Перейти к содержанию

Поймали шифровальщика FrankViskerson@mailfence.com


Рекомендуемые сообщения

Здравствуйте в ночь зашифровались файлы на windows server 2016.

Бекапный диск так же зашифрован.

Текстовый файл для выкупа:

 

Kaspersky smart office установлен, ничего не находит.

 

Hello my friend
If you see this message it means that your system has been hacked and all your files are encrypted.
But don't worry, you can easily decrypt them at a reasonable price.
Decryption isn't enough. You have to fix bugs on your system, so this is my gift to you, after decryption, I'm going to help you to make your system more secure.
So to start you need to install qTox from the link below and message me in qTox.
https://github.com/qTox/qTox/releases/download/v1.17.6/setup-qtox-x86_64-release.exe
*
this is my qTox ID : 041BFC4E1BB2E262CDCCEE695C523DA1B491EB3E09EB95C7185A7E77D920B77FAC58DA3FFE45
*
*
This is your decryption ID : 0AE0AFB5000B001
*
I promise you? no one or any security company can decrypt the files? so don't waste your time or mine.
The price is only negotiated for 24 hours and you will be entitled to a discount? so don't waste your time.
This is my emergency emails(only use emails for emegency you must use qTox) :
Emergency email 1: FrankViskerson@mailfence.com
Emergency email 2:FrankViskerson@tutamail.com

Remember these :
1- never try to decrypt file yourself , maybe you lost them forever
2- don't rename or any changes in your files

 

Пример зашифрованного файла прикрепил.

Добавил образ автозапуска системы в uVS.  

 

Помогите с попыткой расшифровки, какие скрипты попробовать?

WIN-IQBSS78MVIR_2024-09-30_09-38-55_v4.99.1v x64.7z карточка партнера Кравченко.doc.{FrankViskerson@mailfence.com} ID[50EBF6B0A59550E].rar

Ссылка на комментарий
Поделиться на другие сайты

Если системы были просканированы антивирусом или утилитами, типа cureit, kvrt - добавьте, пожалуйста, логи сканирования в ваше сообщение, в архиве, без пароля.

На зашифрованных устройствах пробуйте найти такой файл:

C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

Ссылка на комментарий
Поделиться на другие сайты

 

Отчет о сканировании KVRT.rar

Изменено пользователем safety
не добавляем на форум вредносную программу в архивае без пароля
Ссылка на комментарий
Поделиться на другие сайты

Да, вижу по логу есть обнаружение.

            <Event11 Action="Select action" Time="133721608817769481" Object="C:\Windows\Vss\Writers\Application\PES.exe" Info="Skip" />

файл можно удалить.

https://www.virustotal.com/gui/file/81a71a75543c8060e5cad9dd7e148ca0ef27f18e3b1c0747e225e4b38b85c8e0/detection

 

Выполните в FRST скрипт очистки.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start::
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-30] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk.{FrankViskerson@mailfence.com} ID[50EBF6B0A59550E].locked [2024-09-30]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-09-30] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[50EBF6B0A59550E].locked [2024-09-30] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-09-30 08:47 - 2024-09-30 08:47 - 000001198 _____ C:\Users\Администратор\Desktop\Read Instructions.txt
2024-09-30 03:00 - 2024-09-30 03:00 - 000001198 _____ () C:\Program Files\Read Instructions.txt
2024-09-30 03:00 - 2024-09-30 03:00 - 000001198 _____ () C:\Program Files (x86)\Read Instructions.txt
2024-09-30 03:00 - 2024-09-30 03:00 - 000001198 _____ () C:\Program Files\Common Files\Read Instructions.txt
2024-09-30 03:00 - 2024-09-30 03:00 - 000001198 _____ () C:\Program Files (x86)\Common Files\Read Instructions.txt
2024-09-30 03:01 - 2024-09-30 03:01 - 000001198 _____ () C:\Users\Администратор\AppData\Roaming\Read Instructions.txt
2024-09-30 03:02 - 2024-09-30 03:02 - 000001198 _____ () C:\Users\Администратор\AppData\Roaming\Microsoft\Read Instructions.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • zupostal
      От zupostal
      Собственно поймали на сервер шифровальщик, не понятно каким макаром
      Файл вируса найти не удалось,, просканирована система kvrt.exe. В ручном режиме была найдена программа hardwipe и была удаленна, все что есть на сервере попало под шифрование, надеюсь на помощь :c
      Почитав предыдущие темы, у меня не было обнаружено  C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE, папка есть, файла нет
      Addition.txt FRST.txt Read Instructions.txt Новая папка.7z
    • KOte
      От KOte
      Поймали шифровальщик. вымогатель юлит, не дает гарантии что все будет восстановлено. Собрал все файлы открыл тему.
      Addition.txt FRST.txt Read Instructions.txt virus.rar
    • dmg
      От dmg
      FRST.rarДобрый день! Прошу помочь по мере возможности. Все файлы зашифрованы на сервере 1С. 
      Read Instructions.txt
    • Maximus-x
      От Maximus-x
      Здравствуйте в ночь зашифровались файлы на windows server 2016, работа парализована.
      система не переустанавливалась. Бекапный диск так же зашифрован и не видится.
      окно с просьбой прислать денег.
       
      Kaspersky smart office установлен, ничего не находит.
       
      Hello my friend
      If you see this message it means that your system has been hacked and all your files are encrypted.
      But don't worry, you can easily decrypt them at a reasonable price.
      Decryption isn't enough. You have to fix bugs on your system, so this is my gift to you, after decryption, I'm going to help you to make your system more secure.
      So to start you need to install qTox from the link below and message me in qTox.
      https://github.com/qTox/qTox/releases/download/v1.17.6/setup-qtox-x86_64-release.exe
      *
      this is my qTox ID : 041BFC4E1BB2E262CDCCEE695C523DA1B491EB3E09EB95C7185A7E77D920B77FAC58DA3FFE45
      *
      *
      This is your decryption ID : 0AE0AFB5000B001
      *
      I promise you? no one or any security company can decrypt the files? so don't waste your time or mine.
      The price is only negotiated for 24 hours and you will be entitled to a discount? so don't waste your time.
      This is my emergency emails(only use emails for emegency you must use qTox) :
      Emergency email 1: FrankViskerson@mailfence.com
      Emergency email 2:FrankViskerson@tutamail.com
      Remember these :
      1- never try to decrypt file yourself , maybe you lost them forever
      2- don't rename or any changes in your files
       
      пример зашифрованных файлов со стандартным паролем во вложении.

      Пассс.txt.{FrankViskerson@mailfence.com} ID[0AE0AFB5000B001].rar
       
      Addition.txt FRST.txt
    • Shersh
      От Shersh
      Доброго времени суток!
      Столкнулся с шифровальщиком FrankViskerson на сервере. Работа полностью встала. Требуют деньги! Пожалуйста подскажите как решить эту проблемуRead Instructions.txt
×
×
  • Создать...