proton Зашифровали сервер файлами с расширением .vx2

[jserov96]

Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!

vx2.rarПолучение информации...

Изменено 18 ноября, 2024 пользователем jserov96

[safety]

Этот файл найдите на диске,

C:\Windows\System32\inetsrv\tomb\svchost.exe

заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС

[jserov96]

тут еще сопутствующий файл

tomb.rarПолучение информации...

[safety]

  В 18.11.2024 в 12:58, jserov96 сказал:

тут еще сопутствующий файл

Показать  

Похоже, кроме шифрования, еще добавили и майнер в автозапуск

https://virusscan.jotti.org/ru-RU/filescanjob/wpci5qb4ao

[jserov96]

сейчас сервер отключен, диск с бекапами снят и установлен на другой комп. Могу снять системный диск и проверить его также на другом компьютере

 

 

я так понимаю это не шифровальщик? т.е. надо искать еще где-то?

 

Изменено 18 ноября, 2024 пользователем jserov96

[safety]

Тело шифровальщика могло самодалиться, но тип шифровальщика понятен. Это Proton и мы не сможем расшифровать его без приватного ключа.

 

По очистке системы.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
Task: {934C257B-0ED7-441F-B09D-6171D3F94CC6} - System32\Tasks\Microsoft\Windows\Defrag\LP Schedule => C:\Windows\System32\inetsrv\tomb\svchost.exe [5583872 2024-02-07] (Microsoft) [Файл не подписан] -> --daemonized -c C:\Windows\System32\config.json <==== ВНИМАНИЕ
S3 458DF55275B351E5; \??\c:\users\Администратор\appdata\local\temp\1\9BCE9F94D4.sys [X] <==== ВНИМАНИЕ
S3 QDrive; \??\C:\Users\836D~1\AppData\Local\Temp\1\QDrive.sys [X] <==== ВНИМАНИЕ
2024-11-17 06:51 - 2024-11-17 06:51 - 001653750 _____ C:\ProgramData\93CDFEAAA54180C635F23CACB380621A.bmp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 18 ноября, 2024 пользователем safety

[jserov96]

vhd бекапы они зашифровали не полностью, может попробовать восстановить первые 20000h байт из других файлов, они подключили диск бекапа, зашифровали его и оставили эту копию доступной, может каким-то образом восстановить заголовок vhd бекапа?

[safety]

  В 18.11.2024 в 13:38, jserov96 сказал:

может каким-то образом восстановить заголовок vhd бекапа?

Показать  

С этим лучше обратиться в техподдержку. Если есть лицензия на продукт Касперского, можно сделать запрос на восстановление здесь.

+

проверьте ЛС

Изменено 18 ноября, 2024 пользователем safety