Перейти к содержанию

Рекомендуемые сообщения

  • KOte изменил название на поймали шифровщик FrankViskerson@mailfence.com, кто поймал не ясно, как попал в систему тоже не ясно
Опубликовано (изменено)

Сэмпл шифровальщика нашли? это может быть файл:

 C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

логи сейчас проверю.

Эту программу надо деинсталлировать, этой вайпер, установлен злоумышленниками.

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

Если было уже сканирование системы штатным антивирусом, или антивирусными утилитами Cureit или KVRT

проверьте по логам, было ли обнаружение данного файла.

 C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

----------------

в логах FRST файл шифровальщика не обнаружен.

 

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

 

Start::
Startup: C:\Users\admin256\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-10-14] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-10-14] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[000C293E193C].locked [2024-10-14] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 7 октября пользователем safety

Изменено пользователем safety
  • safety изменил название на поймали шифровщик FrankViskerson@mailfence.com
Опубликовано

да, PES.exe - это сэмпл шифровальщика.

SHA1: 72953E1CB724BD35D2AF1F31B1A6A9B952A39668

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Vklass
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
    • zsvnet
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
    • dmg
      Автор dmg
      FRST.rarДобрый день! Прошу помочь по мере возможности. Все файлы зашифрованы на сервере 1С. 
      Read Instructions.txt
    • zupostal
      Автор zupostal
      Собственно поймали на сервер шифровальщик, не понятно каким макаром
      Файл вируса найти не удалось,, просканирована система kvrt.exe. В ручном режиме была найдена программа hardwipe и была удаленна, все что есть на сервере попало под шифрование, надеюсь на помощь :c
      Почитав предыдущие темы, у меня не было обнаружено  C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE, папка есть, файла нет
      Addition.txt FRST.txt Read Instructions.txt Новая папка.7z
    • slot9543
      Автор slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
×
×
  • Создать...