Перейти к содержанию

Через RDP шифровальщик с расширением .frank

Croony
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано

Систему проверили сканерами Cureit или KVRT? Можете предоставить отчет о сканировании?

safety

safety

Опубликовано
Опубликовано
1 час назад, Croony сказал:

на втором сервере нашел

К шифровальщику вряд ли относится обнаруженный детект, скорее это какой то патч к 1с.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\Winlogon: [LegalNoticeCaption] Frank Ransomware
HKLM\...\Winlogon: [LegalNoticeText]  - All your files are stolen and encrypted - Find Frank_Help.txt file - and follow instructions
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2025-01-16 03:46 - 2025-01-16 03:46 - 000000957 _____ C:\Frank_Help.txt
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Если необходима очистка второго устройства, тогда добавьте из него логи FRST.

safety

safety

Опубликовано
Опубликовано (изменено)

Этот файл вам известен? Можете его проверить на Virustotal.com и дать ссылку на результат проверки здесь?

2025-01-16 06:18 - 2025-01-16 06:18 - 000006656 _____ C:\ProgramData\Dcpher.exe

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Проверьте ЛС

==========

по этому файлу вы не ответили, что это?

Цитата

 

Этот файл вам известен? Можете его проверить на Virustotal.com и дать ссылку на результат проверки здесь?

2025-01-16 06:18 - 2025-01-16 06:18 - 000006656 _____ C:\ProgramData\Dcpher.exe

 

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Сделайте, пожалуйста, экспорт ключей из реестра в файл с любого из зашифрованных серверов:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug

и

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

файлы заархивируйте без пароля и добавьте в ваше сообщение

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Прохор
      Зашифровали корпоративный сервер
      Автор Прохор
      Добрый день, зашифровали корпоративные сервера с требованием выкупа. Что делать не знаем, прилагаю образец шифра и письмо мошенников.
      файлы.rar
    • mutosha
      нужна помощь в дешефровани blackFL (есть exe и строчка с паролем из power shell)
      Автор mutosha
      Добрый день.
       
      Поймали шифровальщика "blackFL", успел скопировать строчку с паролем из открытого power shell, н арабочем столе.
      "C:\Users\Администратор\Pictures>1.exe -path E:\ -pass b9ec0c541dbfd54c9af6ca6cccedaea9"
       
       
      Сам "1.exe" из ""C:\Users\Администратор\Pictures"  скопировать не успел, но нашел какой-то "1.exe" на рабочем столе, приложил.
      Прикладываю логи Farbar Recovery Scan Tool.
       
      Прикладываю ссылку на шифрованный  файл (7.5 мегабайта, а прикрепить можно только менее 5), когда-то это был mp4 ролик, ничего меньше по размеру не нашлось.
      https://transfiles.ru/j5o79
       
      Файлов с требованием у меня встречаются почему-то три с разными названиями, содержимое вроде одно.
       
      Очень надеюсь на помощь.
       
       
      1.7z Addition_01-12-2025 00.35.40.txt FRST_01-12-2025 00.31.27.txt README_BlackFL.txt lK0kDJCSf.README.txt READ_ME.txt
    • Сергей__
      BlackFL
      Автор Сергей__
      Зашифровались файлы BlackFL
      есть дешифратор?
      TNI.zip
    • Alex F
      Шифровальщик BlackFL
      Автор Alex F
      Добрый день.
       
      Прошу помощи в расшифровке файлов зашифрованных вирусом вымогателем.
       
      Архив во вложении. 
      Archive.7z
    • MBA
      Вирус шифровальщик. Файлы с расширением hype
      Автор MBA
      Добрый день. Заразились компы. Помогите с расшифровкой. Файлы зашифрованы и добавилось расширение с текстом ".EMAIL=[ranshype@gmail.com]ID=[35390D080FB82A02].hype". Архив с результатами сканирования, сообщением о выкупе и примерами зашифрованных файлов прилагаю;
      Архив.zip
×
×
  • Создать...