proxima Шифровальщик с расширением .frank

[badabucha]

Все файлы на сервере зашифрованы расширением .frank

FRST.txt Frank_Help.txt файлы.rar Addition.txt

[safety]

Эти файлы заархивируйте с паролем virus

C:\Windows\Fonts\arial\arial.exe

2025-03-17 08:21 - 2025-03-17 08:21 - 000006656 _____ C:\ProgramData\Dcpher.exe
Добавьте архив в ваше сообщение.

[badabucha]

Virus.rar

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Winlogon: [LegalNoticeCaption] Frank Ransomware
HKLM\...\Winlogon: [LegalNoticeText]  - All your files are stolen and encrypted - Find Frank_Help.txt file - and follow instructions
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\CompatTelRunner.exeSecurityHealthHost: [Debugger] Hotkey Disabled
IFEO\ConfigSecurityPolicy: [Debugger] Hotkey Disabled
IFEO\DlpUserAgent: [Debugger] Hotkey Disabled
IFEO\MpDefenderCoreService: [Debugger] Hotkey Disabled
IFEO\MpDlpCmd: [Debugger] Hotkey Disabled
IFEO\MpDlpService: [Debugger] Hotkey Disabled
IFEO\mpextms: [Debugger] Hotkey Disabled
IFEO\MRT.exe: [Debugger] Hotkey Disabled
IFEO\MsMpEng: [Debugger] Hotkey Disabled
IFEO\NisSrv: [Debugger] Hotkey Disabled
IFEO\SecurityHealthService: [Debugger] Hotkey Disabled
IFEO\SecurityHealthSystray: [Debugger] Hotkey Disabled
IFEO\sethc.exe: [Debugger] C:\Windows\Fonts\arial\arial.exe
IFEO\smartscreen.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.CloudService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.MountService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.WmiServer.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.EndPoint.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.VssHwSnapshotProvider.exe: [Debugger] Hotkey Disabled
IFEO\VeeamDeploymentSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamHvIntegrationSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamNFSSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamTransportSvc.exe: [Debugger] Hotkey Disabled
IFEO\vmcompute.exe: [Debugger] Hotkey Disabled
IFEO\vmms.exe: [Debugger] Hotkey Disabled
IFEO\vmwp.exe: [Debugger] Hotkey Disabled
2025-03-17 08:21 - 2025-03-17 08:21 - 3283091456 ____H C:\0F3LWP.tmp
2025-03-17 08:21 - 2025-03-17 08:21 - 001572918 _____ C:\ProgramData\1b.mp
2025-03-17 08:21 - 2025-03-17 08:21 - 000006656 _____ C:\ProgramData\Dcpher.exe
2025-03-17 05:13 - 2025-03-17 05:14 - 021050672 _____ (Famatech Corp. ) C:\Users\Администратор.WIN-DVG863MHBKP\Downloads\Advanced_IP_Scanner_2.5.4594.1.exe
2025-03-17 08:21 - 2025-03-17 08:21 - 000006656 _____ () C:\ProgramData\Dcpher.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

[badabucha]

 

Fixlog.txt

Ссылка на карантин https://disk.yandex.kz/d/5O4zpo1ScNIqLQ

Изменено 17 марта пользователем badabucha

[safety]

Цитата

2025-03-17 08:21 - 2025-03-17 08:21 - 000006656 _____ C:\ProgramData\Dcpher.exe

Скорее всего вайпер.

VirusTotal - File - 8e3ff1907d973d91167c2d74ac8414496d7f430687eef52e3201721e01513761

 

 

К сожалению, не сможем помочь с расшифровкой файлов по данному типу шифровальщика.

Изменено 17 марта пользователем safety

[badabucha]

А можно как то понять, каким способом он попал на сервер?

[safety]

Проверьте ЛС.