Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

поймали шифровщик FrankViskerson@mailfence.com

KOte
 Поделиться

Рекомендуемые сообщения

  • KOte изменил название на поймали шифровщик FrankViskerson@mailfence.com, кто поймал не ясно, как попал в систему тоже не ясно
safety

safety

Опубликовано
Опубликовано (изменено)

Сэмпл шифровальщика нашли? это может быть файл:

 C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

логи сейчас проверю.

Эту программу надо деинсталлировать, этой вайпер, установлен злоумышленниками.

Hardwipe 5.1.4 (HKLM\...\{F8DDA2D6-F375-440C-B1D5-41479F167758}) (Version: 5.1.4 - Big Angry Dog)

Если было уже сканирование системы штатным антивирусом, или антивирусными утилитами Cureit или KVRT

проверьте по логам, было ли обнаружение данного файла.

 C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE

----------------

в логах FRST файл шифровальщика не обнаружен.

 

по очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

  

Start::
Startup: C:\Users\admin256\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-10-14] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt [2024-10-14] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Read Instructions.txt.{FrankViskerson@mailfence.com} ID[000C293E193C].locked [2024-10-14] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 7 октября пользователем safety

Изменено пользователем safety
  • safety изменил название на поймали шифровщик FrankViskerson@mailfence.com
safety

safety

Опубликовано
Опубликовано

да, PES.exe - это сэмпл шифровальщика.

SHA1: 72953E1CB724BD35D2AF1F31B1A6A9B952A39668

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • meriadok
      Зашифровались файлы, спасите!
      Автор meriadok
      Доброе время суток, уважаемые специалисты. Взываю к Вашей помощи, файлы зашифрованы, гугл и улитки не спасли. Подскажите есть ли шансы на расшифровку, куда податься?
      CollectionLog-2016.09.21-01.53.zip
    • plohish
      все тот же locked
      Автор plohish
      добрый день. возникла проблема. 
      бухгалтерия приняла скорее всего какой то файл открыли его и вирус попал в сеть. 
      на сервере данных где хранились доки все файлы стали с разрешением locked. так же если стереть разрешение то файл внутри будет весь в иероглифах.
      попытался просканировать ПК, ошибок и вирусов не обнаружено, но при этом этот вирус уже перешел на 2й комп....
      посоветуйте как можно востановить файлы. т.к. резервной копии к сожалению не осталось... 
    • МаксимкО
      вирусом-шифровальщик RAA
      Автор МаксимкО
      Здравствуйте!
      Получил письмо с адреса- Григорий Матвеев <klinsmann18@mail.ru> 
      Вопросы просят отправлять туда- raaconsult@mail2tor.com
      вот начало письма
      Ваши файлы были зашифрованы вирусом RAA.
      При шифровании был применен алгоритм AES-256, используемый для защиты информации, представляющей государственную тайну.
      Это значит, что восстановить данные можно только купив ключ у нас....
       
      Словил вируса, после действия которого все офисные файлы и фото получили расширение LOCKED.
      Kaspersky RakhniDecryptor пока работает 14 часов.(уже не работает)
      Само письмо с вирусякой сохранил.
      На рабочем столе сформирован ключ и письмо от доброжелателя с его пожеланиями.
      На письмо пока он не ответил.
      CollectionLog-2016.08.30-03.38.zip
    • seurt
      Вирус шифровальщик LOCKED
      Автор seurt
      Аналогично теме http://forum.kasperskyclub.ru/index.php?showtopic=50695. Зашифровались файлы и стали с расширением .LOCKED. Пробовал Kaspersky RectorDecryptor - день подбирал ключи, не подобрал.
      CollectionLog-2016.06.22-17.06.zip
      AdwCleanerS1.txt
      AdwCleanerC1.txt
    • n199a
      Помогите удалить вирус .locker
      Автор n199a
      Нарвался на вирус, который в каждом файле добавил в конце тип расширения .locker.
      Помогите удалить
×
×
  • Создать...