proton Зашифровали сервер файлами с расширением .vx2

18 ноября, 2024

Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу. Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!

vx2.rar

Изменено 18 ноября, 2024 пользователем jserov96

18 ноября, 2024

Этот файл найдите на диске,

C:\Windows\System32\inetsrv\tomb\svchost.exe

заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС

18 ноября, 2024

тут еще сопутствующий файл

tomb.rar

18 ноября, 2024

10 минут назад, jserov96 сказал:

тут еще сопутствующий файл

Похоже, кроме шифрования, еще добавили и майнер в автозапуск

https://virusscan.jotti.org/ru-RU/filescanjob/wpci5qb4ao

18 ноября, 2024

сейчас сервер отключен, диск с бекапами снят и установлен на другой комп. Могу снять системный диск и проверить его также на другом компьютере

я так понимаю это не шифровальщик? т.е. надо искать еще где-то?

Изменено 18 ноября, 2024 пользователем jserov96

18 ноября, 2024

Тело шифровальщика могло самодалиться, но тип шифровальщика понятен. Это Proton и мы не сможем расшифровать его без приватного ключа.

По очистке системы.

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
Task: {934C257B-0ED7-441F-B09D-6171D3F94CC6} - System32\Tasks\Microsoft\Windows\Defrag\LP Schedule => C:\Windows\System32\inetsrv\tomb\svchost.exe [5583872 2024-02-07] (Microsoft) [Файл не подписан] -> --daemonized -c C:\Windows\System32\config.json <==== ВНИМАНИЕ
S3 458DF55275B351E5; \??\c:\users\Администратор\appdata\local\temp\1\9BCE9F94D4.sys [X] <==== ВНИМАНИЕ
S3 QDrive; \??\C:\Users\836D~1\AppData\Local\Temp\1\QDrive.sys [X] <==== ВНИМАНИЕ
2024-11-17 06:51 - 2024-11-17 06:51 - 001653750 _____ C:\ProgramData\93CDFEAAA54180C635F23CACB380621A.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 18 ноября, 2024 пользователем safety

18 ноября, 2024

vhd бекапы они зашифровали не полностью, может попробовать восстановить первые 20000h байт из других файлов, они подключили диск бекапа, зашифровали его и оставили эту копию доступной, может каким-то образом восстановить заголовок vhd бекапа?

18 ноября, 2024

3 минуты назад, jserov96 сказал:

может каким-то образом восстановить заголовок vhd бекапа?

С этим лучше обратиться в техподдержку. Если есть лицензия на продукт Касперского, можно сделать запрос на восстановление здесь.

+

проверьте ЛС

Изменено 18 ноября, 2024 пользователем safety

proton Зашифровали сервер файлами с расширением .vx2

Рекомендуемые сообщения

jserov96

safety

jserov96

safety

jserov96

safety

jserov96

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum