proton ransomware Вирус шифровальщик

[Vital888]

Здравствуйте. Помогите пожалуйста. На компьютере с утра обнаружил зашифрованные файлы. 

 

[Vital888]

dWSvM8qFV8.zip

#Recovery.txt

[safety]

Добавьте несколько зашифрованных файлов в одном архиве+ необходимы логи FRST, созданные на зашифрованном устройстве.

[Vital888]

Addition.txtFRST.txtzyqwDPwyMA.zip

[safety]

Добавьте, пожалуйста, логи сканирования из KVRT

+

этот файл

2024-07-14 23:40 - 2024-07-14 23:07 - 288395952 _____ C:\Users\Vital\Desktop\cndtl455.exe

проверьте на http://virustotal.com

и дайте ссылку на результат проверки в вашем сообщении.

[thyrex]

Это скорее всего CureIt.

[Vital888]

Curit пользовался, он нашел вирус только win32.hllp.neshta

 

[safety]

14 минут назад, thyrex сказал:

Это скорее всего CureIt.

возможно, но почему то без подписи.

2024-07-15 09:08 - 2024-07-15 08:58 - 111327088 _____ (AO Kaspersky Lab) C:\Users\Vital\Desktop\KVRT.exe
2024-07-14 23:40 - 2024-07-14 23:07 - 288395952 _____ C:\Users\Vital\Desktop\cndtl455.exe

 

12 минут назад, Vital888 сказал:

Curit пользовался, он нашел вирус только win32.hllp.neshta

тогда покажите, пожалуйста, лог Curit, часто файл шифровальщика дополнительно заражается Neshta

 По факту, тип шифровальщика похож на Proton Ransomware, но лучше будет найти подтверждение через сэмпл.

Изменено 15 июля пользователем safety

[Vital888]

Подскажите как расшифровать все на компьютере?

 

2 минуты назад, safety сказал:

Тогда покажите, пожалуйста, лог Curit, часто файл шифровальщика дополнительно заражается Neshta

Лога нет, удалил все от него

 

[safety]

3 минуты назад, Vital888 сказал:

Подскажите как расшифровать все на компьютере?

 

Прежде чем приступать к расшифровке файлов, необходимо определить тип шифровальщика, а затем уже можно будет сделать вывод: возможна по нему расшифровка без приватного ключа или нет. (По PROTON расшифровки нет без приватного ключа).

Изменено 15 июля пользователем safety

[Vital888]

1 минуту назад, safety сказал:

Прежде чем приступать к расшифровке файлов, необходимо определить тип шифровальщика, а затем уже можно будет сделать вывод: возможна по нему расшифровка без приватного ключа или нет.

Что то нужно еще отправить?

5 минут назад, Vital888 сказал:

Тогда покажите, пожалуйста, лог Curit, часто файл шифровальщика дополнительно заражается Neshta

Извиняюсь, не понял. Зашифрованные файлы не определяются как вирус

 

[safety]

13 минут назад, Vital888 сказал:

Лога нет, удалил все от него

Вот и зря.

проверьте в корзине, не сохранилась ли папка с отчетом сканирования курейта+ добавьте логи проверки KVRT.

(он может быть в этой папке

2024-07-15 09:08 - 2024-07-15 09:39 - 000000000 ____D C:\KVRT2020_Data)

и здесь проверьте, есть что-то в этих папках?

C:\Documents and Settings\юзер\Doctor Web \DrWeb CureIt Quarantine

или

C:\Users\юзер\Doctor Web \DrWeb CureIt Quarantine

 

Изменено 15 июля пользователем safety

[Vital888]

И эту папку полностью очистил

[safety]

Ясно.

С расшифровкой по данному типу шифровальщика не сможем вам помочь.

Так как сэмпл быз заражен Neshta имеет смысл пролечить систему из под загрузочного диска.

Изменено 15 июля пользователем safety

[Vital888]

report_2024.07.15_09.39.36.klr.zip Нашел

 

А то нужно сделать? не один компьютер заразился. Я их просто выключил пока,

 

А что это за шифровальщик?