proton ransomware Шифровальщик ProblemSolver@onionmail.com

[MaxBarsk 0]

Доброго дня.

Словили вирус, все файлы зашифрованы. Пользователи: Администратор и два аккаунта. Пускает только под пользователем. Хэш, куки почистили, почту почистили, телеграм почистили. Как попал вирус пока не ясно.

Во вложении: логи, архив (2 файла с шифром), записка. FRST.txt#SHINRA-Recovery.txtDesktop.rar

[safety 130]

Файл шифровальщика нашли? можете предоставить логи сканирования, если чистили систему Kvrt или Cureit?

[MaxBarsk 0]

Файл шифровальщика не смогли найти. Систему еще не чистили.

[safety 130]

Проверьте системный диск с помощью KVRT или Cureit, добавьте логи сканирования (если файл большой, поместите в архив без пароля) в ваше сообщение. +проверьте ЛС.

Изменено 12 мая пользователем safety

[safety 130]

Возможно, файлы зашифрованы PROTON Ransomware.

Если был доступ извне по RDP, возможно получили доступ к одной из учетных записей.

SHINRA Ransomware - Decryption, removal, and lost files recovery (pcrisk.com)

https://github.com/rivitna/Malware/tree/main/Proton

Quote

Shinra

31eec61ed6866e0b4b3d6b26a3a7d65fed040df61062dd468a1f5be8cc709de7   2024-04-23 11:10:25    SHINRA2
941a95c85a4b37bff4571d49eb918a5094a032ac1416bded3a3cd3427ecf984c    2024-04-28 18:37:12    SHINRA3

Proton Ransomware (..c77L; #Restore-files.txt) Support Topic - Ransomware Help & Tech Support (bleepingcomputer.com)

Изменено 14 мая пользователем safety

[safety 130]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by Kuza
HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: sp.problemsolver.sp@gmail.com
HKU\S-1-5-21-3931805650-2299557408-3917352732-500\...\Policies\system: [DisableTaskMgr] 1
IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
IFEO\utilman.exe: [Debugger] systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

 

С расшифровкой по данному типу шифровальщика не сможем помочь.

[safety 130]

7 minutes ago, chasey said:

у меня тоже самое( но теневые копии спасли 2 диска 

Создайте, пожалуйста, отдельную тему в данном разделе, и добавьте все необходимые файлы и логи: несколько зашифрованных файлов, записка о выкупе, логи FRST.