proton ransomware Вирус шифровальщик

[Vital888]

Здравствуйте. Помогите пожалуйста. На компьютере с утра обнаружил зашифрованные файлы. 

 

[Vital888]

dWSvM8qFV8.zipПолучение информации...

#Recovery.txtПолучение информации...

[safety]

Добавьте несколько зашифрованных файлов в одном архиве+ необходимы логи FRST, созданные на зашифрованном устройстве.

[Vital888]

Addition.txtПолучение информации... FRST.txtПолучение информации... zyqwDPwyMA.zipПолучение информации...

[safety]

Добавьте, пожалуйста, логи сканирования из KVRT

+

этот файл

2024-07-14 23:40 - 2024-07-14 23:07 - 288395952 _____ C:\Users\Vital\Desktop\cndtl455.exe

проверьте на http://virustotal.com

и дайте ссылку на результат проверки в вашем сообщении.

[thyrex]

Это скорее всего CureIt.

[Vital888]

Curit пользовался, он нашел вирус только win32.hllp.neshta

 

[safety]

  В 15.07.2024 в 04:18, thyrex сказал:

Это скорее всего CureIt.

Показать  

возможно, но почему то без подписи.

2024-07-15 09:08 - 2024-07-15 08:58 - 111327088 _____ (AO Kaspersky Lab) C:\Users\Vital\Desktop\KVRT.exe
2024-07-14 23:40 - 2024-07-14 23:07 - 288395952 _____ C:\Users\Vital\Desktop\cndtl455.exe

 

  В 15.07.2024 в 04:20, Vital888 сказал:

Curit пользовался, он нашел вирус только win32.hllp.neshta

Показать  

тогда покажите, пожалуйста, лог Curit, часто файл шифровальщика дополнительно заражается Neshta

 По факту, тип шифровальщика похож на Proton Ransomware, но лучше будет найти подтверждение через сэмпл.

Изменено 15 июля, 2024 пользователем safety

[Vital888]

Подскажите как расшифровать все на компьютере?

 

  В 15.07.2024 в 04:20, safety сказал:

Тогда покажите, пожалуйста, лог Curit, часто файл шифровальщика дополнительно заражается Neshta

Показать  

Лога нет, удалил все от него

 

[safety]

  В 15.07.2024 в 04:22, Vital888 сказал:

Подскажите как расшифровать все на компьютере?

 

Показать  

Прежде чем приступать к расшифровке файлов, необходимо определить тип шифровальщика, а затем уже можно будет сделать вывод: возможна по нему расшифровка без приватного ключа или нет. (По PROTON расшифровки нет без приватного ключа).

Изменено 15 июля, 2024 пользователем safety

[Vital888]

  В 15.07.2024 в 04:24, safety сказал:

Прежде чем приступать к расшифровке файлов, необходимо определить тип шифровальщика, а затем уже можно будет сделать вывод: возможна по нему расшифровка без приватного ключа или нет.

Показать  

Что то нужно еще отправить?

  В 15.07.2024 в 04:22, Vital888 сказал:

Тогда покажите, пожалуйста, лог Curit, часто файл шифровальщика дополнительно заражается Neshta

Показать  

Извиняюсь, не понял. Зашифрованные файлы не определяются как вирус

 

[safety]

  В 15.07.2024 в 04:22, Vital888 сказал:

Лога нет, удалил все от него

Показать  

Вот и зря.

проверьте в корзине, не сохранилась ли папка с отчетом сканирования курейта+ добавьте логи проверки KVRT.

(он может быть в этой папке

2024-07-15 09:08 - 2024-07-15 09:39 - 000000000 ____D C:\KVRT2020_Data)

и здесь проверьте, есть что-то в этих папках?

C:\Documents and Settings\юзер\Doctor Web \DrWeb CureIt Quarantine

или

C:\Users\юзер\Doctor Web \DrWeb CureIt Quarantine

 

Изменено 15 июля, 2024 пользователем safety

[Vital888]

И эту папку полностью очистил

[safety]

Ясно.

С расшифровкой по данному типу шифровальщика не сможем вам помочь.

Так как сэмпл быз заражен Neshta имеет смысл пролечить систему из под загрузочного диска.

Изменено 15 июля, 2024 пользователем safety

[Vital888]

report_2024.07.15_09.39.36.klr.zip Нашел

 

А то нужно сделать? не один компьютер заразился. Я их просто выключил пока,

 

А что это за шифровальщик?