте в ночь зашифровались файлы на windows server 2016.
      Бекапный диск так же зашифрован.
      Текстовый файл для выкупа:
       
      Kaspersky smart office установлен, ничего не находит.
       
      Hello my friend
      If you see this message it means that your system has been hacked and all your files are encrypted.
      But don't worry, you can easily decrypt them at a reasonable price.
      Decryption isn't enough. You have to fix bugs on your system, so this is my gift to you, after decryption, I'm going to help you to make your system more secure.
      So to start you need to install qTox from the link below and message me in qTox.
      https://github.com/qTox/qTox/releases/download/v1.17.6/setup-qtox-x86_64-release.exe
      *
      this is my qTox ID : 041BFC4E1BB2E262CDCCEE695C523DA1B491EB3E09EB95C7185A7E77D920B77FAC58DA3FFE45
      *
      *
      This is your decryption ID : 0AE0AFB5000B001
      *
      I promise you? no one or any security company can decrypt the files? so don't waste your time or mine.
      The price is only negotiated for 24 hours and you will be entitled to a discount? so don't waste your time.
      This is my emergency emails(only use emails for emegency you must use qTox) :
      Emergency email 1: FrankViskerson@mailfence.com
      Emergency email 2:FrankViskerson@tutamail.com
      Remember these :
      1- never try to decrypt file yourself , maybe you lost them forever
      2- don't rename or any changes in your files
       
      Пример зашифрованного файла прикрепил.
      Добавил образ автозапуска системы в uVS.  
       
      Помогите с попыткой расшифровки, какие скрипты попробовать?
      WIN-IQBSS78MVIR_2024-09-30_09-38-55_v4.99.1v x64.7z карточка партнера Кравченко.doc.{FrankViskerson@mailfence.com} ID[50EBF6B0A59550E].rar
    • DanGer50143
      Поймал шифровальщик, заблокированы файлы
      От DanGer50143
      Собрал образ, как в других обсуждениях. 
      Также прикрепил файл вымогатель😔
       
    • Maximus-x
      шифровальщик FrankViskerson@mailfence.com
      От Maximus-x
      Здравствуйте в ночь зашифровались файлы на windows server 2016, работа парализована.
      система не переустанавливалась. Бекапный диск так же зашифрован и не видится.
      окно с просьбой прислать денег.
       
      Kaspersky smart office установлен, ничего не находит.
       
      Hello my friend
      If you see this message it means that your system has been hacked and all your files are encrypted.
      But don't worry, you can easily decrypt them at a reasonable price.
      Decryption isn't enough. You have to fix bugs on your system, so this is my gift to you, after decryption, I'm going to help you to make your system more secure.
      So to start you need to install qTox from the link below and message me in qTox.
      https://github.com/qTox/qTox/releases/download/v1.17.6/setup-qtox-x86_64-release.exe
      *
      this is my qTox ID : 041BFC4E1BB2E262CDCCEE695C523DA1B491EB3E09EB95C7185A7E77D920B77FAC58DA3FFE45
      *
      *
      This is your decryption ID : 0AE0AFB5000B001
      *
      I promise you? no one or any security company can decrypt the files? so don't waste your time or mine.
      The price is only negotiated for 24 hours and you will be entitled to a discount? so don't waste your time.
      This is my emergency emails(only use emails for emegency you must use qTox) :
      Emergency email 1: FrankViskerson@mailfence.com
      Emergency email 2:FrankViskerson@tutamail.com
      Remember these :
      1- never try to decrypt file yourself , maybe you lost them forever
      2- don't rename or any changes in your files
       
      пример зашифрованных файлов со стандартным паролем во вложении.

      Пассс.txt.{FrankViskerson@mailfence.com} ID[0AE0AFB5000B001].rar
       
      Addition.txt FRST.txt
    • Shersh
      Шифровальщик {FrankViskerson@mailfence.com}
      От Shersh
      Доброго времени суток!
      Столкнулся с шифровальщиком FrankViskerson на сервере. Работа полностью встала. Требуют деньги! Пожалуйста подскажите как решить эту проблемуRead Instructions.txt
    • ZiV
      Шифровальщик {FrankViskerson@mailfence.com} ID[FC349711A51A].locked
      От ZiV
      Добрый день.
      Поймали сегодня на сервере бухгалтерии неприятность.
      Просим помощи в расшифровке.
       
      Пострадали локальные файлы сервера и сетевые папки
      Во вложении файлы FRST.txt, Addition.txt, 2 зашифрованных файла и файл с требованиями (Read Instructions.txt)
      locked.rar
×
×
  • Создать...